多くの企業で、リモートワークやサテライトオフィスの利用など、オフィス以外の環境から社内ネットワークにアクセスすることが日常的になっています。
社外環境から社内リソースにアクセスし遠隔操作する手段として、リモートデスクトップ(RDP)や仮想デスクトップ(VDI)といったテクノロジーを使用します。

本項では、それぞれの違いについてご紹介します。

リモートデスクトップ(RDP)と仮想デスクトップ(VDI)の基礎

リモートデスクトップと仮想デスクトップとは、どのような技術なのでしょうか。両者の基本を紹介します。

リモートデスクトップ(RDP)とは

特定のコンピューターから別のコンピューターにデスクトップ画面を転送して、遠隔操作することをリモートデスクトップといいます。ユーザーAとユーザーBがいるとすると、通常、Aのデスクトップは本人だけが操作できますが、リモートデスクトップにより、Bが自分のコンピューターからAのデスクトップを操作できます。例えば、Aがコンピューターの操作で行き詰まっている場合などに、Bが出先からAのコンピューターを操作し、問題を解決するといった使い方ができます。また、手元にデスクトップがない外出先からでも作業ができたり、操作するコンピューター自体が低スペックであっても使えるといったメリットもあります。

リモートデスクトップはWindowsの標準搭載機能ですが、VNC(Virtual Network Computing)のChromeリモートデスクトップやARD(Apple Remote Desktop)など、Windows以外のOSやブラウザも同様の機能を提供しています。

仮想デスクトップ(VDI)とは

サーバー上に仮想的なデスクトップ環境を作ることで遠隔操作を実現するのが、仮想デスクトップです。 仮想デスクトップでは、仮想化ソフトでサーバー上に複数の仮想マシンを稼働させ、それぞれのユーザーは自分の仮想マシンのデスクトップ環境を使います。OSやソフト、ユーザーの作成したファイルやデータなどの実体は仮想マシン上にあり、ユーザー個人のコンピューター内には存在しません。
万が一、自分のコンピューターを紛失したとしても、会社の情報資産であるファイルやデータまで失ってしまうことは回避できます。仮想デスクトップの管理者は、仮想マシンを利用する全員のデスクトップを同時に閲覧したり、切り替えながら作業を行えます。

セキュリティ面から考えるリモートデスクトップ(RDP)と仮想デスクトップ(VDI)の違い

セキュリティの観点から、リモートデスクトップと仮想デスクトップの違いを説明します。

データ保護対策

JNSAの「情報セキュリティインシデントに関する調査結果」によると、情報漏えいの原因のうち20.3%が、不正アクセスによるものでした。
出典:日本ネットワークセキュリティ協会(JNSA):2018年 情報セキュリティインシデントに関する調査報告書【速報版】

驚くべきは、PCやモバイル機器などの紛失・置き忘れによる漏えいが26.2%で、情報漏えい原因の第一位となっていることです。企業が情報漏えい事件を発生させてしまった場合、事件一件当たりの想定損害賠償額は6億3,767万円ほどにものぼります。

テレワークのためUSBメモリなどで会社からファイルを持ち出し、自宅のPCで修正していた場合など、万が一自宅のPCが紛失してしまえば会社の情報資産が流出することになります。

リモートデスクトップで自宅から社内のPCを操作していた場合は、仮に自宅のPCが紛失したとしても情報資産の流出だけは回避できます。当然のことながら、自宅のPCにデータを保存していた場合は、そのPCが紛失してしまうとデータも紛失してしまいます。

一方、仮想デスクトップ(VDI)では、そもそもファイルやデータなどの実体はサーバー上にあるため、仮に同一サーバーにアクセスしていたすべてのコンピューターが紛失してしまったとしても、サーバーさえ無事なら情報資産の流出は防げます。

悪意のあるソフトウェアへの対策

近年、「ランサムウェア」というマルウェアによる被害が多数報告されています。ランサムウェアは、感染するとコンピューターをロックして、ユーザーからの操作が一切できない状態にするという悪質なマルウェアです。

ランサムウェアは、コンピューターを元に戻す代わりとして高額なランサム(身代金)の支払いを要求します。

Windows OSのリモートデスクトップには、通称「BlueKeep」という脆弱性が存在しており、Microsoftはこの脆弱性を修正するセキュリティパッチをすでに公開しています。「BlueKeep」は深刻な脆弱性で、これを悪用しリモートデスクトップを狙うランサムウェアによる大規模サイバー攻撃が懸念されています。

