考察その4［ワークスタイル］

デスクトップ仮想化でワークスタイルを多様化

【理想】

　デスクトップ仮想化の特にサーバホステッドの実装は、在宅勤務やテレワーク、モバイルワーカー、社内で座席を固定しないフリーアドレスなど、多様化するワークスタイルに柔軟に対応できるというメリットがあります。東日本大震災を契機に、自宅や仮設オフィスでの事業継続手段として、注目が高まりました。

【詳細画像を含む記事】

　これまで、社外ユーザーにリモート接続環境を提供する場合、VPN（仮想プライベート回線）を使用した社内ネットワークへの接続を提供するのが一般的でした。しかし、VPN接続には、VPNに必要なプロトコルがファイアウォールを通過できないという接続性の問題、接続問題のトラブルシューティングの難しさ、管理されていない端末から社内ネットワークに接続してくることによる潜在的なセキュリティリスクなど、多くの課題があります。

　デスクトップ仮想化は、画面転送のための最小限のプロトコル（RDP、ICA、PCoIP、HTTPSなど）のみを許可すればよく接続性にすぐれ、しかも社外とのやり取りは画面と入力の転送だけに限定できるのでセキュリティを確保できるというメリットがあります。また、デスクトップ仮想化製品の多くは、高い接続性とセキュアな接続を提供するゲートウェイ機能（Microsoft Remote Desktop Gateway、Citrix Access Gateway、VMware View PCoIP Secure Gatewayなど）を提供するため、リモート接続環境を構築するのもVPNより簡単です。

　在宅勤務やモバイルワーカーのための接続環境を社内にも応用すれば、私物のノートPCやスマートフォン、タブレット／スレートデバイスの利用を許可するといった、従来では考えられなかったようなIT環境も、非現実的ではなくなりました。

【現実】

　デスクトップ仮想化において、インターネット経由でのリモート接続で重要なポイントとして、プロトコルの選定とセキュリティの強化の2つをあげたいと思います。

　マイクロソフト標準のRDP（リモートデスクトッププロトコル）は、新しいバージョンでは、AeroグラスのサポートやRemoteFX、双方向オーディオなど、高品質なマルチメディアをサポートしていますが、これはLAN環境での利用を想定したものです。低速で遅延のある回線で利用する場合、デスクトップの無効化や解像度、表示色の制限、表示効果の無効化などでエクスペリエンス機能を犠牲にする必要があることに留意してください（画面3）。

画面3：RDP接続を低速な回線上で利用すると、エクスペリエンス機能が犠牲になります

　その点、シトリックス・システムズのICA（Independent Computing Architecture）/HDX（High Definition eXperience）は、遅延の大きい回線に対する最適化機能で以前から定評があります。VMware ViewのPCoIPも、「VMware View 5」で大きく改善されたようです（『ヴイエムウェア、デスクトップ仮想化ソフトの新版「VMware View 5」を発表』［URL］http://www.computerworld.jp/contents/200636）。

　セキュリティの確保は、社外からのリモート接続の最大の課題です。強固なパスワードによる認証は当然のこと、複数の認証方式による多重化や、ネットワーク検疫システムとの連携を検討するべきでしょう。

　IT部門の管理下にない、あるいは管理から離れた社外のPCやデバイスは、ロックダウンすることが困難です。機密情報を表示しているリモートの画面が、情報漏えいのルートになるリスクがあることをよく理解してください。

　仮想マシンイメージをローカルにダウンロードして、オフラインで利用できるソリューションもありますが、その場合、さまざまな資格情報、接続情報を含むOSイメージごと盗まれるリスクがあります。多重認証や検疫に加えて、ドライブ全体の暗号化、リモートワイプなど、万が一、イメージが流出した際に備えた追加のセキュリティ対策が必要です。そして、セキュリティ対策の最後の砦は、エンドユーザーのモラルや行動ということになるので、教育が最も重要になります。

考察その5［ライセンス］

絶対に避けられないライセンスコストの壁

【理想】

　デスクトップ仮想化を導入することにより、デスクトップの標準化、OSやアプリケーション、セキュリティ設定の集中管理、ストレージの効率利用などによって、運用コスト削減効果を期待できます。

