政府が推し進めている「働き方改革」は、ロケーション（場所）に縛られず、時間に束縛されず業務に従事することにより生産性を上げていこうという取り組みだ。 一人ひとりのニーズにあったら働き方を実現しようと多くの企業がこの取り組みに賛同し、取り組んでいる。

業務効率とセキュリティ向上を期して「デスクトップ仮想化」を導入！・・・のはずが、
まさかのウィルス感染？

株式や投資信託、先物系取引などを手掛ける中堅証券会社X社。同社ではその業種柄、従来のノートPCに加えて、スマートフォン/タブレットPCの導入や在宅勤務など、テレワークを中心とした働き方改革を積極的に導入しています。

それゆえ、ISMS（情報セキュリティマネジメントシステム）に準拠した情報セキュリティ管理には力を注いでおり、各種対策ツールの導入はもちろん、詳細な社外持ち出しルールを定めて各端末を管理してきました。しかし、端末を持ち出す以上、例えば置き忘れや紛失などによる”情報漏えいリスク”を100%払拭することはできません。

そこで同社は検討の末、ワークスタイルの多様化に即したセキュリティ強化を目的に、「デスクトップ仮想化」の導入を決定します。同社情報システム管理部課長のW氏はこう語ります。

「デスクトップ環境をサーバー側に集約することで、クライアント端末には一切のデータが残らないため、万が一PCを紛失しても確実に情報漏えいを防ぐことが可能になります。また、セキュリティソフトの定義ファイルやパッチ更新なども”従業員任せ”にならずに一括適用できますし、従業員にとっては社外からでも社内LANにアクセスしてスムーズに業務を行えるので、管理者・従業員の双方にとって一石二鳥だと感じました」

PC仮想化プロジェクトを立ち上げた同社は、まず営業部門が利用する端末のデスクトップ環境を仮想サーバーへ移行し、導入作業は順調に完了したかと思われました。ところが、その後ほどなくして、社内LANにウィルスが蔓延する事態が発生してしまったのです。

「管理対象は、仮想環境だけじゃなかった…」ユーザー任せの“物理環境”が死角に

調査の結果、原因はある1台のPCにおいて、“物理環境”のセキュリティアップデートが漏れており、インターネットアクセス時に感染。その後、社内LAN接続時にウィルスが蔓延した事が明らかになりました。

「盲点でした。デスクトップ仮想化を施したPCは、専用端末ではなく従来のファットクライアントを使用していたので、“物理環境”にWindows OSおよびIEだけはインストールされたままになっていました。ユーザーが仮想マシン上にある自分のデスクトップ環境を呼び出すには、VPN接続した上でID/PWを入力する必要があるので、インターネットを使用するだけならVPN接続せずに、物理環境から直アクセスした方が楽だったんです」(前出W氏)

仮想マシン上に集約されたデスクトップは、W氏をはじめとした情報システム部門によって、確かに最新の定義ファイルや修正パッチが一括で適用されていましたが、感染リスクを確実に防ぐためには、すべてのPCやスマートデバイスにおける“物理・仮想”両環境のセキュリティ状態を管理しなければなりません。しかし、“物理環境”における定義ファイル更新やパッチ適用などは、従来どおり”ユーザー任せ”にならざるを得ず、そこにセキュリティホールが存在していたのです。

「我々が、数百台にもおよぶクライアント端末の物理環境におけるセキュリティ状態を把握し、脆弱性のある端末に対策を施すことは、マンパワーを考慮すると現実的に不可能でした」(前出W氏)

課題・問題のポイント
■アクセス端末の“物理環境”におけるセキュリティ管理が盲点に
■“物理環境”のセキュリティ管理までは手が回らず、“ユーザー任せ”
■数百台の端末をマンパワーで管理することは不可能

自社のセキュリティ対策のあり方について、一からの見直しを迫られていた同社情報システム管理部担当課長のW氏は、いつもみているネットメディアで「仮想デスクトップ管理ソリューション ISM CloudOne」のホワイトペーパーを見つけました。

ダウンロードした資料をみると、同ソリューションは「『デスクトップ仮想化』環境下で、“仮想マシン上のデスクトップ”と、そこにアクセスするあらゆる端末(Windows、Mac OS、iOS、Android端末)の“物理環境”におけるセキュリティが一元管理できる」とのこと。

