ニュース
» 2015年10月09日 10時00分 UPDATE

“いつでも、どこでも、どんなデバイスからでも”が加速する:DaaSはワークスタイル変革とセキュリティ確保の“切り札”となるか

今、クライアントPCにデータを置かない「デスクトップ仮想化」が、ワークスタイル変革とセキュリティ確保の“切り札”として注目を集めている。クラウドベースのデスクトップ仮想化システムであれば、短期間かつ安価に構築できるからだ。さらに、DaaS(Desktop as a Service)なら、運用管理工数も大きく削減できる。

[山口学,@IT]

デスクトップ仮想化が生む三つのメリット

 サーバーと同様、クライアントPCはビジネスに欠かすことのできない存在である。PCのOSが作り出す実行環境である「デスクトップ」は、Webページの閲覧、Webアプリケーションの利用、Microsoft Officeなどのデスクトップアプリケーションの実行などを支える基盤となる。

 一方、クライアントPCはサーバーに比べて台数も多く、社外への持ち出しも容易であることから、会社のセキュリティ対策ポリシーやコンプライアンスなどに合致した運用管理が必要となる。例えば、ノートPCはどこかに置き忘れたり、盗まれたりする可能性が高いため、PC内に保存されている情報が流出しないように対策する必要がある。

 いくつかある情報流出防止対策の一つが、OSの実行環境であるデスクトップをサーバー側で動作させる「デスクトップ仮想化」だ。デスクトップ仮想化では、ファイルの格納先がサーバーになるので、クライアントPCにはデータが残ることはなく、PCからの情報流出を原理的に防ぐことができる

 デスクトップ仮想化には、情報流出防止の他にも利点がある。

 PCごとにOSやアプリケーションのアップグレードやパッチ更新を行う必要がないため、通常のPCに比べて、運用管理工数が少なくなることだ。Microsoft UpdateやWindows Server Update Services(WSUS)でもパッチ更新などの自動化は可能だが、各PCがパッチを漏れなく適用しているかどうかを把握したり、適用を強制したりする作業は発生する。デスクトップ仮想化では管理対象はサーバー側だけになるので、作業工数を最小限にすることができる。

 また、テレワーク(在宅勤務、モバイルワーク、サテライトオフィス勤務)を推進したいと考えている企業にとっては、PC以外のモバイルデバイスからWindows PCのデスクトップを利用できることも大きなメリットになる。例えば、従業員にタブレット端末を支給してデスクトップを利用させたり、私物のタブレットやスマートフォンからのアクセスを許可したりするといった、柔軟なワークスタイルの実践も可能になる。

管理が不要なDaaSのAzure RemoteAppも登場

 Windowsプラットフォームの場合、デスクトップ仮想化の方式は「Server Based Computing(SBC)」と「Virtual Desktop Infrastructure(VDI)」の二つに大別できる。

 SBCは、サーバーOSであるWindows Serverを複数のクライアントユーザーが共同利用する方式だ。ほとんどのWindowsデスクトップアプリケーションはWindows Serverでも動作するので、複数のクライアントから利用できる仕組み(機能)を追加するだけで共用が可能になる。マイクロソフトの現行のSBC製品が、Windows Server 2008 R2以降に標準装備されている「Remote Desktop Services(RDS)」になる。

 一方、VDIはHyper-Vの仮想マシン(ゲストOS)として、WindowsクライアントOSを動作させ、それを個々のユーザーが利用する形態になる。仮想マシンの運用管理は必要になるが、VDIではユーザーがクライアントOSを占有するため、あらゆるデスクトップアプリケーションを利用できることがSBCにはない特徴だ。

 さらに、SBC方式はクラウドサービスのMicrosoft Azure上にも実装することができる(図1)。

図1 図1 デスクトップ仮想化の基本となるのはSBCとVDI。クラウド(Microsoft Azure)でSBCを稼働させることが現在のトレンド(出典:日本マイクロソフト)《クリックで拡大します》