　IT部門やヘルプデスク担当は、エンドユーザーの端末まで出向かなくてもトラブルや問い合わせに対応できるので、さらにコストを削減できるでしょう。IT統制やセキュリティの強化により、マルウェアによるシステム破壊や、情報漏えい事故を未然に防ぐことにもつながり、想定外のインシデント対応コストも抑制されるはずです。

【現実】

　デスクトップ仮想化を導入するにあたり、導入コストの見積り額の高さから、導入に踏み切れないケースがあるようです。導入コストには、サーバホステッド、仮想マシン型のVDIの場合、サーバハードウェア、OSやアプリケーション、管理ツールなどのソフトウェア製品、各種ライセンスが含まれます。どのソリューション製品を選択するにしても（マイクロソフト以外のシトリックスやヴイエムウェアの製品を利用する場合も例外ではありません）、仮想マシンで動かすWindowsライセンスとして「Virtual Desktop Access（VDA）」ライセンスが必須であることを知る必要があります（画面4）。そして、このVDAライセンスのコストはVDIを利用し続けるかぎり、毎年発生します。

画面4：どの仮想デスクトップソリューションを利用するにも、仮想マシン上で動かすWindowsライセンスとして、VDAライセンスが必須になります

　ご存じのとおり、Windowsはソフトウェア製品です。仮想マシンを物理マシンと同じに考えれば、仮想マシンのオンライン、オフラインに関わらず、インストール数ぶんのOSライセンスが必要になります。

　しかし、それではライセンスコストが膨大になってしまうばかりか、1つの仮想マシンに1つのライセンスが固定されてしまい、仮想化の柔軟性のメリットを活用できなくなってしまいます。そこでマイクロソフトは、VDIのためのライセンスとしてVDAを用意しました。デスクトップ仮想化の対象がWindowsであるかぎり、このライセンスを不要にすることはできません。

・仮想デスクトップのライセンス（マイクロソフト）

［URL］http://www.microsoft.com/japan/virtualization/licensing/VDA.mspx

・仮想環境向けのMicrosoft Windowsのライセンス（マイクロソフト）

［URL］http://www.microsoft.com/ja-jp/windows/japanenterprise/solutions/virtualization/licensing.aspx

　VDAライセンスは、VDIの仮想マシンに接続するクライアントデバイスごとに必要なサブスクリプション形式のライセンスです。これには1デバイス当たり、約1万3,000円／年（最小契約期間3年）のコストがかかります。このライセンスには、仮想マシンへのWindowsのインストール、仮想マシンの無制限のバックアップ、仮想マシンのホスト間移行、最大4つの実行中仮想マシンへのリモート接続、社外デバイス（私物PCなど）からのローミング利用権、Windows SA（ソフトウェアアシュアランス）特典の利用などが含まれます。

　Windows SAにはVDAの権利が含まれるため、VDAはシン・クライアント向けのライセンスということになります。Windows SAは、WindowsクライアントOSの最新、最上位（Enterprise）へのアップグレード権に、さまざまなSA特典を付加したもので、2年ごとに更新する必要があります。価格は約7,500円／年（1万5,000円／2年）。SAの付いていないWindowsデバイスにVDAを追加購入することもできますが、その場合、SAよりも割高になることに注意してください。

　VDA以外にも導入および維持コストを押し上げる要素があります。例えば、クライアントのデバイスとしてリッチ・クライアントを利用する場合、クライアントと仮想デスクトップの両方にマルウェア対策ソフトウェアが必要になるでしょう。マルウェア対策ソフトウェアのためのライセンスコストは単純計算で2倍になります。マルウェア対策以外にも、システム管理のためのエージェントにライセンスが必要な場合があります。リッチ・クライアントを利用する場合、管理、維持するべきデスクトップ数が2倍になることに留意してください。

　初期導入コストの高さばかりに注目するのではなく、投資の効果と妥当性を定量的に見出すことが重要でしょう。

考察その6［レガシー資産］

レガシーPCの再利用に隠れたコスト増

【理想】

　デスクトップ仮想化は、要件に合わせてシン・クライアントまたはリッチ・クライアントと組み合わせて利用できます。特に、セッション型または仮想マシン型で、サーバホステッドのデスクトップ仮想化は、デスクトップOSをサーバ側のリソースで集中的に実行できるため、クライアントに高いスペックを必要としません。そのため、システム要件の問題で最新のOSにアップグレードできないような旧式のPCを、シン・クライアント的に利用することで、クライアントを延命もしくは再生することができます。

