業務効率とセキュリティ向上を期して「デスクトップ仮想化」を導入

政府が推し進めている「働き方改革」は、ロケーション（場所）や時間に束縛されず業務に従事することにより生産性を上げていこうという取り組みだ。一人ひとりのニーズにあったら働き方を実現しようと多くの企業がこの取り組みに賛同し、取り組んでいる。

こうした状況から、業務の根幹を成すITインフラも変革の時を迎えており、中でも「デスクトップ仮想化」の導入に踏み切る企業が近年増加している。PCのデスクトップ環境をサーバー側に集約することで、外出先からの社内LAN利用による"業務効率UP"はもちろん、こうしたテレワークで懸念される"情報漏えい"の防止や、"PCセキュリティの一元管理"が可能になるなど、数多くのメリットを期待してのものである。

しかし、一見して万能に思える「デスクトップ仮想化」にも、大きな落とし穴があることを忘れてはならない……

【課題・問題】業務効率とセキュリティ向上を期して「デスクトップ仮想化」を導入! のはずが、まさかのウィルス感染!?

株式や投資信託、先物系取引などを手掛ける中堅証券会社であるX社。同社ではその業種柄、従来のノートPCに加えて、スマートフォン/タブレットPCの導入や在宅勤務など、テレワークを中心とした働き方改革を積極的に導入している。

それゆえ、ISMS（情報セキュリティマネジメントシステム）に準拠した情報セキュリティ管理には力を注いでおり、各種対策ツールの導入はもちろん、詳細な社外持ち出しルールを定めて各端末を管理してきた。しかし、端末を持ち出す以上、例えば置き忘れや紛失などによる"情報漏えいリスク"を100%払拭することはできない。

そこで同社は検討の末、ワークスタイルの多様化に即したセキュリティ強化を目的に、「デスクトップ仮想化」の導入を決定。同社情報システム管理部課長のW氏はこう語る。「デスクトップ環境をサーバー側に集約することで、クライアント端末には一切のデータが残らないため、万が一PCを紛失しても確実に情報漏えいを防ぐことが可能になります。また、セキュリティソフトの定義ファイルやパッチ更新なども"従業員任せ"にならずに一括適用できますし、従業員にとっては社外からでも社内LANにアクセスしてスムーズに業務を行えるので、管理者・従業員の双方にとって一石二鳥だと感じました」

デスクトップ仮想化プロジェクトを立ち上げた同社は、まず営業部門が利用する端末のデスクトップ環境を仮想サーバーへ移行し、導入作業は順調に完了したかと思われた。ところが、その後ほどなくして、社内LANにウィルスが蔓延する事態が発生してしまったのだ。

「管理対象は、仮想環境だけじゃなかった……」ユーザー任せの“物理環境”が死角に

調査の結果、原因はある1台のPCにおいて、“物理環境”のセキュリティアップデートが漏れており、インターネットアクセス時に感染。その後、社内LAN接続時にウィルスが蔓延した事が明らかになった。

「盲点でした。デスクトップ仮想化を施したPCは、専用端末ではなく従来のファットクライアントを使用していたので、“物理環境”にWindows OSおよびIEだけはインストールされたままになっていました。ユーザーが仮想マシン上にある自分のデスクトップ環境を呼び出すには、VPN接続した上でID/PWを入力する必要があるので、インターネットを使用するだけならVPN接続せずに、物理環境から直にアクセスした方が楽だったんです」(前出W氏)

仮想マシン上に集約されたデスクトップは、W氏をはじめとした情報システム部門によって、確かに最新の定義ファイルや修正パッチが一括で適用されていたが、感染リスクを確実に防ぐためには、すべてのPCやスマートデバイスにおける“物理・仮想”両環境のセキュリティ状態を管理しなければならない。しかし、“物理環境”における定義ファイル更新やパッチ適用などは、従来どおり"ユーザー任せ"にならざるを得ず、そこにセキュリティホールが存在していたのだ。

「我々が、数百台にもおよぶクライアント端末の物理環境におけるセキュリティ状態を把握し、脆弱性のある端末に対策を施すことは、マンパワーを考慮すると現実的に不可能でした」(前出W氏)