情報漏えい対策やセキュリティ強化の切り札として注目された「シンクライアント」は、ユーザーの生産性向上を支援できるのか。そして今後、どういった方向に進むのか――2008年9月3日、東京・青山ダイヤモンドホールにて「普及期に向かうシンクライアントの最新動向と新たな展望」(主催:アイティメディア株式会社 @IT編集部)が開催され、さまざまな切り口から、シンクライアントのいまとこれからが紹介された。
冒頭の基調講演には、奈良先端科学技術大学院大学教授の山口英氏が登場した。山口氏はまず、業務のネットワーク化といった要因によって、1つの境界線で内と外とを分ける「境界型ディフェンスモデル」が有効性を失っていることを指摘した。無理に境界型ディフェンスにこだわり、「ラップトップは持ち歩くな」「USBメモリを持ち出すな」といった条件を課す企業もあるが、それではせっかくの生産性向上のためのツールであるPCが有効に活用されなくなってしまう。
山口氏はさらに、いまや1人に1台以上割り当てられている「端末」こそセキュリティ管理の最前線であると述べた。そして端末の姿は、モバイル通信の普及などによって変化しているうえ、使われ方が多様化しており、その管理に力を注ぐべきであるとした。
こんな状況の中、端末を仮想化し、「ペリメータ(境界)を保持しながらネットワーク越しに使えるようにしたものがシンクライアントだ」(同氏)という。ただ、「シンクライアントを導入したからといってセキュリティが向上するというが、それは嘘だ」とも。端末の仮想化だけでなく、サーバ側/バックエンド側を高度化し、きちんとセキュリティとユーザビリティを確保することが求められると述べている。
続いて、参加ベンダ各社によるセッションの内容を紹介しよう。
イベントレポート インデックス | |
|
シトリックス・ジャパン 「仮想デスクトップが実現する次世代ワーキングスタイル」 |
|
サン・マイクロシステムズ 「シンクライアントからマルチデバイス対応へ、サンの仮想化デスクトップ」 |
|
ソリトンシステムズ 「ログ収集と認証の強化、シンクライアント環境に最適な情報セキュリティ」 |
|
ユーグリッド 「シンプルに既存PCを使い続けて、エコロジカルなシンクライアント」 |
セッション1:シトリックス・ジャパン |
シトリックス・システムズ・ジャパン マーケティング本部 本部長 山中理惠氏 |
まず最初のセッションに登壇したのは、シトリックス・ジャパンのマーケティング本部本部長である山中理惠氏だ。同氏は、情報システムの課題をシンクライアントと仮想化が解決すると説いた。
かつて従業員は、オフィスからにせよ外出先のモバイル環境にせよ、自社のデータセンターに接続して情報を得て、仕事をしていた。しかし、インターネットの出現と普及、技術の進展を経て、企業が自前でサーバやデータセンターを持つ時代ではなくなっているという。つまり、インターネットの雲に覆われた情報および処理能力の泉に接続し、必要な情報を得ることができて必要な処理が行えるのであれば、接続先のコンピュータがどこにあろうと関係なくなるという。
そして、コンピュータをクラウド(雲)化する際のキーとなる技術が「仮想化」だ。
シトリックスといえば「Citrix XenApp(旧Citrix Presentation Server)」、いわゆるシンクライアントの企業というのが一般的なイメージだが、同社ではいまや自らを「仮想化の企業」と表現している。これまでの仮想化の対象はネットワークやサーバ、アプリケーションが主だったが、シトリックスはクライアントの仮想化である仮想デスクトップも含めて取り組んでいる。
今日の情報システムには、さまざまな課題が突き付けられている。セキュリティとコンプライアンス、タイムツーマーケットを逃さない俊敏性と柔軟性、どこにいても仕事ができるモビリティとテレワーク、ビジネス継続性とディザスタリカバリ、管理性向上と運用コスト削減、ITリソースの有効活用と省電力によるグリーンITといったものだ。
これらの課題に対し、個々に対応策を講じるのはさして難しくない。しかし、これらの項目の中には互いに相反する条件があり、すべてを満たすことは至難の業だ。これらをバランスよく解決するためには、パラダイムシフトが必要となる。そのための策として有効なのが、仮想化、特にデスクトップの仮想化であるという。
