沿って, smartwatches 18/01/2023

キヤノンマーケティングジャパン株式会社 ESET SPECIAL SITE キヤノンMJがお届けする安全なデジタル活用のためのセキュリティ情報 サイバーセキュリティ情報局 ESET シンクライアント端末はセキュリティ対策として有効か?

シンクライアント端末の発端は約25年前

コロナ禍を受けたリモートワークへの移行において、多くの企業で課題となったのが業務環境の整備だろう。セキュリティを担保しつつ、従業員の効率的な業務遂行を実現できるか、各企業で試行錯誤が重ねられた。そうした動きにおいて、対策の1つとして挙がっていたのがシンクライアント端末の利用だ。すでに大企業や官公庁などでは導入が進んでいたが、これを機に検討を行った中小企業も少なくないはずだ。

そもそも、シンクライアントという考え自体は最近登場したものではなく、歴史は20年以上前に遡る。当時、Windows 95の登場でパソコンが一気に普及したものの、その価格の高さがネックとなっていた。こうした障壁の解消を狙い、オラクル社が「Network Computer」というアーキテクチャを発表。さらに、Network Computerのすぐ後に発表された、サン・マイクロシステムズ社の「Java Station」の登場により、「シンクライアント」という概念が世の中に広く認知されていくこととなったのだ。しかし、結局これら2社の製品が市場のシェアを大きく占めることはなかった。当時急速に普及していた、マイクロソフト社の業務関連ソフトウェアを採用しなかったことが大きな理由だ。

その後、マイクロソフト社が2社に対抗して「Windows Based Terminal」を発表。しかし、パソコン自体の低価格化が進んだことで、「Windows Based Terminal」の価格優位性が薄れてしまい、結果的に当時はシンクライアント端末が普及するまでには至らなかった。

セキュリティを強化するためのシンクライアント導入

シンクライアントの概念が広まった当時、主に訴求されていたのは価格の優位性だった。パソコンの価格が下がったことで、その優位性が薄まり存在感を失ったかに見えたシンクライアントだが、セキュリティという観点から改めて注目を集めるようになった。

2000年代に入るとパソコンが急速に普及したことで、端末の管理が煩雑になった。さらに、ノートパソコンの利用が広がるにつれ、紛失・盗難リスクなども無視できない状況となっていった。そこで、シンクライアントの仕組みに改めて注目が集まることとなる。こうして2000年代の中盤以降、大企業を皮切りにシンクライアントの導入に弾みがつくこととなった。

シンクライアントを支える仕組み

2000年代以降、多くの企業でパソコンが日常的に利用されるようになったことで、セキュリティ強化を目的にシンクライアントの導入も進んだ。そもそも、シンクライアント端末の「シン」とは「Thin(薄い、ほっそりとした)」という意味のこと。シンクライアント端末を利用する場合は、サーバーが多くの処理を担うため、端末内に必要最低限のメモリーやCPUなどを搭載し、原則として端末内部のストレージにはデータが保存されない仕組みとなっている。

シンクライアントを実装する方法は、ネットワークブート方式と画面転送方式の2つがあり、画面転送方式はサーバーベース型、ブレードパソコン型、VDI型の3つに分けられる。また、実装方式ごとに作業の処理が異なる点にも注意が必要だ。

図1: シンクライアントの実装方式と処理の違い

あらかじめサーバー上に格納したイメージファイルを、端末からブートしてシンクライアント環境を提供する方式だ。通常、同じイメージファイルを複数人で共有することが前提となるため、少人数の管理者で統一されたパソコン環境を整備する必要があり、教育機関などで採用されることが多い。

キヤノンマーケティングジャパン株式会社 ESET SPECIAL SITE キヤノンMJがお届けする安全なデジタル活用のためのセキュリティ情報 サイバーセキュリティ情報局 ESET シンクライアント端末はセキュリティ対策として有効か?

サーバー上で稼働するアプリケーションを、複数の従業員で共有して作業できる方式。サーバー側でアプリケーションの処理を行うため、端末側にかかる負担が小さいのがメリットといえるだろう。しかし、サーバー側で動作可能なアプリケーションに利用が限定される点がデメリットとなっている。

サーバー側に従業員ごとのブレードパソコンを準備しておき、シンクライアント端末からアクセスする方式。従業員はそれぞれブレードパソコンを占有できるため、自由度が高く、通常のパソコンと使い勝手は大きく変わらない。しかし、ブレードパソコンが通常のパソコンよりも高価であるうえに、ネットワークのトラフィック容量に依存する側面もある。

サーバー上に従業員ごとの仮想的なデスクトップ環境を準備しておき、シンクライアント端末からアクセスする方式。ブレードパソコン型と同様に、従業員ごとに独立した環境を準備できる。また、サーバー側でハードウェアリソースを従業員間で共有できるため、限られたハードウェアリソースを有効活用できることもメリットだ。画面転送方式では全般に、ネットワーク帯域の環境に依存するというデメリットがあるが、VDI型も例外ではない。

シンクライアントと何が違う?VDIの活用にセキュリティ上の課題はあるか?

