なぜ企業はVDI(シンクライアント)からセキュアFATに移行するのか?~ゼロトラスト時代の情報漏洩対策~

なぜ企業はVDI(シンクライアント)からセキュアFATに移行するのか?~ゼロトラスト時代の情報漏洩対策~のアイキャッチ画像

パソコン持ち出し時の情報漏洩対策

テレワークやハイブリッドワークなどにより、私たちの働き方は多様化しています。必ずしもオフィスに行かなければ仕事はできない働き方はもはや過去のことです。

パソコン・スマートフォン・スマートデバイスなどのハードウェア端末や、クラウドサービスを利用したソフトウェアのサービスが整い、誰しもが様々な場所で働くことが可能です。

しかし、様々な場所で働くためにはパソコンなどの端末を持ち出す必要があり、個人情報保護法なども年々厳しくなっていることから、情報漏洩のリスク対策も必須の時代です。

みなさんはパソコンの紛失・盗難時の情報漏洩対策はできていますでしょうか?

電車の網棚に置き忘れ、レストランやカフェなどで一時離席中に盗難、社有車で外出時に車上荒らしで盗難、食事・飲み会・居酒屋などの飲食店で鞄ごとパソコンを紛失など、どこでもパソコンの端末などの紛失リスクは存在します。

企業も個人も紛失・盗難に備えて情報漏洩防止を目的としたセキュリティ対策は重要です。

図:PC持ち出し時の情報漏洩リスクと場面

セキュアFATパソコンとは

セキュアFATパソコンとは、セキュリティ機能や対策が実装されたパソコンです。

一般的なパソコンやノートパソコン(FATやFAT PC)と比較すると、セキュリティ機能を実装して安心して持ち出せることや、データのローカル保存など生産性の向上の観点から注目が集まっています。

セキュアFAT・セキュアFAT PC・セキュアPCなど各社で様々な呼ばれ方があり、セキュアFATパソコンの明確な定義は定まっていないと考えられます。

本コラムでは「セキュアFAT」の名称で統一してご紹介します。

例:FAT PCをセキュアFATにするメリットがある

シンクライアントとは

シンクライアントとは、一般的なFAT PCと異なり端末にデータを保存せず、端末のデータ処理やデータ保存をネットワーク上のサーバーで行われます。

シンクライアントの仕組みは複数存在しますが、代表的なのがVDI(仮想デスクトップ)と呼ばれる方式です。

仮想デスクトップといっても、パソコン端末は利用者の手元で操作できますが、端末の実態はネットワークを経由したサーバー上の仮想パソコンということになります。

VDI(シンクライアント)からセキュアFATへの移行・切り替え事例

PCのセキュリティ対策の1つとして、これまではVDI(仮想デスクトップ)を利用したシンクライアントが多く採用されてきました。

しかし、最近ではシンクライアントからセキュアFATに移行する事例がでてきました。
例えば、NTTコミュニケーションズでは新型コロナウイルスをきっかけとした在宅勤務に伴い、VDIによる生産性やセキュリティの課題を解決するために、VDIからFAT端末に切り替えてセキュリティの課題や生産性を高めることに取り組んだようです。
全日本空輸株式会社(ANA) では、次世代のクライアントパソコンを、VDIからセキュアFATに移行することが発表されています。

学校法人 嘉数女子学園 沖縄女子短期大学では、脱シンクライアントでも情報漏洩対策を行いテレワークを実現しています。

NTTコミュニケーションズ

1万4000人の在宅勤務支えるNTTコムのゼロトラスト、サイバー攻撃被害で対策徹底 シンクライアント端末からFAT端末へ

出典 https://xtech.nikkei.com/atcl/nxt/column/18/01418/092400006/

全日本空輸株式会社

ANA次世代クライアント  VDIからの移行でセキュアFAT端末を採用

出典 https://www.atpress.ne.jp/news/256035

学校法人 嘉数女子学園​ 沖縄女子短期大学

テレワークで使用するためにデバイスを安心して持ち出すことが出来る

出典 https://www.onebe.co.jp/casestudy/case_owjc.html

シンクライアントからセキュアFATへの切り替えが注目されている背景

なぜセキュアFATによるPC運用が注目されているのでしょうか?

セキュアFATでは、私たちの働き方の変化に柔軟に対応して生産性向上を実現するとともに セキュリティ対策・ネットワーク依存からの脱却・コスト削減など、いくつものメリットから注目されているようです。

この理由について、少しPC運用の方式について時代をさかのぼりたいと思います。

VDI(仮想デスクトップ)をはじめとするシンクライアントによるPC運用は、おおよそ2010年前後から本格的に広まりました。有名なのはシトリックス・システムズ社のXenDesktop(Citrix Virtual Desktops)やVMware社のVMware Horizon (Horizon View)などがあります。
シンクライアントを導入することにより端末にデータを保管せず、サーバーやストレージにパソコンの実態を集約して統合管理できる運用が可能になりました。

特に大手企業を中心に統合管理・セキュリティ・コンプライアンスなどを目的として導入されてきた背景があります。先ほどご紹介した事例も、そのような背景からシンクライアントを導入したと考えることができます。
しかしながら、2020年代に新型コロナウイルスを起因として、多くの社員がテレワークや在宅勤務など、リモートで仕事をする働き方が必要になり風向きが変わってきました。
多くの社員が社外からリモートから社内のVDI環境(サーバー・ストレージ・ネットワークなど)にアクセスすることなどから様々な課題が表面化したのです。