シトリックスは長年シンクライアントに取り組んできた。その経験を踏まえ、シンクライアントにも旧世代の「1.0」と、これからの「2.0」があると山中氏はいう。
シンクライアント 1.0では、定型業務を行う端末をシンクライアント化し、情報セキュリティを向上させるとともに、管理コストの削減を狙っていた。しかしこの仕組みは、LAN内に限定したもの。このため、ネットワークのスピードの影響を受けやすく、インターネットを介して広がることができない。また対象は特定の業務のみで、すべての社員が利用できるものでもなかった。
しかし、シンクライアント 2.0はこれとは異なり、知的生産性を高めるための環境構築という役割を担う。PCを持ち歩かなくても、どこでも自分の環境で仕事ができるようになることで、ワークスタイルの多様化に対応することが可能となるのだ。つまり、仮想デスクトップは、セキュリティとモビリティの両立、ディザスタリカバリ、運用コストの低減、グリーンITを実現する。
山中氏のシナリオでは、企業における仮想化の取り組みは次のように進む。
まず、わざわざ新たにシンクライアント用端末を入れるのではなく、既存のPCを仮想デスクトップ化することでメリットを享受できる。この仕組みでは、クライアントの端末はブラウザさえ動けば何でもよい。ただ、グリーンITという観点で考えれば、HDDを持たない端末の方が、効果はより高い。端末入れ替えの時期には、徐々にシンクライアントに移行していくことが望ましいだろうと同氏は予測する。そして最終的には、社内にデータセンターを持つのではなく、外部の、できれば遠隔地のデータセンターにサーバを集約し、ディザスタリカバリにも対応するというビジョンが考えられるという。
【ホワイトペーパー】 企業の枠にとらわれないセキュリティ対策 アプリケーションデリバリーの採用が、セキュリティ対策にいかに効果があるかを製品紹介とともに解説する。 |
セッション2:サン・マイクロシステムズ |
2番目に登壇したサン・マイクロシステムズ(サン)のデスクトップ・ソリューション部デスクトップ・ビジネス推進グループ主幹部長、白川晃氏は、シンクライアントのコンセプトや将来性に関してシトリックスの山中氏と同意見であると述べ、デモを多用しながら違う角度から話を進めた。
サン・マイクロシステムズ デスクトップ・ソリューション部 デスクトップ・ビジネス推進グループ 主幹部長 白川晃氏 |
白川氏はシンクライアントのイメージを、クレジットカードになぞらえてみせる。
かつてPCは財布であった。ある程度のお金(情報)を入れて持ち歩き、いつでも使うことができる。しかしもしそれを落とせば(あるいは盗まれれば)、誰でもその中のお金を使うことができてしまう。
技術の発達とともに、PC内に保存できる情報の量が幾何級数的に増大し、紛失した場合の被害が甚大になった。同時に、起動の認証やHDDの暗号化などのセキュリティ機能も強化されるようになる。これはいわば、PCが金庫になったということだ。紛失しても誰かに使われるような事態は防ぐことができる。しかし、価値あるものをなくしてしまったことに変わりはない。
これに対してクレジットカードの場合、そのプラスチックカード自体に金銭的な価値はない。ただ、カードに記載された情報に基づいて価値を引き出すことができる。そして、もし紛失したならカード会社に電話をして無効にしてもらえばいい。シンクライアントはこれに非常によく似ているという。
サンの「Sun Ray」は、端末というよりは、ネットワーク経由でコンピュータにつながる「ディスプレイとキーボード」だ。ローカルにはデータを持たないどころか、OSも不要だ。このため、端末からデータが漏えいすることもなければ、ウイルスやワームに感染することもない。もう1つ特徴的なのは、ICカードと組み合わせて認証を強化しているため、なりすましに対する強度も高いということだ。
白川氏は講演中、頻繁に、自身の社員証でもあるICカードを壇上のPCに抜き差しした。氏がカードを挿入すると、そこにあるPCは、彼のいつもの仕事環境へと早変わりする。裏側では、会場内に敷設されたLANケーブルを通してサンの社内サーバに接続され、白川氏のいつもの仕事環境にアクセスしているというわけだ。
