デスクトップ仮想化「VDI」の落とし穴。ネットワークは再点検を

前回は、目下最大のITトレンドとも言える「モバイル」と「クラウド」にまつわるセキュリティ課題に対して、Application Delivery Controller(以下、ADC)がどのようなソリューションを提供できるかについて紹介した。今回は、もう1つの重要なトレンドである「デスクトップ仮想化」について考察してみたい。「デスクトップ仮想化」を実現するには複数の方式があるが、近年普及が進んでいるのが「VDI」(Virtual Desktop Infrastructure)と呼ばれる方式だ。

VDI普及の背景として、在宅勤務など柔軟なワークスタイルを導入する企業の増加、Microsoft Windows XPサポートの終了に伴うクライアント端末の見直し、スマートデバイスの普及に伴うマルチデバイスでのデスクトップ環境の実現に対するニーズ拡大などがある。ユーザーに共通する導入目的としては、セキュリティ対策の強化が挙げられる。VDIではデスクトップ環境がデータセンターのサーバ上に集約され、ネットワーク経由でアクセスされるため、クライアント端末にデータを保持する必要がなく、端末の盗難や紛失による情報漏えいを防ぐことができる。このようにセキュリティ対策として効果を発揮するVDIだが、導入時にはネットワーク環境を再点検することをお勧めしたい。

VDIで見落とされがちなポイントとは？

VDIへのアクセスはネットワーク経由のため、時間や場所に縛られることなく、いつでもアクセスできるので、利便性を最大限に活かす“攻めのアクセス環境”を提供するシステム管理者が増えている。

情報管理に厳しい金融サービスの管理者はこう語る。「従来はクライアント端末の盗難や紛失による情報漏えいリスクを懸念して、クライアント端末の持ち出しを禁止していました。VDIの導入を機に、社内のみならず社外からのインターネット経由でのアクセスも解放する方向に切り替えました。社員からはどこでも仕事ができると好評で、アクセスの解放に踏み切って良かったと感じています。しかしインターネット経由のアクセスを解放することで、新たにセキュリティと利便性のバランスという課題をクリアする必要も出てきました。インターネット経由でのアクセスはURLさえ知っていれば誰でもアクセスできるので、VDIのアクセスには厳格な本人確認とクライアント端末の特定を行う仕組みを設ける必要がありました。また、インターネットはネットワーク品質が保証されていないことも懸念事項でした。たとえ社内LAN環境でデスクトップ画面がサクサク動いていたとしても、インターネットは回線品質が劣るため、遅延やパケットロス発生により画面がカクカクとしか動かなくなってしまうこともあり、これを極力なくすことが課題となりました。つまり、セキュリティを万全にしながらも、ユーザーの使い勝手を落とさないことも、併せて検討しておくことを学びました」

VDIの導入を検討する際には、ネットワークを含めた環境をあらかじめ考慮に入れた上で導入計画を立てないと、後々「こんなはずではなかった････」と頭を抱えるはめにもなりかねない。

インターネットを介したVDIアクセスのセキュリティ課題をまとめて解決

では、こうした課題に対処するには、具体的にどんな方法があるのか。まずは、不正アクセスを厳密にシャットアウトするために、単なるID/パスワードによる認証だけでなく、さらにクライアント証明書やハードウェアトークンなどを使い「正当なデバイスによるアクセス」であることを証明する、いわゆる「デバイス認証」を併せて行うことが有効だ。しかし、一般的なVDIのゲートウェイのソフトウェアには、こうしたデバイス特定機能は備わっていないため、別途、その仕組みを導入・運用する必要がある。

実はこの点において、ADCの導入が大いに役立つことになる。例えばBIG-IP APM(Access Policy Manager)では、インターネットを経由してアクセスしてくる端末を、クライアント証明書やMACアドレスなどで識別し、許可されていない端末からのアクセスを拒否する機能を備えている。また、「デスクトップ画面の操作自体をキャプチャするなどの不正なアプリケーションがインストールされていないか」といったチェックまでできるようになっている。さらには、ユーザーがアクセスを試みるたびにワンタイムパスワードを自動的に発行する機能も備えているため、別途、高価なワンタイムパスワード認証製品を導入しなくとも、容易に二要素認証を実現できる。

また、VDIのリモートアクセス用ゲートウェイサーバの中には、WindowsサーバOS上で動作するソフトウェアがある。この場合、WindowsサーバをDMZ(DeMilitarized Zone：内部ネットワークとインターネットの間の隔離されたネットワーク領域)内に配置することに、セキュリティ上の課題やパッチマネジメントの運用負荷を感じる方も多いことだろう。しかしこの点においても、BIG-IPは開発当初からDMZにも配置されることを前提とした、極めて堅牢でセキュアな専用OSを搭載しているため、きわめて安心感が高い。

さらにBIG-IPには、前回も紹介したようにSSO(シングルサインオン)の機能が搭載されている。これを活用すれば、ユーザーが何度もID/パスワードを入力する手間を省くことができ、使い勝手を高める効果が大いに期待できるのだ。

VDIプロトコル本来のパフォーマンスを損なわないために

「VDIをインターネット経由やリモートアクセス環境で利用する際にはパフォーマンスの課題がある」と前述したが、実は、ADCはこのパフォーマンス問題を解決する上でもきわめて有効なのだ。少し掘り下げて説明しよう。

例えば、ヴイエムウェア社のVDI製品「VMware Horizon View」の画面転送プロトコル「PC over IP (PCoIP)」は、UDP(User Datagram Protocol：コネクションレスであり、信頼性よりもデータ転送効率性を重視している)をベースとした高速・高効率のプロトコルだ。しかし通常、リモートアクセス環境ではSSL VPNゲートウェイのVPNトンネルを利用するケースが多い。このVPNトンネルは、TCP(Transmission Control Protocol : 転送効率よりも、データを届ける信頼性を重視している)をベースとしており、ネットワークの遅延やパケットロスによる転送効率の低下が激しい。この場合、TCPをベースとしたVPNトンネル内にUDPをベースとしたPCoIPをカプセリングする格好となるため、ネットワークの遅延やパケットロスに起因するTCPのパフォーマンス劣化の悪影響を受け、せっかくの「UDPベースの高速性」というメリットを台無しにしてしまい、デスクトップ画面のカクカク問題を引き起こしやすい。

しかしBIG-IPは、このPCoIPやシトリックス社の「Xen Desktop」が採用するプロトコル「ICA」をサポートしており、PCoIPやICAのプロキシサーバとして直接転送処理することができる。つまり、オーバーヘッドの大きいVPNトンネルを使わずとも、すでに紹介したデバイスチェックによる二要素認証による十分なセキュリティレベルを担保しつつ、プロキシとしてPCoIPやICAを処理できる。結果として画面データ転送のスピードが上がり、インターネット経由であっても、ユーザーの使い勝手を大幅に損なうことなくVDI環境を提供できるというわけだ。

以上のように、インターネット経由でのVDI活用にまつわる“セキュリティ”“使い勝手”“パフォーマンス”の課題を解決する手段として、BIG-IPをはじめとするADC製品は、現時点で最もリーズナブルなソリューションの1つなのである。VDIとADCとの間に、実はこんなに深い関係があることをこれまで知らなかった方も多いかもしれないが、これを機にぜひ認識を深めていただければ幸いである。