[ニュース特集:Deep Insight]
情報漏えい対策から見る次世代クライアントの姿

2005/4/29

 企業クライアントPCからの情報漏えい対策としてシンクライアント・システムにスポットライトが当たっている。2005年に入り各社が新システムを発表。シンクライアントを使った情報漏えい対策から次世代クライアントシステムの姿が垣間見える。

 シンクライアントが高い注目を集めるようになったのは2005年1月。日立製作所がシンクライアントを自社に導入、外販も行うと報じられてからだ。シンクライアントは長い歴史を持つソリューションだが、従来はクライアントPC管理やアプリケーション配布の手間がなくなり運用コストが削減できるなど、情報漏えい対策以外の用途が注目されていた。日立製作所の取り組みはその流れを一気に変えて、「クライアントPCの情報漏えい対策はシンクライアント」という意識を業界に広めた。

日立製作所が発表したハードディスクレスのPC「FLORA Se210」

 実際に日立がシンクライアント・システムの詳細を発表したのは2月15日だった。「セキュアクライアントソリューション」と名付けたシステムで、最大の特徴はハードディスクを内蔵せず、内部メモリに保存した「Windows XP Embedded」で起動するノートPC「FLORA Se210」を組み合わせたことだ。サーバ側にデータやアプリケーションを保存し、ネットワーク経由でPCからアクセスして利用する「センター型」と、クライアントPCからリモート環境ですでに動いている自分のPCにアクセスし、アプリケーションやデータを利用する「ポイント・ポイント型」の2つを用意した。

 日立は外販に加えて、自社の情報・通信グループ内に導入し、検証を行っている。ポイント・ポイント型を中心に2005年3月末までに2000台、2006年3月末までに8000台のFLORA Se210を導入する計画だ。日立製作所の執行役専務 情報・通信グループ長&CEO 古川一夫氏は「セキュリティ問題の抜本的な解決になる」と意気込んでいる。

中核技術は米シトリックスが提供

 日立のセキュアクライアントソリューションで中核となるのは、米シトリックス・システムズが開発した「Citrix MetaFrame Presentation Server」だ。同製品は、アプリケーションやデータをサーバで集中管理するサーバ製品。クライアントPCへはICAと呼ばれるプロトコルを使って画像イメージだけが配信される。「データをクライアントPCにはダウンロードさせない」(シトリックス・システムズ・ジャパンのマーケティング本部 本部長 樋渡純一氏)ため、情報の漏えいを防止できる。

 シトリックスのMetaFrameは多くのシンクライアント・システムに組み込まれている。日立はセンター型のソリューションに活用。また、3月10日にNECが発表した「UNIVERGEデータ集中化ソリューション」もMetaFrameをベースにIP電話やWeb会議をシンクライアント環境で利用できるようにした。

シトリックス・システムズ・ジャパンのマーケティング本部 本部長 樋渡純一氏

 樋渡氏はシトリックスの戦略を「アクセスに対するセキュリティ」という言葉で表現する。アクセスとは単にITシステムに接続するだけではなく、アプリケーションを利用する、情報を使うなど「ITを使って仕事をする環境全体」を示す言葉だ。シトリックスはこの環境全体を効率化し、セキュアにすることに注力する。今後はITシステムに接続するクライアントPCのセキュリティ状態をチェックして、セキュリティ対策が不十分なPCは接続させないなど検疫機能を持たせる考え。この機能は「スマートアクセス」と呼ばれている。

 情報漏えい対策でシンクライアントが注目されているのは、エンドユーザーの操作環境を変えずにセキュリティを高めることができるからだ。樋渡氏は「ユーザーが面倒に感じるシステムではダメだ。いくらセキュアでもユーザーの利便性を下げるシステムでは支持されない」という。従来はセキュリティレベルとユーザーの利便性はトレードオフの関係と言われていた。つまり、セキュリティレベルを上げれば、ユーザーが不便になることが多い。逆にユーザーの利便性を尊重すれば、セキュリティレベルが低下するという構図だ。しかし、シトリックスが目指すのはセキュリティレベルと利便性の共存だ。

セキュリティレベルと利便性の共存

 セキュリティレベルと利便性の共存を尊重する考えは、ほかのシンクライアントベンダも同様だ。2月14日にソフトバンクBBが販売を開始した米ソフトリシティの「SoftGrid」もユーザーの利用環境を変えずにセキュアな状態にすることを目指したソリューション。SoftGridはセンター側のサーバから各クライアントPCに対してアプリケーションを配信し、ユーザーに利用させる仕組み。Citrix MetaFrameと異なり、アプリケーションの画像イメージではなく、アプリケーション自体を配信する。