【現実】

　旧式のPCを、現在動いているレガシーなOS環境（Windows 2000やWindows XPなど）のままシン・クライアント化して延命することは決してお勧めしません。現在の環境をそのまま引き継ぐ場合、セキュリティを維持するためのパッチ管理やマルウェア対策も引き続き必要になります。

　レガシーOSの環境を残すということは、それだけでセキュリティを低下させるリスクがあります。例えば、Windows 2000やWindows XP Service Pack（SP）2は、致命的なぜい弱性があったとしても、サポート期限が切れているため、パッチが提供されることはありません。現在、マルウェア対策ソフトウェアが対応しているとしても、使用中のOSが近い将来サポートから外れる可能性があります。

　旧式のPCの利用によるセキュリティの低下を回避するには、シン・クライアント化のためにシン・クライアント専用のロックダウンOSに入れ替えるという方法があります。

　USBメモリから起動可能なLinuxベースのシン・クライアントOSを利用して、ディスクレスの完全にシン・クライアント専用端末にすることもできます。そのための、ライセンスフリーのソフトウェアも多数存在します。

　Windows SAやVDAのライセンスを保有していれば、SA特典として無償提供されるWindows Thin PCを利用することができます（画面5）。

画面5：Windows SAおよびVDA契約者に提供されるWindows Thin PCは、Windows Embedded Standard 7 SP1ベースのシン・クライアント向けOSです

　Windows Thin PCは、Windows Embedded Standard 7 SP1（Windows 7 SP1ベース）をベースに開発された、シン・クライアント向けOSです。旧式のPCをWindows 7と同等のセキュリティレベルに引き上げ、さらにWindows 7 Enterpriseの一部のセキュリティ機能（BitLockerやAppLocker）をサポートします。ローカルディスクへの書き込みをブロックする「Write Filter」や、特定のキー操作を無効化する「Keyboard Filter」を備えており、さらなるロックダウンも可能です。

・Windows Thin PC（マイクロソフト）

［URL］http://www.microsoft.com/windows/enterprise/solutions/virtualization/products/thinpc.aspx

【展望】IT環境の未来予想図

サーバはクラウドへ向かう、デスクトップは…

　最後に、これから来る、近い将来のIT環境の姿を想像してみましょう。ここ数年の“仮想化”に並ぶITのキーワードの1つに“クラウド”があります。

　クラウドの本質は、その圧倒的なスケールメリットにあります。セキュリティや信頼性の高いIT基盤を、オンデマンドのサービスとして低価格で利用できる、ITを資産として所有するのではなく、サービスとして利用できる、こうしたメリットは変動の激しい今日のビジネス環境にマッチしたものです。

　クラウドはまだまだ発展途上であり、ネットワークのレイテンシ（遅延）や法規制（データセンターが海外にあることによる法域の違い、マルチテナントとプライバシーの問題など）など課題や懸念が多いのも事実です。

　そこで、課題を解消しながら、クラウドのメリットを適用できるプライベートクラウドへの関心が高まっています。従来型のクライアント／サーバは今後、パブリッククラウドとプライベートクラウドを選択的に取り入れながら、確実にクラウド化されていくものと予想します。

　従来型のクライアント／サーバのサーバがクラウド化していくとなると、クライアントはどうなっていくでしょうか。デスクトップ仮想化がその答えかもしれません。スマートフォンやタブレットデバイス、スレートPCといった新しいデバイスの増加を、企業のIT基盤の中でどう扱うのか、取り込むのか、禁止するのか、今後重要な課題になってくると思います。

　デスクトップ仮想化は、これらの新しいデバイスにも対応できます。デスクトップ仮想化により、デスクトップ環境をデータセンターやプライベートクラウドに集約して、サービスとして提供する、そして、デバイスはエンドユーザーが自由に選べる、そんなIT基盤が現実解なのではないでしょうか。
（山市良）


【関連記事】
VDI／仮想デスクトップ導入、成否を分けるのはセキュリティ対策
デスクトップ仮想化ユーザーが語る、仮想化プロジェクトに付随する数々の課題
デスクトップ仮想化、自社導入で見えてきたこと（第1回）
北洋銀行の事例で明らかになったデスクトップ仮想化導入のベストプラクティス
シンクライアント環境の全社展開で安全性と利便性の両立を図る野村総合研究所