 Microsoft AzureのIaaS(Infrastructure as a Service)を利用して、RDS用のサーバーを構築する「RDS on Azure」という方式は以前から提供されていた。サーバーを購入する必要がなく、従業員数の増減に合わせて処理能力を調整することも容易。ただし、IaaSの運用管理はユーザー企業のシステム管理者が行う必要がある。

ALT 日本マイクロソフト クラウド&ソリューションビジネス統括本部 ビジネスプラットフォーム本部 モビリティ&クラウド技術部 テクノロジースペシャリスト 前島鷹賢氏

 そして、2014年12月、RDS用のIaaSではなく、デスクトップそのものをサービスとして提供するDaaS(Desktop as a Service)の「Microsoft Azure RemoteApp」(以下、Azure RemoteApp)が開始された。日本マイクロソフトの前島鷹賢氏によると、「運用管理面が従来のものとは全く異なる」という画期的なDaaSになる。

 Azure RemoteAppのポイントは、その「RemoteApp」というネーミングに示されている。

 RemoteAppはOSのウィンドウ(デスクトップ画面)ではなく、アプリケーションのウィンドウだけをクライアントユーザーに配信する機能になる。RDS on Azureでもこの機能は使えるが、そのベースとなるRDSやIaaSはユーザー企業の責任で運用管理しなければならない。

 Azure RemoteAppの仕組みはRDS on Azureと基本的には同じだが、ユーザー企業がRDSやIaaSの運用管理を行う必要はないことが大きな特徴。クライアントユーザーだけでなく、システム管理者にとっても複雑なインフラを自ら構築・管理することなく「アプリケーションのウィンドウだけをサービスとして提供できる」ことがメリットになる(図2)。

図2 図2 Azure RemoteAppでユーザー企業はRDS on Azure用サーバーの運用管理から解放される(出典:日本マイクロソフト)《クリックで拡大します》

DaaS環境はわずか9ステップ、1時間半程度で構築可能

 実際、Azure RemoteAppの仮想デスクトップは、9ステップの設定操作と1時間半程度で構築することができる。Microsoft Azureポータルの「App Service」から「Azure RemoteApp」を選び、サービスを提供するリージョンを指定して、BasicまたはStandardのどちらのプランで契約するかを決めて、マスターイメージを選択するというのが大まかな流れだ(図3)。後は何もすることなく1時間半ほど待つだけで、構築が完了する。

図3 図3 Azure RemoteAppならデスクトップ仮想化の環境を9ステップ、約1.5時間で構築できる(出典:日本マイクロソフト)《クリックで拡大します》

 基本的には世界のどのAzureリージョンも指定できるが、信号遅延に起因する応答速度の低下を防ぐには「Japan East(東日本)」または「Japan West(西日本)」を選ぶとよい。後述するように、東西の両リージョンに構築して一方を災害対策(DR)や事業継続管理(BCM)用の予備にすることもできる。

 BasicプランとStandardプランの違いは、1台のRDSサーバー(セッションホスト)を何人のクライアントユーザーで共有するかという点だ。Azure RemoteAppのセッションホストはMicrosoft AzureのA3インスタンス(4コア、7GBメモリ)として動作するが、それを16ユーザーで共有するのがBasic、10ユーザーで共有するのがStandardになる。その他の仕様、例えば機能やサービスレベル(SLA 99.9%)は全て同等であり、プラン間の移行も随時行える。

 展開用のマスターイメージの実体はHyper-Vの仮想ディスク(VHD)であり、標準提供される「Microsoftイメージ」にはWindows Server、Internet Explorer、Adobe Reader、Java Runtime Environment(JRE)、Microsoft Officeなどが含まれている。システム管理者は、それ以外のソフトウエアを必要とする場合だけ、自前のイメージ(マイイメージ)を作成すればよい。マスターイメージは、オンプレミス側のHyper-VでもMicrosoft Azure側でも作成することができる。

