セキュリティ

クラウド・エンドポイントとは? クラウド端末のセキュリティ最前線

昨今、テレワークの普及が進む中、仮想デスクトップサービス(VDI)の需要が増しています。Microsoftはこうしたニーズに対応し、従来のAVDに加え、Windows 365 クラウドPCというVDIを提供しています。本記事では、こうしたクラウド化されたエンドポイントのセキュリティや、その管理運用方法について解説します。

ラウド・エンドポイントとは? クラウド端末のセキュリティ最前線

Microsoft Digital Trust Security ソリューション一覧

クラウド・エンドポイントとは?

クラウド・エンドポイントについて、まずは従来からよく知られている「エンドポイント」の基本的な意味を確認し、その後、その拡張概念である「クラウド・エンドポイント」の定義を解説します。

エンドポイントとは

そもそもエンドポイントとは、ネットワーク上の物理的な終点となる機器のことです。たとえば、デスクトップPC、ノートPC、スマートフォン、タブレットなどがエンドポイントの代表例です。サーバーやプリンターなどもここに含めて考える場合もあります。

昨今の企業においては、クラウド、ウェアラブルデバイス、IoT機器の普及などを受けて、エンドポイントが非常に多様化しています。

クラウド化されたエンドポイントとは

上記のように、エンドポイントには従来、物理的な機器・デバイスが主に想定されていました。今日のエンドポイントは、必ずしも物理的な端末だけを指すだけではなくなっています。それがクラウド上に仮想化されたエンドポイント、つまり「クラウド・エンドポイント」です。

クラウド・エンドポイントの具体例として、DaaS(Desktop as a Service)が挙げられます。DaaSとは簡単に言うと、デスクトップ環境の各種機能をクラウド上で再現し、利用できるようにする仮想化サービスです。通常のデスクトップ環境に求められるリソースはDaaSが代替するため、ユーザーが使用する物理デバイスは従来よりも非常に簡素なものでよくなります。

従来、仮想デスクトップ(VDI)はオンプレミス環境内に構築されるものでしたが、DaaSが構築されるのはクラウド上です。したがって、ユーザーはインターネット環境があればどこからでもDaaSにアクセス可能で、リモートワークを導入する企業に適します。

Microsoftの2つのクラウド・エンドポイント

Microsoft社では、2つのクラウド・エンドポイントサービスを提供しています。一方は「Azure Virtual Desktop(AVD)」、他方は「Windows 365 クラウドPC(Win365)」というサービスです。どちらのソリューションもクラウド上で利用できる仮想デスクトップサービスですが、いくつかの点に大きな違いがあります。

たとえばAVDは、ユーザーがニーズに合わせて自由にカスタマイズできることが魅力のサービスです。他方、Win365は導入のしやすさに重点が置かれたフルマネージドサービスであり、カスタマイズ性はAVDに劣ります。したがって、技術力があり、カスタマイズ性に優れた仮想デスクトップを求めるならAVD、手軽に導入できる利用のしやすさを求めるならWin 365という差別化が可能です。

また、Win365の料金は月額固定制であるのに対し、AVDは使った分だけ払う従量課金制であること、シングルセッションのWin365に対し、AVDはマルチセッション対応が可能であることなども大きな違いとして挙げられます。

クラウド・エンドポイントのセキュリティ

クラウド・エンドポイントの活用は、セキュリティ上の観点から見て良い面も悪い面もあります。そこで以下では、クラウド・エンドポイントのセキュリティ上のメリット・デメリットを解説します。

クラウド・エンドポイントのセキュリティ上のメリット

クラウド・エンドポイントのセキュリティ上の利点として、第一にデータ流出リスクを抑制できることが挙げられます。クラウド・エンドポイントを利用すれば、データもクラウド上に保存できるため、物理端末にはデータが残りません。これによって、物理端末の紛失・盗難・不正利用などによって、データが流出するリスクを抑制できます。

また、一元的なセキュリティ管理が可能なのもクラウド・エンドポイントのメリットです。クラウド・エンドポイントは、一括で諸々のセキュリティ対策を行えます。これによってセキュリティ対策に付随する人的・経済的なコスト削減も可能です。

