[情報処理安全確保支援士]シンクライアントとVDI[対策講座・例題付き]
今回は情報処理安全確保支援士試験で問われるシンクライアントとVDIについて学習します。
シンクライアントとVDI
シンクライアントPCの環境を作ることで、PC環境の一元管理・PC紛失時の情報漏えい防止・マルウェア感染による被害の最小化などが図れます。
近年はリモートワークの普及に伴い、シンクライアントを導入する企業も増えています。
シンクライアントの概要
シンクライアント(thin client)は、クライアント端末側で入力・出力などの最小限の処理のみを行い、ソフトウェアの管理・実行・データの加工編集など大半の処理をサーバ側で行う一連のシステムです。
シンクライアント登場時は最小限の機能を搭載したデバイスばかりでした。現在ではVDI技術を活用し、本来はファットクライアントとして用いられるデバイスを応用してシンクライアントのように用いる手法が普及しています。
シンクライアントを実現する方式として、以下のものがあります。
| シンクライアント実現方式 | 特徴 |
| ネットワークブート方式 | ・クライアント起動時にネットワーク経由でOSやアプリケーションをサーバからダウンロードする方式 ・データはサーバ側で管理し、ディスクへのアクセスはネットワークを通じて行う ・端末上で各種処理が実行されるため、使用感はファットクライアントと同様 ・端末起動時やディスクアクセス時にネットワークに負担がかかる |
| 画面転送方式 | ・OSやアプリケーションはすべてサーバ側で実行し、画面を端末に転送する方式 ・画面イメージのみを転送するため、ネットワークへの負荷は低い ・PCに限らず、タブレットもクライアントとして使用可能 ・サーバと接続が切れれば一切使用不可能 |
また、画面転送方式としては以下のようなものがあります。
| 画面転送方式 | 特徴 |
| サーバベース型 | ・サーバ上のOSやアプリケーションを複数のユーザで共同管理しつつ、ユーザごとにデスクトップを提供する方式 ・OSやアプリケーションがマルチユーザに対応していなければいけない ・クライアント集約率が高く、必要なソフトウェアライセンスが少ないため、コストパフォーマンスが高い ・複数のユーザでシステムリソース・OS・アプリケーションを共有するため、他ユーザからの干渉を受けやすく自由度が低い |
| ブレードPC型 | ・ユーザごとにブレードPCと呼ばれる専用の物理PCを用意する方式 ・ユーザはCPU・メモリ・OS・アプリケーションなどを占有できるため、他のユーザから干渉を受けない ・ユーザ数分のハードウェア・ソフトウェアライセンスが必要なため、コストパフォーマンスが低い |
| VDI型 | ・仮想化技術を活用し、ハイパーバイザ上にユーザごとの仮想デスクトップ環境を用意する方式 ・ユーザごとの自由度を確保しつつ、ブレードPC型よりも高いコストパフォーマンスを実現可能 ・仮想環境のため、新規作成・廃棄・初期化などを容易に実行可能 ・ユーザにテスクトップ環境を提供するタイプだけでなく、マルウェア感染によるリスク低減を主な目的として、仮想ブラウザ・仮想メールクライアントなど、特定のアプリケーション環境を提供するタイプが普及している |
VDIとは
複数の画面転送方式のなかでも、近年主流となっているのがVDI型です。VDIの利用イメージを確認してみましょう。
VDIではVDIサーバ上に仮想的なPC環境をクライアントPCの台数分用意し、各VPCには最新のセキュリティパッチやウイルス定義ファイルが適用されたOS・アプリケーションがインストールされたマスタイメージを複製します。
VPC利用者は、専用のシンクライアント端末やファットクライアントによるVDI端末からVPC接続ソフトを用いてVDI接続サーバ上に接続します。VDI接続サーバは利用者を認証し、VDIサーバ上のVPCと端末を接続します。
外出先からはタブレット端末・ノートPC・スマートフォンなどから、VDIゲートウェイサーバやVPN装置を介してVPCに接続します。VDIの導入によるメリットは以下の通りです。
- 端末の紛失・盗難による情報漏洩などの防止
- インターネット利用環境と組織内の就業システム環境を分離し、マルウェア感染による情報流失・データ損壊などの被害を抑える
- クライアントPC環境の一元管理によるセキュリティレベルの統一化
- 利用者は外出時などで利用する端末が変わっても、同じVPC環境を利用できる
