VDI方式のテレワークなら安全？4つのセキュリティリスクとは

こんにちは！クライアント仮想化製品を担当している長谷川ひとはです。
今年の4月にテレワークのセキュリティガイドラインも公表^※1され、最近ますますテレワークに注目があつまっていますね。テレワークには様々な手法がありますが、中でも特にセキュリティレベルが高いのが、VDI（Virtual Desktop Infrastructure：仮想デスクトップ基盤） などのクライアント仮想化の技術を利用した方式です。私も会社の制度で週に1回、自宅から社内のVDIに接続してテレワークを実施していますが、社外にデータを持ち出さないので安心して仕事ができています。しかし、そんなVDIにも実はいくつかセキュリティリスクが潜んでいます。VDIにしたからといって油断していると、情報漏えいも発生しかねません。そこで今日は、VDI方式でテレワークをするときに注意するべき4つのセキュリティリスクをご紹介します。しっかりとチェックをして、安全なVDI環境を整えましょう！

本題に入る前に先ず、「なぜVDI方式でテレワークをすると高いセキュリティレベルが期待できるのか？」をご説明します。VDI方式とは、サーバ上で提供されるVDI基盤に、テレワーク端末からリモート接続する方式です。以下が、VDI方式のテレワークのイメージ図です。

上の図のように、仮想デスクトップ上で扱うデータは社内に留まり、テレワーク端末には保持されないため、セキュアにテレワークを実施することができます。万が一テレワーク端末を紛失しても、物理的な情報漏えいは発生しません。また、テレワーク端末と社内システムの間は、画面転送の方式を利用しているため、実データのやりとりはされず、基本的には画面情報とキーボードとマウスなどの動作情報のみのやりとりとなります。また、インターネットを流れるデータは暗号化されるため、第三者からデータを搾取される危険性も限りなく低くなります。これらが、VDI方式によるテレワークはセキュリティが高いといわれる理由です。

そんなセキュリティの高いVDI方式にもセキュリティリスクは潜んでいます。代表的な4つのリスクをしっかり対策していきましょう。

一般的なVDI製品には、以下の便利な機能があります。

これらはとても便利な機能なのですが、テレワークでVDIを利用するときにはセキュリティ上のリスクとなってしまいます。上記の機能が使えると、テレワーク端末に社内システムのデータを持ち込めるため、情報漏えいの可能性が生じます。テレワーク端末から仮想デスクトップにマルウェアが持ち込まれてしまう可能性もあります。セキュリティポリシーに照らし合わせて、上記機能を利用させるかどうかは慎重に判断しましょう。

テレワーク端末にシンクライアント用ではない汎用OSを利用し、かつデータがローカルドライブに保存可能な設定になっている場合、テキストエディタで業務に関する情報を書いて保存したり、ローカルアプリケーションで業務を行ったりすると、たとえ①のリスク対策はしていても、テレワーク端末に業務データが残ってしまいます。このようなリスクも考慮し、以下の対策もしておくとセキュリティリスクは更に軽減します。

テレワーク端末からフルVPNで仮想デスクトップを利用する場合、テレワーク端末自体が社内ネットワークに参加してしまうため、ファイルサーバなどのデータに端末から直接アクセスができてしまいます。情報漏えいとマルウェアの侵入リスクを考慮し、仮想デスクトップとの通信に必要な通信プロトコルのみを許可するSSL-VPNの構成にすることが望ましいでしょう。クライアント仮想化製品には、以下のように専用のSSL-VPN製品や機能が提供されています。

もし端末をなくしてサイバー犯罪者の手に渡ったら、端末ログインや社内ネットワークに接続するためのID・パスワードをブルートフォース攻撃等で破られる可能性があります。そうならないために、ワンタイムパスワードや指紋認証を利用した多要素認証を導入しておくといいでしょう。

以下バナーのリンク先のページにて、安価でセキュアなクライアント仮想化製品Ericomで実現するテレワークをご紹介しています。お気軽にご覧下さい。