リモートアクセスでは、接続する側とされる側の両方がセキュリティパッチを適用し、セキュアな状態を確保しないと意味がありません。リモートデスクトップは、1対1の関係でコンピューター同士が接続するため、リモートデスクトップを使用するすべてのコンピューターを同じレベルでセキュアな状態にする必要があります。

一方、仮想デスクトップ(VDI)では、1対多の関係で接続するため、セキュリティ対策をするコンピューターの数が少なくなり、社内のセキュリティレベルを保つことが容易です。

通信盗聴対策

インターネットでは世界中のあらゆるコンピューターと接続できる反面、盗聴やなりすましの被害を受ける可能性もあります。そこで、インターネットの中に仮想的なトンネルを構築し、プライベートなネットワークを拡張する技術VPN(Virtual Private Network)が生まれました。

社外から社内のサーバーに接続する仮想デスクトップではVPNまたはVPN機能を持つソフトウェアが必要です。 一方で、例えばリモートデスクトップで社外から社外のコンピューターへアクセスする場合などでは、VPNの機能は不要なため、VPNの外で機密情報がやりとりされてしまうリスクがあります。

テレワークにより適しているのはリモートデスクトップ(RDP)と仮想デスクトップ(VDI)のどちらか

セキュリティの観点では、リモートデスクトップと仮想デスクトップのどちらがテレワークに適しているのでしょうか。

セキュリティ対策においては仮想デスクトップ(VDI)がより適している

仮想デスクトップに比べ、リモートデスクトップは深いIT知識がなくても構築することができるため、導入はしやすいといえます。一方で、セキュリティ対策という観点から考えると、仮想デスクトップの方に軍配があがります。特にIT管理者の立場から見ても、仮想デスクトップでユーザーを集中管理することで、セキュリティパッチの配布が容易であったり、監視しやすいというメリットがあります。

仮想デスクトップ(VDI)のオンプレミス型とクラウド型について

仮想デスクトップには、オンプレミス型とクラウド型の大きく2種類がます。

自社にサーバーを設置して仮想マシンを運用するのがオンプレミス型、外部のクラウドサービス内で仮想マシンを運用するのがクラウド型です。自社内でサーバーを管理する必要がないため、クラウド型の方が導入は容易です。

一方、クラウド型ではデータを社外の事業者に預けることになるため、セキュリティ面では、自社内にすべてのデータを保管しておけるオンプレミス型が優位と言われていました。ただ、クラウド型でもパブリッククラウドではなくプライベートクラウドで運用すれば、セキュリティを確保しつつオンプレミス型よりも容易に仮想デスクトップを導入できるでしょう。

仮想デスクトップ(VDI)の導入を検討するなら「Azure Virtual Desktop(旧Windows Virtual Desktop)」

2020年以降の新型コロナウイルス対策でテレワークが一気に加速したこともあり、仮想デスクトップ(VDI)の導入を検討する企業が増加しています。仮想デスクトップを容易にかつ強固なセキュリティを確保しつつ導入するため、「Azure Virtual Desktop(旧Windows Virtual Desktop)」を検討するのも方法のひとつです。

「Azure Virtual Desktop(旧Windows Virtual Desktop)」は、クラウドサービスMicrosoft Azure上で利用できる仮想デスクトップサービスです。Azureの開発には3,500名以上のサイバー・セキュリティ専門家が携わっています。巨大企業マイクロソフトのクラウドを利用する大きなメリットは、そのような自社では確保が難しいリソースが利用できることにあります。

まとめ

リモートデスクトップ(RDP)と仮想デスクトップ(VDI)をセキュリティ面から比較した場合、仮想デスクトップの方がセキュアであると言えそうです。特にテレワークを検討する企業は、よりセキュアな環境で作業ができるクラウドサービスの利用が増えつつあります。導入する際は、現状のシステムの状況を正しく把握するためにSysTrackを活用したアセスメントをお勧めしております。SysTrackはお客様環境に最も適したサイジング情報などレポートでお出ししますので、VDI導入の際にはご検討ください。