RBIとは
最近ではマルウェア感染による情報流失のリスク低減を目的として、インターネット上のWebサーバとの通信経路上にRBI(Remote Browser Isolation)を設置し、ブラウザの実行環境をPCから分離する技術も普及しています。
PBIはWeb分離・ブラウザ分離とも呼ばれていて、PCに代わってWebブラウザ機能を実行し、その結果をPCに画面転送します。PC上ではRBIの専用仮想ブラウザを実行することで、通常のブラウザ同様の操作感でアクセス可能です。
この方式を用いれば、Webアクセスによってマルウェアに感染してもその被害はRBIに閉じ込められるため、PCに被害が及びません。
RBIではPCごとに独立した仮想OS環境が提供されるため、あるPCのWebアクセスでマルウェアが侵入しても他のPCには影響がありません。また、RBI環境は利用のたびに初期化されるため、都度マルウェアも消去されます。
RBIの利用イメージも確認しておきましょう。
ユーザは1台のファットクライアントを操作しつつ、個人情報や機密情報を扱う内部システムと、インターネット利用環境とを分離することができ、インターネットから侵入・感染したマルウェアによって内部システムにまで被害が及ぶことを防げます。
しかし、RBIを使用してもWebやメールで外部から入手したファイルをファットクライアントのローカル環境で使用する際には、該当ファイルをコピーする前に十分なマルウェア検索をしなければいけません。
具体的な対策方法としては、PBIとクライアント間でのファイル授受に使用するファイルサーバに、サンドボックス型のマルウェア対策製品を導入することが考えられます。
Webアイソレーション
VDIによるインターネット利用環境の分離同様に、近年ではコンテンツ無害化によるWebアイソレーション方式があります。
Webアイソレーション方式は、インターネット上のWebサイトと内部のクライアント端末との間に、コンテンツを無害化するサーバを置きます。
多くの場合、コンテンツ無害化サーバはクラウド上において、SaaS型のサービスとして提供されます。
WebサイトからのHTML・スクリプト・動画・文書などの各種コンテンツは、いったんコンテンツ無害化サーバの仮想コンテナに読み込まれてから実行されます。実行後はレンダリング処理によって安全な描画情報に書き換えられ、クライアント端末に送られます。
Webサイトのコンテンツに不正なプログラムや悪質なファイルが含まれていても、すべて描画情報に置き換えられているためクライアント端末は安全です。
また、RBIではクライアント端末においてRBI専用ブラウザを使用する必要がありますが、コンテンツ無害化によるWebアイソレーション方式においては氷人的なブラウザをそのまま利用できます。
シンクライアントとVDI・例題
実際に例題を解いて問題に慣れていきましょう。
問題1
ア Webサイトからの受信データのうち,実行ファイルを削除し,その他のデータをPCに送信する。
イ Webサイトからの受信データのうち,不正なコード列が検知されない通信だけをPCに送信する。
ウ Webサイトからの受信データを処理してVDIサーバで生成したデスクトップ画面の画像データだけをPCに送信する。
エ Webサイトからの受信データを全てIPsecでカプセル化し,PCに送信する。
(ログイン後回答すると、ここに前回の正誤情報が表示されます)
問題2
ア PCとVDIサーバ間は,VDIの画面転送プロトコル及びファイル転送を利用する。
イ PCとVDIサーバ間は,VDIの画面転送プロトコルだけを利用する。
ウ VDIサーバが,プロキシサーバとしてHTTP通信を中継する。
エ VDIサーバが,プロキシサーバとしてVDIの画面転送プロトコルだけを中継する。
(ログイン後回答すると、ここに前回の正誤情報が表示されます)
シンクライアントとVDI・まとめ
シンクライアントはセキュリティの観点からも利便性の観点からも、今後普及していくと思われます。
普及に伴って試験で問われる可能性も上がるため、しっかりと学習しておきましょう。
次回はリモートワークについて学習します。
福井県産。北海道に行ったり新潟に行ったりと、雪国を旅してます。
経理4年/インフラエンジニア7年(内4年は兼務)/ライター5年(副業)
簿記2級/FP2級/応用情報技術者/情報処理安全確保支援士/中小企業診断修得者 など