こうしたセミナーでは講演者の多くは、自分のPCのHDDにPowerPointのファイルを入れて壇上に上がる。しかし、白川氏の場合、そこにインターネットにつながったPCさえあれば、自分のPCを持っていく必要はない。
「もちろん、インターネットを介して遠くのサーバにアクセスしているので動作は多少もっさりしているが、使えない程ではない」(白川氏)と謙遜するが、有線でつないでいる限り、まったく問題ないように見えた。
Sun Rayは、アクセスレイヤである「Sun Ray Server」を介して、アプリケーションレイヤであるサーバにアクセスする。この際、アクセス先のOSは問わず、同一の端末で、SolarisでもWindowsでもLinuxでも使える。また、端末は画面を表示するためだけのものなので、最新のスペックである必要はまったくない。端末数も社員数より少なくても構わない。全社員が同時にPCに向かうことはまずないからだ。フリーアドレスのオフィスを採用すると、社員数よりも少ない席数で足りるのと同じことだ。
さらにSun Rayでは、VMwareなどの仮想化環境と連携して、ユーザーごとに固定の個人デスクトップ環境を割り当てたり、業務グループごとに動的に共有デスクトップ環境を割り当てることができる。これらは混在も可能だ。
サーバ側の仮想化によって、処理能力の最適化も可能となる。すべてが一斉にフル稼働することはほとんどないため、これまで業務で必要としてきたリソースの総和までは必要なくなる。さらに、空いているCPUやメモリを融通しあえば、消費電力も抑えられる。また、専用端末を利用したSun Ray方式に、携帯通信カードで外出先からも利用できるモデルが加わったほか、安価なウルトラモバイルPCやMacなどをシンクライアント化できる「Secure Global Desktop」というソフトウェアを利用したアプローチも登場しているという。
【ホワイトペーパー】 デスクトップ環境を仮想化し、運用管理するためのステップ デスクトップ環境をどのように仮想化し、運用管理するのか? 全体的な考え方から具体的なアーキテクチャ、運用手順まで、サービスとしての「デスクトップ工場」運営を紹介する。 |
セッション3:ソリトンシステムズ |
リクルートの調査によると、シンクライアント導入を検討している企業の約80%がその理由として「情報漏えい対策・セキュリティ強化」を挙げているという。
しかし、シンクライアント端末の導入によって情報漏えい対策・セキュリティ強化が万全となるのだろうか。シンクライアント環境にも通常環境と同様に、セキュリティ製品が必要なのではないだろうか。ソリトンシステムズが紹介した製品は、これからのシンクライアント導入環境を見据えて開発された製品である。
ソリトンシステムズ 事業開発本部 プロダクトマーケティング部 主任 大野真理子氏 |
1つ目の製品は、PC利用ログ収集・解析ソフトウェア「InfoTrace Enterprise」である。製品のポイントは、「シンクライアント環境・通常環境の両環境に対応している」点である。シンクライアント導入を行った現場では、通常PCとシンクライアント端末が混在している場合が多い。InfoTrace Enterpriseはこのような状況に適した製品であるといえる。
InfoTrace Enterpriseは、「いつ、誰が、どのPCで、どのデータに対して、どのような操作をした」といったログを収集するソフトウェア製品である。通常環境ではクライアントPCにログ収集エージェントをインストールし、サーバでログを管理する。一方シンクライアント環境においては、サーバ側にログ収集エージェントをインストールし、各シンクライアント端末のログを収集する。冒頭の基調講演で山口氏が「計測できないものは管理できない」と述べたが、InfoTrace Enterpriseはまさに、PCの操作を計測可能にする製品であるといえるだろう。