クラウド・エンドポイントのセキュリティ上の課題・デメリット

クラウド・エンドポイントのセキュリティ上のデメリットとして挙げるなら、インターネット接続を伴うことによるネットワークセキュリティの不安です。インターネット接続は、サイバー攻撃やマルウェアの侵入経路になりえます。したがって、クラウド・エンドポイントを導入する際には、多様な端末や接続環境への対策が必要です。

Windows 365クラウド PC の管理の実際

続いては、セキュリティ面も含めてWindows 365クラウド PC(Win365)を実際にどのように管理するのかを解説します。

クラウドPCをIntuneで管理

まずクラウドPCの管理は「Microsoft Intune」で行います。Intune は、「Microsoft 365 E3」などで提供される法人向けサービスのひとつです。特にモバイルデバイスやモバイルアプリケーションの管理に適したセキュアなクラウドサービスで、Microsoft Endpoint Manager(MEM)の一機能と位置付けられます。

Intuneでは、クラウドPCだけでなく、社内外のPCから従業員のスマートフォンまで、業務で使用される多様なデバイス情報の管理や状況確認、制御・ポリシー、さらにアプリの配信・制御まで、すべてクラウドベースで行えます。

クラウドPCのセキュリティ管理

Intuneは、同じくMicrosoft社の提供する認証サービス「Azure Active Directory(Azure AD)」と連携可能です。Azure ADは「ゼロトラスト」の考えに基づいており、多要素認証、パスワードレス認証、シングルサインオンなど、安全性と利便性を兼ね備えた最新のセキュリティソリューションです。

クラウドPCも含めたデバイスやユーザーの管理は、このAzure ADでグループを使用して行います。管理者は、組織のニーズに即して、ユーザーやデバイスを「地理」「部署」「ハードウェアの特性」などによってグループ管理できます。このグループ設定をすることで、管理者は、大勢のユーザーのポリシーを設定したり、複数のデバイスにアプリを展開したりするなど、大規模なタスクを一括で処理できるようになるのです。

もちろん、このタスクの中には、クラウド PCへのアクセス認証(条件付きアクセス)も含まれます。Azure ADには、「セキュリティベースライン」というMicrosoftのベストプラクティスがテンプレートとして搭載されているため、これを活用することで高度なセキュリティポリシーを効率的に適用できます。

クラウドPCをリモート管理する

Intuneでは、クラウドPCも含めたエンドポイントをリモートで管理可能です。たとえば、各クラウドPC をリモートでリサイズして、リソースとパフォーマンスを最適化できます。また、再プロビジョニングやアップデートなども、Intuneで主にできることのひとつです。

さらにデバイスの再起動やパスワードのリセット、あるいは紛失・盗難したデバイスの特定などもできるので、物理デバイスをセキュアに管理するのにも適します。

Azure Virtual Desktopを管理する

MEMまたはIntuneでは、従来のAVDも管理できます。ただし、全てのAVDが管理できるわけではありません。IntuneでAVDを管理するための条件として、主に以下のことが挙げられます。

  • Windows 10 Enterprise バージョン 1809 以降を実行中、またはWindows 11 マルチセッションを実行中
  • Azureで個人用リモートデスクトップとして設定
  • [ハイブリッド Azure AD に参加済み] で、Intune に登録済み

さらに、リモートロックやパスワードのリセットなど、一部のリモート操作もAVDでは対応していないか、推奨されていません。詳細は下記の記事をご参照ください。

まとめ

テレワークの普及が進む昨今、クラウド・エンドポイントの需要が高まっています。ただし、クラウド・エンドポイントにも物理端末と同様、セキュアな管理が欠かせません。クラウド・エンドポイントについて関心のある企業の情報システム担当者の方には、本番環境での実際のデプロイを通じて学べるワークショップの参加をおすすめします。

  • fb-button
  • line-button
  • linkedin-button

無料メルマガ

RELATED SITES

関連サイト

CONTACT

サイト掲載の
お問い合わせ

TOP