第2回：テレワーク & Web分離のいろいろな方式（Web分離編）

前回はテレワークの方式について記事を書きました。
今回は「Web分離」について記事を書きたいと思います。

仮想ブラウザ方式以外の仕組みや特長は
第1回の記事に記載していますので併せてご参照ください。

Web分離とは

まず前提としてWeb分離とは何なのか。

Web分離というのは、社内ネットワークを大きく以下の2つの系統に分離して、
特定の通信のみ、両ネットワーク系統間で転送を許可するソリューションです。

①インターネットに接続するオープンなネットワークの系統

　（※下図だと「社内LANオープン系統」と表現。

　　　自治体だと「インターネット接続系」という呼称が多い。）

②インターネットに接続しないクローズドなネットワークの系統

　（※下図だと「社内LANクローズド系統」と表現。

　　　自治体だと「LGWAN接続系」や「個人番号利用事務系」という呼称が多い。）

そして、一般的に「特定通信」というのは、

・無害化されたメールの送受信

・無害化されたファイルの転送

・画面転送通信

と定義されています。

Web分離における画面転送のイメージですが、
パソコンが配置されているネットワーク系統とは異なる系統にVDIを設置して、
パソコンとVDIの間で画面転送通信を行う形となります。

とくにWeb分離が進んでいる自治体のネットワークでは、

・パソコンをクローズドなネットワーク系統に配置する型をαモデル

・パソコンをオープンなネットワーク系統に配置する型をβモデル

という分類が提示されています。

参考情報：

総務省「自治体情報セキュリティ対策の見直しのポイント」
https://www.soumu.go.jp/main_content/000688753.pdf

今回は、よくあるパターンであるαモデルを前提に記事を書いていきます。

１．仮想デスクトップ方式

ここでは、最近の提供形態と利用形態について記載していきます。

提供形態

・オンプレミス型

・クラウド型

今回は書ききれないのですが、以下の4製品での機能比較も完了しているので、
もしご要望が多いようであれば、今後記事を書いてみたいと思っています。

（Horizonオンプレ版 vs Horizon Cloud vs MS純正WVD vs Citrix Cloud）

利用形態

・VDI方式：

Windows10などクライアントOSを利用するものです。
ユーザ1名につき、1台の仮想マシンを割り当てて利用します。

・SBC方式：

Windows ServerなどサーバOSを利用するものです。
ユーザ複数名につき、1台の仮想マシンを共有して利用します。

SBC方式は、さらに配信タイプの観点で2つの分類があります。

・デスクトップ配信型：

デスクトップ全体を画面転送するものです。

・アプリケーション配信型：

特定のアプリケーションの実行画面だけを画面転送するものです。

２．仮想ブラウザ方式

仮想デスクトップ方式を導入してみたけど使いにくい、という声や、
ライセンスの維持費用が高くてコストを削減したい、という声も増えてきました。
そうしたなかで最近注目を集めている方式が仮想ブラウザ方式です。

仮想デスクトップ方式のブラウザしか利用できない版、のイメージです。

この方式に属する多くの製品が、LinuxOSベースの仮想コンテナ技術を
利用したものであることから、ライセンス費用を大幅に削減できるメリットがあります。

利用者目線では、VDIと比べると格段に手間が少なくなっています。
この方式の製品の多くがWebプロキシの技術を利用しているため、
手元パソコンのプロキシ設定を変更するだけで利用できます。

その反面、ファイル操作やブラウザ以外のアプリの利用など、
ブラウザでできない業務には利用できない、という制約があります。

さらに、仮想ブラウザはLinux上で動くChromiumベースやFirefoxベースの
メーカ独自開発のブラウザであるため、正常に表示できないWebページが存在します。

また、仮想デスクトップと比べると、サイジング方法が確立していないため、
サーバ基盤やネットワーク帯域のリソースが枯渇するトラブルも発生しています。

なお、この方式の製品は、さらに以下の2つの切り口で整理するとわかりやすいです。
ご要望があれば別の記事で詳細に書いてみたいと思っています。

処理形態

・画面転送型

・Webページ無害化型（後述の解釈の問題が発生します）

利用形態

・クライアントレス型

・クライアント型

最後に、この方式の製品の決め手のひとつになるのが、
どのファイル無害化エンジンと連携できるか、という点です。
これが非常に大事になってきます。

ファイル無害化エンジンは、ものによってはトラブルを頻発させるため、
運用フェーズのことを考えると、無害化エンジンの部分は、
製品選定時にしっかりとチェックしておきたいポイントとなります。

３．アプリケーションラッピング方式／セキュアブラウザ方式

仮想ブラウザ方式と同様、
脱VDIとして注目が集まっているのが、これらの方式です。

最初にセキュアブラウザ方式の製品が開発され、
その技術をベースに、アプリケーションラッピング方式が開発された、
という経緯が、多くのメーカの共通点となります。

それぞれの方式の仕組みと特長は、
第1回目の記事に記載していますので、併せてご参照ください。

その代わりに今回は、Web分離というテーマのなかで、
この方式を選定する際に考慮しなくてはならない重要なポイントを説明します。

それは「特定通信の解釈」です。

アプリケーションラッピング方式（とセキュアブラウザ方式）は、
手元パソコンの内部でVDIを動かすようなイメージであると、前回お伝えしました。

これは、どういうことかというと、
絵を見て頂くとわかりやすいと思いますが、ネットワーク系統の境界では、
画面転送通信ではなくファイルなどの実データが直接転送される、ということです。

この方式の製品を導入するにあたっては、
セキュリティポリシーなどの自組織の判断基準に照らして、
特定通信として解釈できるかどうか、しっかり検討する必要があるかと思います。

おわりに

Web分離の製品とテレワークの製品はオーバラップするため、
それぞれの方式の検討ポイントをまとめる前の段階で、
Web分離ソリューションの方式について記事を書きました。

次回は、テレワークおよびWeb分離の各種方式について
検討ポイントを整理していきたいと思います。

ご意見やご相談は随時受け付けています。お気軽にご連絡ください。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。