 Azure RemoteAppの展開には、「Azure RemoteAppのみ」のクラウド展開と、「Azure RemoteAppとオンプレミスのActive Directoryの組み合わせ」となるハイブリッド展開の二つがある。

 クラウド展開は、オンプレミスとの接続や既存のID管理の仕組み(Active Directory)に依存することなく、Azure RemoteAppの中で全ての処理を完結させることができる方式だ。最も基本的な使い方は、「Active Directory による管理を必要としないシステムを利用する場合や、開発環境としての利用に向いています」と前島氏は説明する。なお、認証についてはMicrosoftアカウント(IDオプション併用時)、または企業側のWindows Server Active Directory(IDオプションとMicrosoft Azure AD Connect併用時)との連携が可能だ(図4)。

図4 図4 Azure RemoteApp内で全ての処理を完結する使い方は、業務システムから切り離したい場合や開発環境としての利用に向く(出典:日本マイクロソフト)《クリックで拡大します》

 一方、ハイブリッド展開では、Azure RemoteAppと企業側データセンターの間を「Azure VPN」または「Azure ExpressRoute」で接続し、アプリケーションの稼働するサーバー(セッションホスト)が Active Directoryドメインに参加する。オンプレミス側のActive Directory、データベース、ファイルなどにもAzure RemoteAppから自由にアクセスできるので、クライアントユーザーにはオンプレミス運用と全く同じように見える(図5)。

図5 図5 ハイブリッド展開では、Azure RemoteAppと企業側データセンターをAzure VPNまたはAzure ExpressRouteで接続(出典:日本マイクロソフト)《クリックで拡大します》

さまざまなデバイスが使える2段階定額方式

 Azure RemoteAppの特徴として、「マルチデバイス対応」「マネージドサービス」「シンプルで安価な料金体系」「絶え間ない進化」の4点を前島氏は挙げる。

 まず、利用できるモバイルデバイスの種類が多い。Windowsを搭載したPCやタブレットの他、Windows Phone、Windows Embeddedデバイス、Mac OS X、iOSデバイス(iPad/iPhone)、Androidデバイスでも全く同じように使える(図6)。「従業員にiPadを配布している企業は、それをAzure RemoteAppで活用するとよいでしょう」と前島氏は勧める。

図6 図6 Azure RemoteAppはWindowsデバイスだけでなく、Mac OS X、iOS、Androidなど「マルチデバイス」に対応していることも特徴だ(出典:日本マイクロソフト)《クリックで拡大します》

 また、システム管理者が行う運用管理作業はID管理、カスタムイメージ管理、アプリケーション管理のみ。RDSサーバーとIaaSの運用管理は、Microsoft Azure側で自動的に行われる仕組みだ。

 料金体系は“2段階定額方式”になっており、ユーザーごとに1カ月当たりで以下の表1の料金が発生する。

利用時間 料金(1カ月当たり)
40時間まで 1020円(Basicプラン、消費税別)または1530円(Standardプラン、同)
40時間超〜80時間まで 17.85円/時(Basicプラン、同)または20.40円/時(Standardプラン、同)
80時間超 1734円(Basicプラン、同)または2346円(Standardプラン、同)
表1 2015年10月時点の1カ月当たりのAzure RemoteAppの利用料金。80時間を超えた分は定額となり、追加課金はない

 なお、災害対策などにAzure RemoteAppを使う場合は、予備側のリージョンに事前登録しておくユーザーを20名以下にすることで、毎月の支払額を最低額(20名分)に抑えることができる。また、導入を決める前の“お試し”として、クライアントユーザー向けにはAzure RemoteAppクライアント(無償ダウンロード可能)+Microsoftアカウントによる10分間のアプリ利用体験、システム管理者向けには30日間の無償評価期間が用意されている。

 Microsoft Azureの全てのサービスと同様、Azure RemoteAppの機能は毎月のようにアップデート、拡張されている。最新状況と今後の予定は、以下のマイクロソフトのブログで公開されているので、ぜひ参考にしていただきたい。



Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。