Tech Summit 2018: 本当に VDI じゃなくて大丈夫なの!? セキュアで生産性を向上させる Windows 環境を実現する方法
2018-12-23
azblob://2022/11/11/eyecatch/2018-12-23-tech-summit-pr062-001-1-e1555555155957.jpg

こんにちは。Cloud Solutions Engineerの花野です。

前回の投稿に引き続いて、Tech Summit2018の参加セッションのご紹介をさせていただきます。

PR06_本当に VDI じゃなくて大丈夫なの!? セキュアで生産性を向上させる Windows 環境を実現する方法

ここまで聴いたセッションはサーバ側の観点がメインだったのですが、こちらは一転、クライアント側の話です。

強固なセキュリティ対策がなされたサーバ環境を管理者が構築したとしても、クライアント側の対策が不十分だとセキュアなシステムにはなりません。また、よく言われますが、セキュリティと利便性はトレードオフになりがちです。

そんな課題に対して「セキュア」と「生産性」をキーワードに、クライアントで取れる対策を紹介していただいたのがこのセッションになります。演者の方はクライアントやOffice365 ProPlusなどのプリセールスエンジニアとのことで、現場をよくご覧になった上での、地に足が付いた内容だと感じました。

クライアント環境をセキュアに保とうという話でまず出るのがVDIです。VDIの基本概念は、OS、アプリ、データの全てをサーバ側であるVDI基盤の方に持たせ、クライアント側は画面転送でその機能を使うだけ、というものです。一見よさそうに見えますが、現状ではまだパフォーマンスが悪い、コストがかかる、特定のアプリがサポートされない、などの問題が出がちだということです。

また、「VDIを採用しているから大丈夫」とばかりに思考停止してしまい、結局は片手落ちな対策となってしまうこともあるようです。

VDIに頼りきるのではなく、結局は何をどうやって守るのかという視点が大事ということですね。というわけで、ここからは「VDIではなく従来の端末、いわゆるFAT端末のままでいかにセキュリティを担保するか」という説明がなされました。

クライアント端末のセキュリティを考えるにあたり、クライアント端末を「デバイス」「OS」「アプリケーション」「データ」のレイヤに分けた上で、それぞれのレイヤに対してセキュリティを担保するためのアプローチがあるそうです。

デバイスのレイヤでディスクを守るにはBitLockerの詳細
DSC_0112

まずはデバイスのレイヤでディスクを守るにはBitLockerです。BitLocerによりディスク全体が暗号化されるため、ディスクを盗まれて他のPCに接続されたとしても中身が読まれることはありません。

と、ここまでは単純にBitLockerの話であり、ご存知の方も多いかもしれません。

このセッションの特徴は、スライド右上に「生産性矢印」なるものが表示されているところです。生産性矢印は演者の方が独自に開発した指標とのことで、そのセキュリティ対策を取ることで生産性にどう影響を与えるかを表しています。

例えば上のBitLockerの例では横這い、つまり影響はありません。生産性に影響を与えずセキュリティが向上するということなので、これは導入した方がよいソリューションということになります。

BitLockerで暗号化したデバイスの多様化認証の構成
DSC_0116

BitLockerで暗号化したデバイスはWindows HelloとPINが関連付けられるため、ユーザーはWindows Helloでログインするだけで特に意識せず利用することができます。また、Windows Helloの特徴として、Windows10バージョン1709以降は多要素認証が構成できるようになったそうです。

Windows10の多要素認証のデモ画像
DSC_0117

デモではこのWindows10の多要素認証を見せていただきました。第一要素は顔認証、そして第二要素は事前にペアリングしておいた特定のスマートフォンの「信頼された信号」による認証です。

照明の関係か残念ながらデモではどうしても顔認証が通らなかったのですが、うまく動くとユーザーとしては「いつものスマートフォンをポケットに入れてパソコンに顔を見せるだけ」でWindowsが使えるということです。

これはユーザーとしては利便性が高く、悪用しようとしている人にはハードルが高いという、まさにセキュリティの理想形が実現されていて感心しました。

OneDrive for Businessの一押しポイント
DSC_0123
OneDrive for Businessのアプリによるローカルのデータとクラウドのデータのシームレス化
DSC_0122

リモートワイプについては軽く紹介され、続いてはOneDrive for Businessの話でした。

OneDrive for Businessのアプリを使用することにより、ローカルのデータとクラウドのデータをシームレスに扱えるというものです。

OneDrive for Businessと同期したローカルのフォルダをエクスプローラで見ると「状態」という項目が増え、アイコンが並んでいます。それぞれのアイコンの意味は以下となります。

  • 緑色のチェック→同期済みの項目
  • 矢印→同期中の項目
  • 雲アイコン→クラウドのみに保存されている項目

雲アイコンのファイルを開こうとするとすぐにデータのダウンロードが行われ、ローカルのデータのように閲覧することができます。また、ローカルで更新したデータは自動的にクラウドに同期されます。データがクラウドなので万が一端末が壊れても安心ですし、履歴が自動的に取得されてユーザー自身で復元することができます。

実はこの機能、私も業務で使用していますが非常に便利です。実際にこの原稿もOneDrive for Business上に写真およびテキストを格納して執筆しています。

Office365などを購入したもののOneDrive for Businessを活用されていない企業様には、個人的には是非この機会に導入を検討いただきたい一押しの機能となります。また、ポイントとしてはSharePoint Online(Teams含む)のファイルも同じように同期して使用することができます。これにより、SharePoint Onlineをファイルサーバのように利用することもできます。

この後、ATPの紹介やAIPのデモもなされ、FAT端末でできるセキュリティ対策を色々と知ることができました。

セッションを通して、VDIはVDIで使いどころがあるものの、VDIありきで考えると世界が小さくなるため、あくまでもVDIは選択肢の一つとしてセキュリティを考えるのが大事というメッセージでした。

いかに素晴らしいシステムを管理者が構築したとしても使うのはエンドユーザーなわけです。エンドユーザー、つまり人と一番に接するクライアントまわりは要望が多く、これからも大いに進化する余地がある領域なのではないかと感じました。

まとめ

  • クライアント端末のセキュリティを実現するには、VDIが唯一の回答ではなく、またVDIだけでは不十分
  • FAT端末でもセキュアな環境を実現するための機能が色々と提供されている
  • 利便性は数値にしづらいが重要なファクター

番外編:PR14_アンドキュメンテッドAzure AD ~現場で遭遇する予期せぬ事態と対応~

DSC_0222

Identity界隈では有名なブログ「IdM実験室」の富士榮さんのセッションです。

これがもうレベル200とはとても思えないマニアックな内容で抱腹絶倒でしたが、残念ながら。

というわけで、ご紹介できません。

個人的には、「よりによって、ここ!?」な際どいスライドの瞬間、Microsoft運営のカメラマンが入ってきて盛大にフラッシュを焚きながらバシャバシャ写真を撮っておられたのが熱かったです。

まさか〇〇〇〇〇〇〇 〇〇〇〇〇〇〇を魔改造して運用する人がいるなんて……。

それにしても魔改造とか、久しぶりに聞いたなあ。

これだけだと撮れ高がないので、お弁当の写真を載せておきます。ランチセッションで、お弁当がとても豪華でおいしかったのです。


DSC_0221
DSC_0220

まとめ

  • 現場でないと聴けないセッションもある
  • いろんな方がいらっしゃって世の中の広さを感じる
  • TechSummitのお弁当は豪華でおいしい