 その際にポイントになるのがソフトリシティが開発した「Virtualized Application」技術だ。同技術は、センター側のサーバ上で、クライアントでアプリケーションを稼働させるための環境を仮想的にパッケージする。パッケージに含まれるのは、アプリケーション本体とレジストリやDLL、INIなど。それをクライアントPCに送り込む。インストール作業を行うことなく、すぐに起動可能。アプリケーションがサーバ側にあるので、バージョンアップやライセンスの管理が容易になる。また、レジストリなどローカルPCの環境には変更が加えられないので、コンフリクトが起きないなどのメリットもある。

ソフトバンクBBの流通営業本部 ソリューション事業統括部 BBソリューション推進部 企画課 課長 仲畠太士氏

 ソフトバンクBBの流通営業本部 ソリューション事業統括部 BBソリューション推進部 企画課 課長 仲畠太士氏によると、SoftGridのVirtualized Applicationは、複数のアプリケーションを1つのパッケージにまとめることができる。アプリケーションとODBCドライバなどを1つのパッケージにして配信することもでき、エンドユーザーのインストール作業をなくせる。MetaFrameがマルチユーザーに対応したアプリケーションしか利用できないのに対して、SoftGridはウイルス対策ソフトウェアなど一部を除いて、あらゆるアプリケーションを利用できるという。

 アプリケーションの利用権限はユーザーごとに設定する。権限のあるユーザーであれば、一度配信を受けたアプリケーションも使い続けることが可能。だが、サーバ側でユーザーの権限を失効させれば、利用はできなくなる。利用権限の設定は、マイクロソフトのActive Directoryと連携させることも可能。ソフトバンクBBはセキュリティ強化だけでなく、クライアント管理の向上などでもSoftGridを売り込みたいとしている。ソフトバンクBBは自社内への導入も開始、社内で900人が利用している。

動的にリソースを変更するブレードPCが登場

 シンクライアントに関する各社の動きを見ていて感じるのは、現在のクライアントPC環境がセキュリティや運用管理の面で転換期を迎えているということだ。現在のクライアントPCはその管理をほぼすべてエンドユーザーに任せている。セキュリティパッチの適用やアプリケーションのインストールなど適切な操作を行わないとセキュリティ上のリスクが高まるようなことも、情報システム部の指示の下でエンドユーザーが行っているのが実情だ。そのためPCのセキュリティレベルがエンドユーザーのスキルに依存してしまう。

 だが、情報システム部がエンドユーザーのすべてのPCを確認して歩くことは非効率で企業にとって適切な方法とはいえない。これらの問題点を解決するソリューションとして注目されているのがクライアントPCを集中管理し、リソース共有を実現する「ブレードPC」だ。

 ブレードPCで先行するのは米ヒューレット・パッカード。HPの「Consolidated Client Infrastructure」(CCI)はブレード上のPCにTransmetaのプロセッサ、40GBのハードディスクドライブを搭載。Windows XPを使用し、3Uサイズのラックに格納される。ブレードと、ユーザーの卓上に置いた接続機器をイーサケーブルで接続。接続機器にモニターやキーボード、マウスをつなげて利用する。PCのデータはブレードのHDDに保存されているため、ユーザーからの情報漏えいを防ぐことができる。また、管理者は複数のブレードPCに対して一括してセキュリティパッチを適用したり、アプリケーションをインストールするなど統合管理が可能になる。

 HPのブレードPCが注目されているのは、ブレードサーバの機能を大胆にPC環境に適用しているからだ。日本HPのパーソナルシステムズ事業統括 デスクトップビジネス本部 本部長 平松進也氏によると、CCIはブレード間のホットスワップを自動で行うことができる。つまり、ブレードAに障害が発生すると、そのPC環境がそのままブレードBに移動する。ユーザーは作業を中断することなく、別のブレードに移ることができる。移行されるのは個人プロファイルやデータ。CCIのバックにネットワークストレージを接続して、ブレードのデータをダイナミックに移動させている。平松氏は「クライアントのコンソリデーションがテーマだ。ブレードPCを使うことでハードウェアを1カ所に集めることができる」と述べた。日本HPにはすでにパートナーや顧客からCCIについての問い合わせが来ているといい、日本HPは2005年上半期中にCCIを国内で投入する計画だ。