シンクライアントでは、端末のデータがすべてサーバー側に配置されていることが原則であるため、ネットワーク集中すれば自分の仮想デスクトップが遅いなど生産性に影響を及ぼします。

企業により課題は様々ですが、セキュアFATによるパソコンの運用が注目されてきた理由はこのあたりに繋がってきます。

VDI(シンクライアント)からセキュアFATの比較

企業規模

VDI(シンクライアント)は主に大企業を中心として導入がこれまで進んできました。セキュアFATは企業規模の大小に関わらず、柔軟に検討して利用することが可能です。

コスト

シンクライアントで一番の課題はやはりコストです。VDI(シンクライアント)を利用するのはスケールメリットが生かせる大企業です。セキュアFATを実現する製品やソリューションは多様ですが、一般的にはVDIより低いコストでセキュリティと生産性が維持または向上できると言うところがポイントになります

生産性

例えば、VDI(シンクライアント)では1台のパソコンが起動して仮想デスクトップに接続するまでの時間が3分だったとします。これに対してセキュアFATでは起動してから仕事を始めるまでの時間が1分だとします。

たかが1分と3分の違いかと思われますが、仕事を開始するまでに3倍時間が掛かるとも言えます。従業員が数十名や数百名程度の中小企業であればその辺りはあまり気にならないかもしれませんが、大企業等の数千人や数万人規模の場合において、一人一人の仕事の開始が数分遅れることだけで、従業員の全体を考えると1日・1週間・1ヶ月・1年・・・と考えていくと莫大な時間になることが想像でき、生産性に対して影響があると大局的に考えることができます。

セキュアFATは端末で動作するので、素早くすぐに仕事が取り掛かれます。

データ場所

データ保存場所はVDI(シンクライアント)ではサーバー保存となるのが原則ですが、セキュアFATは端末でもサーバーでも両方でも配置することが可能になります。このあたりは運用方法や世の中のソリューションなど、各企業ごとに異なると考えられます。

セキュアFATのメリットはセキュリティと生産性とコスト

セキュアFATの運用では、エンドポイントの端末側にもしっかりセキュリティ対策を行ったり、クラウドサービスも利用することで、セキュリティ対策をしつつ生産性の向上が実現できます。

具体的には、これまでサーバー側にのみ保存していたデータの保存場所に柔軟性があり、端末でもサーバーでもデータの保存が可能な考え方ができます。

セキュアFATによる運用では、どこからでも必要なデータにアクセスでき、セキュリティ対策をできる時代になってきたことが、広まっている理由になっていると考えることができます。

そして注目するべきは、VDI(仮想デスクトップ)をはじめとするシンクライアントと比較するとコスト削減にも効果があると考えられる点です。

シンクライアントからセキュアFATへの移行および切り替えイメージ

経営者の視点ではシンクライアントのPC運用はコストが一番のネックになることが一般的です。
しかしシンクライアントはデータレス化したことによる高いセキュリティやコンプライアンスへの対策がメリットであるため、シンクライアント以外の方式に移行する決断は簡単ではありません。
セキュアFATでは、シンクライアントで課題となっているコストを削減できる可能性が高いことががポイントです。サーバー運用がオンプレミスからクラウドサービスへ移行できることも様々な面でメリットがあります。
利用者の視点では、シンクライアント端末における生産性の課題が体感的に感じられることになり、例えばこれまでサーバー側にのみ配置しなければならないなどのさまざまな課題がありました。

セキュアFATではデータ配置場所がローカル・クラウド・両方などお客様の運用に沿った形で柔軟に対応することが可能になります。
シンクライアントからセキュアFATへの切り替えは、セキュリティ・生産性を両立させてコスト削減が狙えることが最大のポイントと言えます。

図:VDI(シンクライアント)からセキュアFATのコストイメージ

ゼロトラスト時代に向けたセキュアFAT

企業がシンクライアントからセキュアFAT(ファットクライアント)へ移行する理由を幾つかご紹介しました。

セキュリティの観点として、シンクライアントは端末のデータがサーバーにすべて保存され、情報漏洩リスクを低減することが可能ですが、ハイブリッドワークの時代ではクラウドサービスやリモートアクセスが増加してネットワークを含めたさまざまな課題も見えてきました。そこで注目されてきたのがセキュアFATによるセキュリティ対策と生産性向上が可能なPCの運用方法です。

セキュアFATでは、シンクライアントと異なり端末側でパフォーマンスを発揮します。例えばネットワークに依存せずに作業ができたり、データをローカル保存することもできるため、ネットワークの帯域幅や遅延に左右されず、高速な処理が可能です。特定のアプリケーションに対してもシンクライアントと比較して制限が少なく、柔軟性が高いとされています。

まとめると、ゼロトラストセキュリティが求められる時代において、シンクライアントからセキュアFATへの移行はセキュリティと生産性の観点から企業のさまざまなパフォーマンスの向上を目指すことができるともいえます。

ワンビ株式会社
セキュリティエバンジェリスト 井口 俊介

高等専門学校卒業。大手企業のミッションクリティカルシステムのアカウントサポートを担当。
その後プロジェクトマネージャーにてITインフラの導入に携わる。
2020年からワンビ株式会社でエンドポイントセキュリティのプリセールスとして従事。営業技術支援、セミナー講演、コラムの執筆など幅広くセキュリティ業務に携わる。