連載
» 2013年12月12日 18時00分 UPDATE

Windows Server 2012 R2登場(4):“BYOD”時代に対応するリモートアクセス (1/3)

Windows Server 2012 R2とSystem Center 2012 R2の注目の新機能を中心に、BYODデバイスの視点から、これからのIT基盤の姿の一端を見る。ドメイン参加とは異なる「ワークプレース参加」で、社内リソースへアクセス可能だ。さらに、BYODデバイスとの間でファイルを同期できるワークフォルダー機能も提供する。

[山市良,テクニカルライター]

 在宅勤務やモバイルワーカーといった多様なワークスタイルを支援するため、あるいはパンデミックや大規模災害時に事業を継続するために、リモートアクセス環境の整備を進めている企業は多いだろう。また、最近のBYOD(Bring Your Own Device:個人所有デバイスの業務利用)へのニーズの高まりは、企業ネットワークにおけるBYODデバイスの参加方法、コントロールとセキュリティ問題という新たな課題を生み出している。

 ユーザーに対して社内リソースへのアクセスを可能にする手段としては、VPN(仮想プライベートネットワーク)が一般的だ。企業ネットワークのインターネットとの境界にVPNサーバーを設置すれば、暗号で保護されたIPSecやPPTPのVPNトンネルを使用して、インターネット経由でPCやデバイスを安全に企業ネットワークに接続できる。VPN接続は便利なリモートアクセス手段だが、社内ネットワークにPCやデバイスを直接接続するのと同じことなので、VPN接続の許可を個人の自宅のPCやBYODデバイスにまで広げるのはセキュリティ上のリスクが大きく難しい。

 個人や第三者のPC、BYODデバイスに対して、社内リソースへのリモートアクセスを提供する手段としては、Windows Serverのリモートデスクトップサービス(RDS)が有効な選択肢となる。リモートデスクトッププロトコル(RDP)による社内のデスクトップへの接続は、画面表示とキーボード/マウス操作の転送だけに限定できるため、企業内の重要なデータをPCやデバイスにダウンロードさせずに済む。

 インターネット経由のリモートアクセス環境も、境界に設置するリモートデスクトップ(RD)ゲートウェイで簡単に構築可能だ。しかしこの方法も、接続先のデスクトップ環境を経由して社内リソースに自分のユーザー権限でフルアクセスできることや、PCやデバイスに接続情報が残るという課題がある。セキュリティ上の問題が発生した際に、どこから誰が、どのデバイスを使用して行った行為であるのかを追跡するのは難しい。

 個人のPCやBYODデバイスを識別して、事前に把握しているPCやデバイスからの接続のみを許可し、アクセス可能なリソースやアプリケーションの範囲を限定できる。これからのBYODの時代は、これまでのように全てを許可するか、まったく許可しないかではなく、IT部門のコントロールが利く限定的なリモートアクセス環境を整備することが求められるだろう。

DirectAccessでどこからでも常時接続

 Windows Server 2008 R2以降のリモートアクセスサービスが提供する「DirectAccess」は、VPNに代わるシームレスで安全なリモートアクセス環境を構築できる。DirectAccessは、IPv6およびIPv4-IPv6移行テクノロジに基づいており、安全なIPSecトンネルを介したIPv6のピアツーピア接続で社内リソースへの接続を実現する。IPSecトンネルが途中のNAT(ネットワークアドレス変換)やファイアウォールでブロックされる場合でも、さらにIP-HTTPSトンネルでカプセル化できるため、接続性も高い。

 また、ユーザーのログオン状況にかかわらず可能であれば常時接続されるため、グループポリシーや更新プログラムの適用、システム管理ツールによるエージェント管理など、PCがどこにあっても企業内のPCと同じようにIT部門のコントロール下に置けるというメリットがある。

vol04_screen01.png Windows Server 2012 R2のDirectAccessサーバーのセットアップ。DirectAccessクライアントがWindows 8/8.1 Enterpriseだけの場合は、自動生成される自己署名証明書を用いて、非常に簡単にセットアップできる(画像クリックで拡大表示)

 DirectAccessのクライアント要件は、Windows 7 Enterprise/UltimateまたはWindows 8/8.1 Enterpriseが稼働するActive Directoryのドメインメンバーに限定される。そのため、個人のPCやBYODデバイスでは利用できない。逆に言えば、完全にIT部門のコントロール下にあるPCに対してだけ、場所を選ばす社内リソースへのアクセスを提供できる。

 DirectAccessは個人のPCやBYODデバイスでは利用できないと言ったが、実は、方法がないわけではない。Windows 8/8.1 Enterpriseの「Windows To Goワークスペース」機能を利用すれば、OSを含めたDirectAccessの環境をUSBドライブに格納し、Windows 7/8と互換性のあるPCをそのUSBドライブから起動することが可能だ。Windows To Goワークスペースで起動した個人や第三者のPCは、企業内のPCとまったく同じように利用できる。PCのローカルドライブはオフラインになるため、PCに情報を残さないし、PCに存在するかもしれないマルウェアの影響も受けない。

vol04_screen02.png DirectAccessクライアントとして動作するWindows 8.1 Enterprise。インターネットに接続した時点でDirectAccessの接続が自動開始する。接続が完了すると、UNC名や社内のFQDNで社内リソースにアクセスできる(画像クリックで拡大表示)
       1|2|3 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。