- ライター:渥美 淳一
- セキュリティアーキテクトとして活動。変革し続けるニーズからセキュリティのあるべき姿を見極める。セキュリティには統合されたアイデンティティ基盤が欠かせないと考えている。
目次
2019年10月1日、仮想デスクトップ市場を揺るがすとウワサのMicrosoft社のクラウドサービス「Windows Virtual Desktop」(以下WVD)が、6か月のパブリックプレビュー期間を経て、正式にリリースされました。弊社ではこのパブリックプレビュー期間に、セキュリティを意識したWVDの実証実験をしました。
仮想デスクトップ市場動向
オンプレミス型の仮想デスクトップ(以下VDI)を導入している日本の組織において、コスト面や運用面の負担の大きさを問題視する声が上がっています。そこで期待されているのが、WVDをはじめとする仮想デスクトップサービス(以下DaaS)です。これはクラウドシフトを進める組織のニーズにも合致します。ガートナーは「2023年までに、オンプレミス型VDIユーザーの30%は、DaaSを利用したクラウド上のワークプレースにアクセスするようになる」と予測しています。
WVDとは?
Microsoft Azure上でWindows OSの仮想デスクトップ環境を提供するDaaSです。Azure環境と必要なライセンス(Windows 10 EnterpriseやMicrosoft 365 Enterpriseなど)を持っていれば追加コストなく利用でき、1台のWindows 10を複数のユーザーで共用できるため、1人1台ずつVDIを用意するよりもコストメリットがあります。また、2020年1月以降もWindows 7を安心して使える点もメリットです。
WVDの司令室ともいうべき管理プレーンはMicrosoft社が管理してくれますので、情報システム部門の運用面の負担が軽減される点もメリットです。同じMicrosoft社のOffice 365サービスへは高速バックボーンを経由して通信しますので、通信セッションの多いOffice 365のエクスペリエンス向上も期待できます。
このブログでは、需要の高まりが予想されるWVDを使う上で有効なセキュリティをご紹介します。
WVDに有効なセキュリティ①「メールの保護」
WVDとOffice 365を使って働く場合、まず考えなければならないのがメールの保護です。そのためには、スパムメールはもちろん、「グレーメール」と呼ばれる勧誘メールなどの十分な検出能力、マルウェアが存在するメールボックスをスピーディーに自動修復する機能、運用管理のしやすさ、レポート機能の充実を意識する必要があります。
さらに、いつ、どうして、どのようにマルウェアが侵入したのか?その影響は?を明らかにするためには、Cisco社の「Cisco Threat Response」のように、多くのセキュリティ製品をまとめて把握し、グラフィカルな関係図でマルウェアを取り巻く相関関係を確認、ブロックできるものがオススメです。
WVDに有効なセキュリティ②「フィッシング/シャドーIT対策」
仮想デスクトップで受信したメールにURLが書かれていた際、ついクリックしてしまうケースが後を絶ちません。フィッシングによる個人情報の詐取やビジネスメール詐欺による被害は大きな脅威です。そこで、フィッシングサイトへのアクセス用URLをクリックしてしまった場合に、フィッシングサイトへの通信前、DNSによる名前解決の時点でブロックしてくれるセキュリティサービスがオススメです。
こちらのサービスは、DNSのクエリー情報から「仮想デスクトップでどのようなアプリケーションが利用されているか?」などシャドーITに対する可視化と制御ができます。
【参考】パソコン、スマートフォン、IoT、うまく守る方法は?
WVDに有効なセキュリティ③「不正ログイン対策」
Office 365においてメールアカウントが乗っ取られる被害が増えています。不正ログインされ、過去のメールや添付ファイルが盗まれる、スパムメールの発信元にされるといった攻撃が相次いでいます。パスワードリスト攻撃に加え、前述のようにメールを使ってフィッシングサイトへ誘導し、Office 365のパスワードを入力させ、そのパスワードで不正ログインする攻撃手法などが考えられます。
そのため、パスワード以外を要求する多要素認証の導入、認証連携(フェデレーション)によるパスワード漏洩対策、仮想デスクトップのIPアドレス以外からのログインをブロックする条件付きアクセス制限の導入がオススメです。
【参考】Office 365が危ない!使えるセキュリティ対策
【参考】パスワード管理って、大切ですか?
WVDに有効なセキュリティ④「情報漏洩対策」
組織内から個人用のOffice 365テナントにアクセスし、組織の機密情報などをそこに保存できてしまいますと、悪意の有無にかかわらず、結果として情報漏洩につながります。そこで、仮想デスクトップからOffice 365への通信を次世代ファイアウォール経由にすることで、組織用のOffice 365テナント以外にアクセスできないようにする「テナント制限」がオススメです。
WVDに有効なセキュリティ⑤「IaaS/PaaSセキュリティ対策」
WVDの仮想デスクトップはAzureにあります。そのため、利用しているAzureのセキュリティリスクを可視化することが重要です。例えば、仮想デスクトップのネットワーク設定ミス、Azure BLOBストレージのアクセスレベルの設定ミスなどにより、機密情報が漏洩してしまうことがないよう、IaaS/PaaS全体の設定を定期的に監査し、企業ポリシーに逸脱している設定がある場合は、管理者へ通知したり、自動修復してくれるセキュリティサービスがオススメです。
まとめ
仮想デスクトップや業務システムをはじめ、働く環境のクラウドシフトが活発になりつつあります。それと同時にセキュリティ課題も、その解決手段も、クラウドシフトが進むことが予想されます。
今回は弊社で実証済みであるWVDのセキュリティの一部をご紹介しましたが、セキュリティ市場も急速に進化しています。セキュリティ運用監視の自動化、データ活用、コンテナやIoTのセキュリティなど、令和時代の新たなセキュリティを弊社よりご紹介できれば幸いです。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