シンクライアントの端末を導入するメリットとデメリット

複数の実装方式があるシンクライアントだが、その導入には以下のようなメリットとデメリットがある。

シンクライアントの端末を導入するメリットは、セキュリティレベルの向上が大きい。原則として端末側にデータを残さないため、紛失や盗難時の情報漏えいリスクを軽減させることができる。

画面転送方式である、サーバーベース型、ブレードパソコン型、VDI型であれば、クライアント端末側は最小限の構成で利用可能だ。そのため、いわゆるファットクライアントと呼ばれる通常のパソコンと比較すると、端末自体は軽量で低価格なものが多く、故障しやすいストレージを搭載しないことから長期間利用できる点が特長とされる。また、ファットクライアントをそのままシンクライアント端末として利用することもできる。個人所有のパソコンやタブレットをBYODとして、社内システムへアクセスさせるような運用方法も検討可能だ。

管理面においても、シンクライアント端末のメリットは大きい。一度サーバー側で設定すれば、端末側ではほとんど設定する必要がない。ストレージを搭載していないシンクライアント端末であれば、故障も少ない。このように、リモートワークをはじめとした運用におけるセキュリティ要件を実現するためには、シンクライアント端末は極めて有効だといえるだろう。

シンクライアントの端末を導入するデメリットとして代表的なのは、初期投資の負担の大きさだ。VDI方式などでは、高性能なサーバーや仮想化を実現するソフトウェアを導入しなければならない。端末側で処理を行わない分、サーバー側に十分な処理能力を準備する必要があるのだ。また、シンクライアント端末を利用するためには、ネットワーク環境が必須となる。このため、オフラインでは利用できず、ネットワーク帯域の通信状況に依存してしまうことも押さえておかなければならない。

シンクライアント導入以外でリモートワークを実現する方法

ここまで見てきたように、シンクライアントの導入にあたってはコスト面の負担が少なくない。そのため、コスト負担とのバランスを鑑みてコンプライアンスを重視する姿勢の企業や、従業員が多い大企業以外では導入障壁が高いとも言える。そこで、リモートワークを実現するために、シンクライアント以外で考えられる方法を以下、紹介する。

リモートデスクトップとは、遠隔にあるパソコンを手元の端末で操作する手法のことだ。Windows環境ではRDP(Remote Desktop Protocol)により、簡単にリモートからパソコンを操作できる。遠隔にあるパソコンを操作するには、RDPのプロトコルに対応していれば、タブレットでの操作も可能だ。最近では、リモートデスクトップを安全に利用できるソフトウェアなども提供されるようになっている。

リモートデスクトップの技術を使い、手元側と遠隔側の双方の端末にソフトウェアをインストールすることで、簡単かつ安全にリモートデスクトップを実現可能な、シン・テレワークシステムという方法の利用も広がっている。リモートデスクトップであれば、専用の端末が不要なため、投資コストを抑制して導入できる点が大きなメリットだ。

Windowsが備えるRDPはサイバー攻撃に遭いやすい?必要な対策とは?

仮想的にデスクトップをサーバー上に構築し、従業員の端末からアクセスさせるVDI方式と、仮想的に専用のネットワークを構築するVPNを併用することで、安全な業務環境を提供できる。この場合、従業員の個人所有デバイスを用いることも可能で、いわゆるBYODとして業務を遂行することが可能だ。

しかし、この方式の場合、端末の処理がサーバーの処理能力とネットワークの帯域に依存してしまう。コロナ禍で、首都圏のマンションなどではトラフィックが膨れ上がり、ネットワークの遅延が頻発した。そういった場合、作業効率が下がってしまいかねない。また、VDI、VPNそれぞれでコストが生じる点もデメリットだと言える。

近年、クラウド技術の進展により、業務用のソフトウェアもクラウド上で完結できるものが増えている。Microsoft 365やGoogle Workspaceなどのオフィススイートや、専門業務に特化したクラウドサービスも普及しつつある。これらを活用し、ファイルをクラウドストレージにアップロードすることによって、クラウド上で業務は完結可能となる。ただし、旧来の基幹システムを利用している場合などでは、クラウド上での完結が難しいケースもあるだろう。

シンクライアント導入は可用性と安全性のバランスを

国内ではコロナ禍の沈静化とともに、リモートワークの比率を下げる企業も出てきている。しかし、リモートワークが普及した背景は感染抑制だけではなく、それ以前からの働き方改革に伴う変化という大きな潮流があることを忘れてはならない。

リモートワークを活用する柔軟な働き方は、新しい選択肢として着実に浸透しつつある。事実、コロナ禍以前より、IT系のエンジニアではリモートワークでの業務が一般化していた。そして、コロナ禍におけるリモートワークによって、そのメリットを実感したという声も多く聞かれる。今後、リモートワークという働き方を取り入れているかどうかが人材の採用力につながる可能性も指摘されている。

クリエイティビティが問われる時代へと変遷した現在、柔軟な発想でリモートワークという働き方も積極的に取り入れること。そうした判断が企業経営にも求められる時代になっているのではないだろうか。

そして、リモートワーク環境の整備は、セキュリティ対策と切り離すことはできない。自社の環境や経営状況に応じた、リモートワークを実現する方法として、シンクライアントの導入をはじめ、さまざまな選択肢を検討・実践してほしい。