InfoTrace Enterpriseは、豊富な導入実績を持ち、国内ログ管理市場においてシェア第1位を獲得している。その理由の1つとして、カーネルレベルでのログ取得機能を備えていることが挙げられるという。ログ収集ツールによってはアプリケーションレベルでログを取得するものがある。そのようなツールでは、例えばファイルのコピーをした場合に、Windows Explorer上での操作ログは収集できても、コマンドプロンプトを呼び出して行った場合はログが収集できないことがある。一方、InfoTrace Enterpriseはカーネルレベルでログを取得するため、コマンドプロンプト上でファイルのコピーやリネームをした場合もログを取得することが可能である。このような徹底したログ収集機能がInfoTrace Enterpriseの実績の一因となっているのであろう。
取得したログを有効に利用することもまた重要である。そのためには検索機能の充実が欠かせない。InfoTrace Enterpriseでは、日付・ユーザー名・ファイル名といった任意の項目を検索条件として組み合わせ、絞り込み検索を実行することが可能である。また、ファイルのトレース機能も備えている。トレース機能を使うと、例えば「リムーバブルディスクに保存されたファイル」について、「保存する前にリネームされていたのか、元々のファイルはどこにあったのか」といった情報を得ることが可能である。逆に、ある1つのファイルの流れと分散を追うことも可能である。例えば、「ファイル作成後リネームされたか、コピーされたか、リムーバブルディスクに保存されたか」といった情報を得ることが可能である。
ソリトンシステムズ 事業開発本部 プロダクトマーケティング部 主任 井村安希氏 |
2つ目の製品は、ICカード認証セキュリティシステム「SmartOn ID」である。クライアント端末をシンクライアント化して端末側に情報を置かせないといっても、悪意のある人がサーバへアクセス可能であるようならば、情報漏えいの危険性をぬぐい切れたとはいえないだろう。権限のある者にだけ情報へのアクセスを許すというアクセスコントロールの仕組みはセキュリティの基本であり、シンクライアント環境においても必須事項であるといえるだろう。
ユーザー認証にはパスワード方式、トークン方式、バイオメトリクス方式などがあるが、それぞれ一長一短がある。中でも、比較的バランスがとれているのがトークン方式で、ICカードをはじめオフィスでの利用が進んでいる。このICカードを使った認証セキュリティシステムがSmartOn IDである。
SmartOn IDの機能は、本人認証を行う「SmartOn Logon」、各種アプリケーションへのシングルサインオンを実現する「SmartOn Pass」、クライアントPCおよびマネージャの操作履歴を取得する「SmartOn Log Server」の3つだ。
Logonでは、ICカードをカードリーダーにセットし、併せてパスワード入力を行うことにより本人認証を行う。カードなしではログインできない。またカードリーダーからカードを外した際にはPCをロックするか、あるいはネットワークから切断するなどの設定が可能である。
Passは、PCログオン後に利用する各種アプリケーションのパスワード入力をSmartOn IDが自動代行するものである。本人認証時のパスワード入力操作などは煩雑になりがちである。ユーザーがそれらの作業を回避しようとすれば、それだけ情報漏えいなどの危険性が高まる。セキュリティ向上のためにはユーザビリティを損なわないことも必要であり、「SmartOn Pass」はそのために適しているといえるだろう。
Log Serverは、SmartOn ID(ICカード)で確実に本人認証された者を対象に操作ログを取得することが可能である。InfoTrace Enterpriseとの連携により、さらに充実したログ管理が可能となる。
【ホワイトペーパー】 情報セキュリティの抜け穴: シンクライアントの導入で安心していませんか? 情報セキュリティ強化の手段の1つとして注目されているシンクライアントシステムだが、導入しただけでは安全とはいえない。 |
セッション4:ユーグリッド |
最後のセッションは、ユーグリッドによる「Eugrid SecureClient」の紹介だ。
シンクライアント環境の機能的な優位性は揺るがないものの、阻害要因があるとすればコストであることは、ここまでのセッションでも触れられていた。1人1台が当たり前となった今、既存のPCをすべてシンクライアントに入れ替えることが難しいのは、間違いのないことだ。ユーグリッドの提案は、既存のPCをシンクライアント化してそのまま使い続けるというものである。