まさに、自社が抱える課題に最適のソリューションだ、と判断したW氏は、さっそく詳しい提案を受けた上でトライアル導入を申し込み、検証を開始しました。

“個人任せ”だったセキュリティ対策を、管理者側のコントロール下へ

B氏はその後、30日間のトライアルで実際の機能を検証。その有効性を確認し、ほどなくISM CloudOneの採用を決定しました。

導入の結果、社内の多数のPCにおいて、セキュリティパッチやウィルス対策ソフトのパターンファイル更新が正しく設定されていないことが分かりましたが、速やかに処理を施し、ポリシーに適合させることができました。

また、適合状況がいつでも管理者が把握、是正できるようになったことで、利用者側のセキュリティに関する意識・リテラシーの変化にもつながっているようです。

仮想マシン上のデスクトップ環境と“マルチ”なアクセス端末の「脆弱性」を自動で検出！

W氏はまず、ある部門の数十台のPCおよびスマートフォンを対象に、「脆弱性診断」を実施しました。

「仮想マシン上のデスクトップ環境および各アクセス端末からは、インターネット経由でウィルス検索エンジン情報やパターンファイル情報を自動収集することができました。“仮想・物理”両環境のセキュリティ情報を、手間をかけずに収集できるだけでも優れ物でしたが、より効果が期待できたのが「セキュリティ辞書」をベースにした自動脆弱性診断でした。

この辞書は毎日更新・配信されており、先に収集した各環境・各端末のセキュリティ情報とマッチングすることで、自動的に脆弱性のある端末を検出してくれたのです。実際、ほとんど作業を必要とせず、Webコンソール上で更新漏れのあるPCやスマートフォンを特定できたときは感動しました」(前出W氏)

さらに、深刻な脆弱性があると判断された端末には、対象ユーザーのデスクトップにアップデートを指示するメッセージを表示したり、リモート操作で強制的に適用・インストールすることも可能です。

「パッチ適応などの更新作業が社員のITリテラシーに依存している以上、いくら“デスクトップ仮想化”を施してもそのメリットは半減という判断をせざるを得ませんでした。ですが、このソリューションのおかげで、物理環境における端末セキュリティの弱点を十分に補完できデスクトップ仮想化のメリットが充分に期待できました」(前出W氏)

仮想・物理環境や端末を問わず、ユーザーに依存しないセキュリティ一元管理により、“デスクトップ仮想化のメリット”を最大限に享受

こうして詳細な検証を行った後、同社は「仮想デスクトップ管理ソリューション ISM CloudOne」の有効性を確信し、正式導入を決定しました。

本ソリューションはクラウドサービスなので、専用サーバーやシステム構築、高度なスキルをもった専任者などが不要で、コスト・リソース面における負担が少ない点も採用を後押ししたといいます。

日々の作業はWebコンソール上でセキュリティレベルを確認するだけなので、人的リソースを割くことなく、すべてのPCおよびiOS、Android端末の一元管理が可能に。ユーザーに依存しない万全のセキュリティ対策を実現したことで、“デスクトップ仮想化”のメリットを最大限に享受できるようになりました。今回の導入についてW氏はこう総括します。

「“デスクトップ仮想化”に大きな投資をした上での深刻なセキュリティ課題だったので、一時は本当にどうなることかと思いましたが、ユーザーに異存しないセキュリティ対策を実現でき安堵しています。また、当社は人的リソースが限られているため、“仮想・物理”両環境のあらゆる端末のセキュリティ管理を、ほぼ自動で一元化できたことも大きなポイントです。当面の課題解決にとどまらず、これからもISM CloudOneは、働き方改革を支援する“よきパートナー”として活用していきたいと思います」

同社では今後、個人所有/会社支給に関わらず、マルチデバイスの一元管理が可能な特長を活かし、要望が高まりつつあるBYOD(私的デバイスの業務利用)についても検討していく構えです。

解決後の効果・結果

■仮想・物理環境や端末を問わないセキュリティ一元管理により、「デスクトップ仮想化」の弱点を克服してメリットを最大化
■セキュリティ情報の収集と「セキュリティ辞書」のマッチングにより、自動で「脆弱性診断」を実施し、早期の対策が可能に
■専任者不要のオペレーションにより、人的リソースを割かずに”ユーザーに依存しない”強固なセキュリティ体制を確立

この課題を解決したソリューションはこちら