仮想デスクトップ環境は総合力で守る

サーバー、ネットワーク、端末の3層セキュリティ

　仮想デスクトップは、ワーキング革命で注目されているテクノロジーだ。その基本は、社員が持ち出す端末に一切のデータを保存せず、Windowsのデスクトップをリモートで操作する。社員が持ち出す端末から、インターネットなどの公衆回線を利用して、仮想化環境を構築しているデータセンターや、パブリッククラウドにアクセスする。端末とサーバー間は、暗号化された画面データなどが転送されるので、ハッキングによる情報漏えいの心配も少ない。また、端末で行った編集データなどもサーバー側だけに保管されるので、情報保護の安全性は高いと評価されている。

　こうした背景から、仮想デスクトップはワーキング革命における社外への持ち出しPCの安全性を高めるITソリューションとして着目されている。金融機関や大手企業では、情報セキュリティ対策の強化やコンプライアンス対応の一環として、仮想デスクトップを推進してきた例は多い。

　最近では、仮想デスクトップインフラを手軽に構築できるアプライアンス製品が登場してきたことから、高度なシステムインテグレーション技能がない中堅・中小企業でもデスクトップ仮想化を導入しやすくなってきた。しかし、万全のように思われるデスクトップ仮想化でも、IT機器とネットワークを活用する限りは、セキュリティ面での心配を完全に払拭することはできない。なぜなら、仮想デスクトップの運用には、サーバーからネットワーク、端末までの3層に及ぶ総合的なセキュリティ対策が求められているからだ。

トレンドマイクロが提唱する総合セキュリティ

　仮想デスクトップは、外部に持ち出したPCやタブレットなどの端末にデータを残さない安全性を実現する。だが、そのデータや仮想環境を構築しているサーバー側には、従来のITシステムと同様のセキュリティ対策が求められる。

　例えば、仮想デスクトップに対応するサーバーは、物理や仮想やクラウドであれ、アクセスしてくる端末とネットワークを介して接続している。そのため、サーバーは常に外部からの攻撃という脅威に晒される。このサーバーを安全に運用するためには、総合サーバーセキュリティ対策の「Trend Micro Deep Security」による保護が最適だとトレンドマイクロはアピールする。

　Trend Micro Deep Securityは、仮想デスクトップやアプリケーションの脆弱性に対して「仮想パッチ」を適用し、攻撃者によるデータセンターへの侵入や改ざんなどを阻止する。また、業界をリードするセキュリティ技術により、IPS／IDSによる対策はもちろん、サンドボックスと連携した標的型サイバー攻撃への対策も強化されている。Trend Micro Deep Securityでサーバーを安全に運用することは、仮想デスクトップにおける重要なセキュリティ対策になるのだ。

　次の守るべきポイントは、ネットワーク層だ。外部と接続しているネットワークポートは、悪意のあるハッカーの攻撃対象として、常に狙われている。仮想デスクトップのために外部にポートを開くことは、攻撃の標的を広げてしまうようなもの。そこで、ネットワークの全てを監視して、不正なアクセスの予兆を少しでも早く検出する対策が必要になる。

　トレンドマイクロが利用を推奨しているのが、ネットワークの監視センサーとして機能する「Deep Discovery Inspector」だ。人手では発見が困難な標的型サイバー攻撃のさまざまな攻撃フェーズを可視化できる。Deep Discovery Inspectorは、全てのネットワークポートと105種類を超えるプロトコルを監視して、全方位の可視化を実現する。物理または仮想のネットワークアプライアンスとしてDeep Discovery Inspectorを使用すると、専用の検出エンジンとカスタムサンドボックス解析により、不正な侵害を検出して防御できる。

新旧の技術を融合したエンドポイント対策

　仮想デスクトップを導入したからといって、全ての持ち出しPCの安全性が確保されるわけではない。多くの場合、持ち出しPCとしてWindowsなどが起動する標準的なリッチクライアントを社員に供与している。仮想デスクトップでは社内のデータは保護されるが、各自がローカルで作業してPCに保存したデータまでは保護できない。

　そこで改めて重要になるのが、エンドポイントセキュリティという端末側での保護システムだ。トレンドマイクロの「ウイルスバスター コーポレートエディション XG」は、防御力とパフォーマンスを両立し、次世代の高度なAI技術と成熟したウイルス対策技術を融合したセキュリティ製品だ。

　パターンファイルを使わない機械学習型検索と、ファイルレピュテーションやWebレピュテーション、挙動監視、亜種対策、アプリケーションコントロール、脆弱性対策、そしてファイルの正否チェックなどの技術を融合して、より安全にエンドポイントを未知の脅威から保護する。

　例えば、不審なネットワーク活動とファイルに関する情報を同社の他のセキュリティ製品と即座に共有して、そこから続く攻撃を阻止する。ランサムウェア対策では、エンドポイントの不審なファイル暗号化処理を監視して、悪意のある活動を強制的に終了させる。暗号化された場合でも復旧を行う高度な処理を実装している。エンドポイントセキュリティの強化は、クラウドメールを開いて、悪意のある添付ファイルを誤って端末側にダウンロードして実行してしまったとしても、被害を未然に防ぐ一助となる。また、USBメモリーなどからのウイルス感染の防御にもなる。

　このように、仮想デスクトップによるワーキング革命の推進には、情報セキュリティ対策という観点から、サーバーとネットワークと端末という3層へのトータルなソリューション提案が効果的だ。ワーキング革命において、より安全で確実な持ち出しPCの運用を実現するためには、総合的なセキュリティ対策も重要な取り組みになるのだ。

（PC-Webzine2018年10月号掲載記事）