SecureClientでは、OSやアプリケーションは、クライアントPCにあるものをそのまま使う。ただし、データはすべてネットワーク上のファイルサーバに保存され、ローカルへの保存はできなくなる。ローカルのハードディスクは書き込み不可の状態になるのである。シンクライアントにすることによって解決する問題はいろいろあるが、とりあえず最大の問題である「ローカルにデータを持たせる」ことを排除するというアプローチだ。
ユーグリッドのセッションも、デモを多用し、その使い勝手を紹介した。
ユーグリッド 取締役営業部長 池田実氏 |
SecureClientをPCにインストールすると、そのPC内にあるデータはすべてファイルサーバに移動される。コピーしたうえで、ローカルのディスクからデータを削除してしまい、それ以降、ローカルのディスクへの書き込みができなくなる。
裏側ではファイルサーバへ書き込んでいても、ユーザーにとっては、あたかもローカルへの書き込みであるように見える。このため使い勝手は悪くならない。社外にPCを持ち出した場合は、VPN経由で社内のファイルサーバにアクセスする。
SecureClientの最大のメリットはコストだ。1ユーザー当たり3〜4万円の投資でシンクライアント環境が実現する。通常のシンクライアント環境を1から構築する場合と比べて10分の1程度のコストで、同規模の疑似シンクライアント環境を構築できる。
さらに、ベンダが提供するシンクライアント環境との混在も可能だ。例えば、本社側ではシトリックスのシンクライアント環境を構築してあるが、外注先はそこまでの投資ができないためSecureClientで擬似的にシトリックスのシステムに乗り入れるという事例があるという。
副次的なメリットとして、社内のファイルの管理性が高まるという面がある。ある重要なファイルが、社内のどのPCのどこに保存されているか分からないという事態は珍しいものではない。そのような場合でも、SecureClientの環境ならば、ファイルサーバを検索すればすぐに目当てのファイルを探し出すことができる。サーバ側の管理ソフトでは、ActiveDirectoryと連携したグループごとのポリシー設定や、外部デバイスへのコピー制御などセキュリティポリシーの設定が可能だ。
本来のシンクライアントでは実現できない、SecureClientならではの機能もある。それが、シンクライアント化されたPCをUSBメモリを使ってオフラインで使うMobile Optionだ。
SecureClientにログイン後に、市販のUSBメモリにMobile Optionで使用する設定をすると、SecureClient用にフォーマットされそのユーザーのファイルサーバの内容がコピーされる。つまり、ファイルサーバのうち自分が利用している部分をUSBメモリに切り出す形だ。ネットワーク環境のない外出先では、このUSBがファイルサーバであるかのように利用する。そして、帰社後にこのUSBメモリとファイルサーバの同期をとるのである。USBメモリは、万が一落とした場合でもそのユーザーのPC以外では開けないようになっているため、セキュリティも保たれる。SecureClientのクライアントは本当の意味でシン(thin)ではないが、なかなか便利に使うことができるだろう。
【ホワイトペーパー】 故意の情報漏えいを防止する2つの方策 故意の情報漏えいを防止するため、エンドポイントのセキュリティ強化を実現する低廉な2ソリューションを紹介する。 |
提供:シトリックス・システムズ・ジャパン株式会社
サン・マイクロシステムズ株式会社
株式会社ソリトンシステムズ
ユーグリッド株式会社
企画:アイティメディア 営業本部
制作:@IT 編集部
掲載内容有効期限:2008年10月31日
イベントレポート インデックス |
シトリックス・ジャパン 「仮想デスクトップが実現する次世代ワーキングスタイル」 |
サン・マイクロシステムズ 「シンクライアントからマルチデバイス対応へ、サンの仮想化デスクトップ」 |
ソリトンシステムズ 「ログ収集と認証の強化、シンクライアント環境に最適な情報セキュリティ」 |
ユーグリッド 「シンプルに既存PCを使い続けて、エコロジカルなシンクライアント」 |
スポンサー |
|
|
|
|
※50音順
|