デスクトップ仮想化の“理想”と“現実”［後編］|仮想化|トピックス|Computerworld

考察その4［ワークスタイル］
デスクトップ仮想化でワークスタイルを多様化

【理想】
　デスクトップ仮想化の特にサーバホステッドの実装は、在宅勤務やテレワーク、モバイルワーカー、社内で座席を固定しないフリーアドレスなど、多様化するワークスタイルに柔軟に対応できるというメリットがあります。東日本大震災を契機に、自宅や仮設オフィスでの事業継続手段として、注目が高まりました。

　これまで、社外ユーザーにリモート接続環境を提供する場合、VPN（仮想プライベート回線）を使用した社内ネットワークへの接続を提供するのが一般的でした。しかし、VPN接続には、VPNに必要なプロトコルがファイアウォールを通過できないという接続性の問題、接続問題のトラブルシューティングの難しさ、管理されていない端末から社内ネットワークに接続してくることによる潜在的なセキュリティリスクなど、多くの課題があります。

　デスクトップ仮想化は、画面転送のための最小限のプロトコル（RDP、ICA、PCoIP、HTTPSなど）のみを許可すればよく接続性にすぐれ、しかも社外とのやり取りは画面と入力の転送だけに限定できるのでセキュリティを確保できるというメリットがあります。また、デスクトップ仮想化製品の多くは、高い接続性とセキュアな接続を提供するゲートウェイ機能（Microsoft Remote Desktop Gateway、Citrix Access Gateway、VMware View PCoIP Secure Gatewayなど）を提供するため、リモート接続環境を構築するのもVPNより簡単です。

　在宅勤務やモバイルワーカーのための接続環境を社内にも応用すれば、私物のノートPCやスマートフォン、タブレット／スレートデバイスの利用を許可するといった、従来では考えられなかったようなIT環境も、非現実的ではなくなりました。

【現実】
　デスクトップ仮想化において、インターネット経由でのリモート接続で重要なポイントとして、プロトコルの選定とセキュリティの強化の2つをあげたいと思います。

　マイクロソフト標準のRDP（リモートデスクトッププロトコル）は、新しいバージョンでは、AeroグラスのサポートやRemoteFX、双方向オーディオなど、高品質なマルチメディアをサポートしていますが、これはLAN環境での利用を想定したものです。低速で遅延のある回線で利用する場合、デスクトップの無効化や解像度、表示色の制限、表示効果の無効化などでエクスペリエンス機能を犠牲にする必要があることに留意してください（画面3）。

画面3：RDP接続を低速な回線上で利用すると、エクスペリエンス機能が犠牲になります

　その点、シトリックス・システムズのICA（Independent Computing Architecture）/HDX（High Definition eXperience）は、遅延の大きい回線に対する最適化機能で以前から定評があります。VMware ViewのPCoIPも、「VMware View 5」で大きく改善されたようです（『ヴイエムウェア、デスクトップ仮想化ソフトの新版「VMware View 5」を発表』［URL］http://www.computerworld.jp/contents/200636）。

　セキュリティの確保は、社外からのリモート接続の最大の課題です。強固なパスワードによる認証は当然のこと、複数の認証方式による多重化や、ネットワーク検疫システムとの連携を検討するべきでしょう。

　IT部門の管理下にない、あるいは管理から離れた社外のPCやデバイスは、ロックダウンすることが困難です。機密情報を表示しているリモートの画面が、情報漏えいのルートになるリスクがあることをよく理解してください。

　仮想マシンイメージをローカルにダウンロードして、オフラインで利用できるソリューションもありますが、その場合、さまざまな資格情報、接続情報を含むOSイメージごと盗まれるリスクがあります。多重認証や検疫に加えて、ドライブ全体の暗号化、リモートワイプなど、万が一、イメージが流出した際に備えた追加のセキュリティ対策が必要です。そして、セキュリティ対策の最後の砦は、エンドユーザーのモラルや行動ということになるので、教育が最も重要になります。