安全で簡単なリモートデスクトップソリューション「DesktopDirect」

モバイルワークやBYODなど柔軟な働き方を実現するうえで欠かせないリモートアクセス環境。前回は、リモートアクセス環境を整備するために、既存のネットワーク環境と標準ソフトを活用するアプローチを紹介した。今回は、それを効率的に実現できる「DesktopDirect」の特徴や機能を紹介する。

リモートデスクトップ接続をパワーアップして使いやすく

DesktopDirectは、アレイ・ネットワークスが提供している社外から社内の個人PCにリモートデスクトップ接続を行うためのソリューションだ。リモートデスクトップ接続にはマイクロソフトのRDPを利用しており、Windows PCだけではなく、OS X、iOS、Androidといったさまざまなクライアントからアクセスすることが可能だ。

リモートデスクトップ接続を使ったことのある方はご存知だろうが、一度接続を確立してしまえば、Windows PCを普段通りに使用している場合と、基本的には同じ操作を行うことができる。低速回線でも快適に利用できるように設計されており、業務文書の作成や業務アプリケーションの操作などはほとんどストレスを感じることなく作業を行うことができる。また、ホストとなるWindows PCの画面をクライアント側に転送する仕組みであるため、ホスト側のデータがクライアント側のストレージやキャッシュに保存されることがないなどセキュリティ面でのメリットもある。

とはいえ、社外からアクセスできるようにするにはIPやTCPポートなどのネットワーク設定の変更が必要になる。そうした設定なしでは、社員個人が社内に置かれた自分のPCにアクセスすることは基本的にはできない。また、セキュリティ上の問題が発生することから、事前にVPNなどのセキュリティ設定や適切なアクセスコントロールなどを施す必要がある。例えば、標準のリモートデスクトップ接続では、クリップボードを使ったホストとクライアント間でのコピー＆ペーストやファイルの転送なども可能だが、そうした機能の私用を許可してしまうと、情報漏洩のリスクを招きかねない。

標準のリモートデスクトップ接続は、便利ではあるものの、セキュリティポリシーやガバナンスを保った状態で社外から利用するには課題が多い。アレイ・ネットワークスの代表取締役である岡本恭一氏は、「リモートアクセス環境を構築する際のさまざまな課題を解決し、ユーザが簡単に社内のPCをリモートから利用できるようにするのがDesktopDirectです」と話す。

「AGシリーズ」1台を設置するだけで導入完了

実際に、ユーザが普段どのようにDesktopDirectを利用するのか、順を追って見ていこう。

リモートアクセスを行いたいユーザはまず、Webブラウザを使って、アクセスする。この時アクセスするURLは、企業側が任意に指定するアドレスだ。例えば、remoteaccess.xxx.co.jpなど、企業サイトのサブドメインなどをリモートアクセス専用のアドレスに指定できる。この際の通信はhttps(SSL通信)による暗号化が必須となる。これにより、通信内容が途中で盗み取られることを防ぐ仕組みだ。

指定のURLにアクセスすると、次のようなDesktopDirectのログイン画面が表示される。ここで入力するユーザ名とパスワードは、普段、Windows PCのログインに使っているユーザ名とパスワードと同じものを利用する。ユーザは普段のPCにログインするのと変わらない手順でアクセスすることができるわけだ。

この認証が通ると、自分のPC名とアイコンが表示された画面が表示される。ここでアイコンをクリックすると、自動的にリモートデスクトップ接続が呼び出され、接続が確立する。接続されれば、普段のPCと同じように仕事を進めることができる。なお、Wake On LANに対応しているので、スリープ状態になっているPCを社外から起動して接続することも可能だ。

このように、ユーザはわずか3ステップで、社外のPCから、会社のPCにリモートデスクトップ接続ができるようになるのだ。これならユーザの操作教育などは最小限で済むことだろう。ユーザ認証用の新たなパスワードの設定や、USBキーなど特別な機器を用意する必要もない。導入したその日から運用を開始することができる。

さらに注目すべき点は、ソリューション導入が非常にシンプルなことだ。導入は、アレイ・ネットワークスが提供するセキュア・アクセス・ゲートウェイ「Array AGシリーズ」1台を設置するだけで済む。

AGシリーズ 1台に、Webブラウザでアクセスするためのポータル機能、通信を秘匿化し安全に社外と社内をつなぐSSL-VPN機能、社内のPCをつなぐためのIPやポートの設定機能、リモートデスクトップ接続の機能制限などが一括で含まれている。管理者は、VPNを構築したり、アクセスコントロールのために特別なソフトを導入したりといった手間がない。既存のインフラやセキュリティポリシーをそのまま生かした導入と運用が可能なのだ。

独自の端末識別の仕組みと、既存の認証基盤との連携

どのようにして、こうした簡単な仕組みを構築しているのか、もう少し踏み込んで見てみよう。気になった方も多いと思うが、先ほどの3ステップを実現するのは実は簡単ではない。例えば、ユーザ名とパスワードの組み合わせが1つだけでは、漏洩の危険も大きく、なりすましに対応できなくなる懸念もある。

そのため、二段階認証を導入したり、不正なアクセスを検知するようなソリューションを別途組み合わせたり、さらに、利便性を損なわないようにシングルサインオンの仕組みなどを導入したりする。結果として、コスト増につながることも少なくない。

この点、DesktopDirectでは、Active Directoryなどの認証基盤と連携することができるようになっており、これによりWindowsのユーザ名とパスワードを使ったシングルサインオンが可能だ。また、不正な認証を検知するアクセスコントロールについても、「ハードウェアID」と呼ばれる認証情報を自動的に生成し、それをチェックすることで、不正なアクセスを検知することができるようになっている。

岡本氏によると、ハードウェアIDとは、ユーザ名やOS、PC固有の情報などから生成される端末識別情報のことだ。「ハードウェアIDを利用すると、状況に応じてアクセスを動的に管理することもできます。例えば、正しいユーザであっても、ウイルス対策ソフトが最新のものでなかった場合は、アクセスを遮断したり、状況に応じて利用可能なリソースを割り当てたりといった運用が可能」(同氏)という。

また、標準のリモートデスクトップ接続が提供している機能の制限も細かく設定できる。例えば、クリップボードを経由したコピー＆ペーストやファイルの転送、ローカルプリンタを使った印刷といったような、情報漏洩につながるような機能を禁止することができる。「データをローカルに一切保存させないシンクライアントのような運用が可能」になるのだ。

実際、こうしたセキュリティ面を評価して、持ち出し用のモバイルPCをシンクライアントのように利用したりする医療機関やメーカーは多いという。社内PCへのアクセスのため、OSやソフトウェアのライセンス数が増えないというメリットもある。

「リモートデスクトップ接続は歴史がありなじみのあるソフトだけに、機能やメリットが見過ごされがちです。リモートワークが当たり前になった今だからこそ、再評価すべきです。DesktopDirectを利用することで、これまでの投資を保護しつつ、効果的なリモートアクセス環境を構築してほしい」(岡本氏)

*　　*　　*

DesktopDirectが真の価値を発揮するのは、タブレットやスマートフォンといったモバイル端末からアクセスされたときだ。次回は、それを実現するアプリケーションである「MotionPro」を紹介しよう。