- 企業情報
- netone on netone
全社員向けにBYOD・VDIを導入してきたネットワンが脱VDI宣言!?VDI利用数増加に伴う課題と対策
はじめに
新型コロナウイルス感染症の影響によって、私たちの事業環境や働き方は大きく変化しました。以前から積極的に利用されていたテレワーク制度でしたが、ネットワングループも2020年10月から完全にテレワーク主体の働き方に移行し、それまでオフィスに出社していた4000名ほどの社員(協力会社含む)のほとんどが、自宅からVDIにアクセスし業務を行うようになりました。
これまで以上に社員の柔軟な働き方が実現する一方で、システム環境ではVDI利用者増加に伴う費用増加、リソース競合による生産性の低下、障害時の業務影響など様々な課題が見つかります。
ネットワンの情報システム部門では、これらの課題を解決する為に「Non-VDI」という新たな業務手段を全社導入することにしました。
本記事では、「Non-VDI」導入決定に至るまでの経緯、評価検証を含めネットワンの体験談をご紹介します。
VDI利用で見えてきた課題と対策
テレワーク中心の働き方へシフトしたことで、今までオフィスの固定端末から業務システムへアクセスをしていた社員もVDIを利用することになりました。
それによりVDIの同時接続数が急激に増加し、以下の課題が見つかりました。
VDI利用で見えてきた課題
- 利用率増加によるコスト増大
- リソース競合による生産性低下
- VDIに依存することによる障害時の影響度拡大
これらの対策として脱VDIを進めていく必要があると考え、VDIを利用せずにBYODや貸与端末から直接システムへアクセスし業務をするNon-VDIが有効であると考え検討を開始した。
Non-VDI導入までのフェーズ
Type1ブラウザベースアクセス
用途 |
|
---|---|
定義 |
|
Type2貸与端末ベースアクセス
用途 |
|
---|---|
定義 |
|
導入に向けて「Type1 ブラウザベースアクセス」「Type2 貸与端末ベースアクセス」の2つのフェーズを分けて実施します。
「Type1 ブラウザアクセス」はBYOD端末からのブラウザによる社内設備へのアクセスで、VDIリソースの逼迫緩和を目指します。
これはブラウザのみで完結する業務で利用することを想定しており、具体的には協力会社社員の用務全般や人事・総務等の事務系作業、管理職の承認作業などです。
ブラウザ内での作業・編集は可能ですが、ファイル持ち出しリスクに対応するため、BYOD端末へのダウンロードは不可としています。
「Tyep2 貸与端末ベースアクセス」はMDMにて管理された端末を貸与し実現するアクセスとなります。
こちらはファイルの端末へのダウンロード、ダウンロード後の編集なども可能です。
「Type1 ブラウザアクセス」について
- BYOD端末のウェブブラウザ(Edge/Chrome)から社内Webシステムへアクセス可能
- VDIが利用できない場合でも社内システムへアクセス可能
- BCP対策としても利用可能
- ローカルリソースの利用により描画負荷が高い処理も可能
Non-VDI Type1ではBYOD端末のWEBブラウザより社内のWEBシステムへログイン可能となります。
VDIが利用出来ない場合でも社内システムへアクセスが可能となりBCP対策としても有効です。
またローカルリソースを利用することによりVDIでは不可であった描写負荷が高い処理も可能となります。
各制御においては、AzureAD条件付きアクセスやDefender for Cloud APPsを利用しセキュリティ保護の観点からポリシーを作成します。
「Type1 ブラウザアクセス」の検証と評価
評価方法
- 全社横断プロジェクトの数名のメンバーに権限付与
- O365、BOX、営業支援ツール等の175項目を評価
評価結果・所感
- 各制限が実施されること、ログ追跡可能なことを確認
■メリット
- 利便性・・・各種承認・チェック作業、簡単なファイル編集が可能
- 時短・・・VDIにログインする必要がないため時間短縮可能
- コスト削減・・・負荷の高いアプリ(MS系)のオフロードがBYOD端末で行われるためVDIサーバーの利用削減可能
■デメリット
- 利便性・・・セキュリティリスクを抑えるため、ダウンロード制限を加える事により、VDIと比べると利便性に欠ける。
- システム整備及び運用面・・・統合ログ監視の仕組みやその分析能力が必要となるため準備が必要となる。
Type1のPoCは情シスメンバー以外に営業部から数名参加し、全社横断のプロジェクトとして実施しました。評価項目としては社内標準で使っているBOXやMicrosoft365、営業支援ツールなどを中心に利便性及びセキュリティ確保の観点を含めた、全175項目で評価しました。
結果として、利便性の部分では大きな問題はなく実用に耐えられると判断。VDIの起動が不要なためVDI障害時の一部業務継続が可能なことも確認できました。
セキュリティ保護の観点でもローカルに資料がダウンロードされない、ログイン履歴や不正なファイル操作はログから追跡可能であり、基準はクリアしていると判断しています。
ただし、メールの添付ファイル(圧縮・展開形式)のダウンロードが出来ないため不便であったり、VDIではなくBYOD端末となるため、統合ログ監視の仕組みやログの分析など、より厳格なログ管理が必要になると考えています。
導入に向けた今後のスケジュール
Type1に関しては2023年3月より本運用を開始する予定です。
またType2に関しては2023年4月よりトライアルを開始し、2023年度中の本運用開始を目指しています。
Type2はWindows Information Protectionを利用した制御を検討していましたが、Windows Information Protectionが非推奨(参照)となったことで、Microsoft Purviewデータ損失防止を利用し主にDLPの観点から検証を進めています。
Type1ではMy Apps Secure Sign-in ExtensionというWEBブラウザのアドオン機能を利用することで、BYODから社内WEBシステムへアクセスする際にProxyアドレスではなくいつものURLを利用することが可能です。
またWEBブラウザはMicrosoft Edgeを利用する事を推奨します。
まとめ
今後Type1の本番運用結果や、Type2の評価検証結果を成功・失敗に関わらず包み隠さず掲載していく予定です。
ネットワンでは、まず自らが実践し、そこから得られた経験や知見を付加価値として提供することでお客様の課題解決に貢献したいと考えています。
本記事を通じたネットワン社内で積み重ねた体験談が、少しでもお役に立てれば幸いです。