「CLEARCUBE」のブレードPC(写真奥)とキーボード、マウス、ディスプレイを接続する「C/Port」

 ブレードPCは、米クリアキューブ・テクノロジも「CLEARCUBE」の名称で展開。ブレードはシャーシに納められサーバルームに格納。ユーザーはキーボード、マウス、ディスプレイ、USBデバイスを接続する専用機器「C/Port」を自分のデスクに設置し、アプリケーションを利用する。ブレードPCとC/Portは、UTPカテゴリ5eのケーブルで接続。ケーブルは最大200メートルまで伸ばすことができる。

 CLEARCUBEはPC本体と、ユーザーインターフェイスを物理的に離したともいえるが、大きな投資をせずにセキュリティを向上させられる。「コストなどを考えると、現実的にはCLEARCUBEでセキュリティを高めるのが最も効果的」(日立システムアンドサービス CLEARCUBE推進プロジェクト 浜川健太郎氏)。

仮想PC環境で1対Nの接続を実現する

 NECが4月25日に発表した「仮想PC型クライアント統合ソリューション」は、クライアントPCの環境を仮想化してブレードサーバ上で一元管理、PCの処理に応じてリソースを柔軟に割り当てることができるのが特徴。「ブレードとPCが1対1の関係のHPやクリアキューブと異なり、1対Nの接続が可能」(NEC マーケティング推進本部 本部長 藤岡忠昭氏)。

 データやアプリケーションはサーバ側に保存され、ユーザーが実際に利用するディスプレイには、デスクトップの画面イメージだけがICAプロトコルまたはRDPで配信される。そのためPCからの情報漏えいをブロックできる。

 情報漏えい対策と同じくらい注目されそうなのは、PCの負荷に応じてリソースを自由に割り当てることができる機能だ。各PCにパラメータを設定し、あるPCの負荷が高まってきたら、別のサーバのリソースを割り当てたり、別のサーバに仮想PC環境を移して処理を継続させることができる。

 仮想PC環境にリソースを加えたり、ブレード間を移動しても稼動中のアプリケーションが止まることはない。一般的なブレードサーバと同様にリソースの動的なプロビジョニングを実現したといえる。この機能によって、PCの集約率を高め、さらに運用管理性も高まる。確かに初期導入コストは通常のクライアントPCと比較して高額になることが予想されるが、PCの集約率や運用管理性が注目を集めるだろう。

 NECは米アーデンスのミドルウェア「Ardence」を利用してサーバに格納しているOSやアプリケーションをクライアントPCにダウンロードして利用させる「ネットブート型クライアント統合ソリューション」も同時に発表した。PCに搭載しているプロセッサやメモリを使用するため、パフォーマンスが求められるアプリケーションでも通常のPCと同様に稼働させられるのが特徴。PCにダウンロードされたデータはPCをシャットダウンすると消去される仕組みになっていて、情報漏えい対策にも利用できる。

 セキュリティや運用管理性の向上という切り口から見ると、企業は新しいクライアントシステムを求めているようにみえる。しかし、どのシステムでも課題はコスト。次世代クライアントシステムの多くは、既存のクライアント/サーバシステムを大きく変更するため、導入に多額のコストがかかる。また、そのクライアントシステムが業界の標準となり、将来的にロードマップが引き継がれるかも不安が大きい。ユーザー企業の不安を払拭し、標準となるにはベンダのさらなるアイデアが欠かせないだろう。

(@IT 垣内郁栄)

[関連リンク]
シトリックス・システムズ・ジャパン
米ソフトリシティ
日本ヒューレット・パッカード
米クリアキューブ
NECの発表資料

[関連記事]
ブレードPCは次世代クライアントの本命か、NECが発表 (@ITNews)
イーバンク銀行がブレードPC採用、情報漏えい対策に活用 (@ITNews)
「リッチを認める」、NECのシンクライアントは現実路線 (@ITNews)
日立がハードディスクレスPCを開発、情報漏えい対策に活用 (@ITNews)
クライアントPC管理を簡単に、SoftGridが日本上陸 (@ITNews)
情報漏えいの原因は持ち出せること。日本HPの対策は? (@ITNews)
個人情報保護法が追い風、シトリックスの2005年 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)