ついに始まった「デスクトップもクラウド」の時代!安全な活用を行うための鍵は強固なユーザー認証

お役立ち
2020.08.06

コロナ禍でのテレワーク拡大によって注目度が高まる「Desktop as a Service」

新型コロナウイルス感染症拡大を受け、テレワークを採用する企業は一気に増えました。これを一時的な対応とせず、働き方の「ニューノーマル(新しい常態)」として定着させていこうという動きも始まっています。ここで1つの課題となるのが、テレワークで利用する端末をどのようにして調達し、そこに社内と同じ環境をいかにして作り上げるか、ということです。

テレワークの増大に伴い、モバイル型PCの需給は逼迫しています。そのためテレワーク対象となる社員の数だけモバイル型PCを調達しようとしても、短期間には揃わないケースが少なくありません。このような状況から、在宅勤務では個人所有のPCの使用を許可する企業も増えています。しかしこの場合には、社内PCと異なるデスクトップ環境となってしまい、業務効率にマイナスの影響を及ぼす可能性があります。

この問題を解決できる手段として、最近大きな注目を集めるようになっているのが「DaaS(Desktop as a Service)」です。これは仮想化されたデスクトップ(クライアントOS)を、パブリックラウド上で動かして提供するというもの。業務で使うデスクトップをDaaS上に構成し、手元のデバイスからアクセスするようにすれば、異なるデバイスを使用した場合でも同じデスクトップが利用できるようになります。

また端末を持ち歩いて利用する場合には端末の紛失によって情報漏洩が発生する危険性がありますが、DaaSを使用すればこの不安も解消されます。アプリケーションやデータはクラウド上のDaaS上にあり、端末側にはデータが残らないからです。

このような特長は、デスクトップをサーバー上で仮想化しシンクライアントなどから利用するVDI(Virtual Desktop Infrastructure)とよく似ています。しかしDaaSは自社でVDI用のサーバーを立てる必要がなく、運用管理もクラウドベンダーに任せられます。そのため初期投資を抑えながらスモールスタートでき、必要に応じて規模を拡大した場合でもIT部門の負担を大きく増やすことがない、というメリットがあります。

すでにサーバーの仮想化は多くの企業で進んでおり、それをパブリッククラウドのIaaSへと移行したり、サーバー上の業務アプリケーションそのものをPaaSなどでクラウドネイティブにしていこうという取り組みも広がっています。コロナ禍への対応を機に「クライアントもクラウド化しよう」という発想が広がるのは、自然な流れだとも言えます。

DaaSを利用する場合には多要素認証の導入を

メガクラウドが提供するDaaSとして先行していたのはAmazon Web Services(AWS)が提供する「Amazon WorkSpaces」です。AWSは2013年11月にこのサービスを発表、すでに6年以上の歴史があります。当初はWindowsの仮想デスクトップを提供していましたが、2018年6月にはLinux版の提供も開始。2020年3月には特定の条件を満たす企業や組織に対し、最大50ユーザーが無償で利用できる期間限定のプランを提案したことでも話題になりました(このプランは2020年6月30日で終了しています)。

その一方で、クライアントOSで圧倒的なシェアを持つマイクロソフトも、DaaSの提供を本格化しています。同社は2019年3月に「Windows Virtual Desktop(WVD)」のパブリックプレビューを開始、同年9月に一般提供をスタートしているのです。

これらのDaaSを活用することで、複数端末を使い分けるユーザーの利便性は飛躍的に向上します。またPCを買い換える際にも、改めて環境構築をする必要がありません。アプリケーションを動かすにはスペックが不十分な古いPCを、DaaS用の端末として再利用する、といったことも可能になります。DaaSへの移行には、数多くのメリットがあるのです。

ここで気になるのがセキュリティです。特に重要なのがユーザー認証です。DaaSはクラウド上にあり、インターネット経由で誰でもアクセス可能なので、認証情報が第三者の手にわたってしまえば、勝手に使われてしまう危険性が高いからです。

まずWVDに関しては、これだけで十分に強固な認証が実現されていると言えるでしょう。WVDへのアクセスではAzure ADとAD DS(Active Directory Domain Services)という2つの認証を受ける必要があり、多要素認証などの「条件付きアクセス」も設定可能だからです。

一方、Amazon WorkSpacesは基本的に、ユーザーIDとパスワードで認証を行なうため、このままではセキュリティに不安が残ります。多要素認証もサポートしていますが、その場合には別途、オンプレミスやクラウド上のRADIUSサーバーと連携する必要があります。

そこでぜひお勧めしたいのが、OneLogin RADIUS機能の活用です。OneLoginのRADIUSサーバーはクラウド上にあるため、Amazon WorkSpacesへのアクセスで多要素認証を要求する環境を、簡単に構築できるからです。またAmazon WorkSpacesだけではなく、Microsoft 365やG Suite、Box、Dropbox、Slack、Salesforceといった、多様なクラウドサービスへのシングル・サインオンも実現できます。ユーザーは1つのIDで簡単に、十分なセキュリティが確保された状態で、DaaSを始めとする多様なサービスを活用できるのです。

もしDaaSの導入を考えているのであれば、この機会にぜひマルチクラウドに適した認証環境を、確立しておくことをお勧めします。