更新日:2020/5/3
仮想環境・ネットワーク分離関係は本当にむつかしい。丁寧に基本を押さえていこう。
まず、「仮想化」という言葉自体は、サーバーやストレージなどのハードウェアをソフトウェア上で統合し、仮想環境上で再現する技術を意味するが、それはここでは扱わない。
ここでは、NW分離による仮想化を扱う。例えば、インターネット環境とイントラネット環境を分離した場合、インターネット環境は‟仮想環境上”でアクセスすることになる。
総務省型のNW分離では上記のとおりするようになっているが、実際使いにくく、これでは教育ビッグデータやクラウドサービスの利用に支障をきたす。
よって、ここで検討するのは、「ローカルからインターネット接続し、校務系情報などの重要情報を仮想環境でアクセス」することを可能とする手法である。
また、昨今のコロナ休校を受けて、自宅からの校務系情報へのアクセスも注目されており、これを実現するためのVDI環境も必須となりつつある。
要するに、セキュリティを担保した上で、以下を実現するにはどうすべきかを色々検討していく。
考え方の順番としては、以下となるか?
・インターネット系とイントラ系(生徒系・校務系)をNW分離
→【検討ポイント】
・物理分離か、論理分離か?
・論理分離の場合、仮想デスクトップ(VDI)か、仮想ブラウザ(画面転送)か?
・VDIの場合、オンプレミスか、企業のサービスを導入するか?
・生徒系と校務系NWも分離
→【検討ポイント】
・物理分離か、論理分離か?
・論理分離の場合、相互のファイルのやり取り時のセキュリティ確保をどうするか?
・インターネット接続はローカルから、イントラ系情報は仮想化で守る
→【検討ポイント】
・インターネット系のセキュリティ対策をどうするか?(知事部局の管理から外れる前提)
・どのような情報を仮想環境で守るのか
・運用レベルをどうするか
【仮想環境とは】
■基礎知識
・組織にあったネットワーク分離ソリューションの選び方とは?(ALSIのサイト)
・VDI(Virtual Desktop Infrastructure)とは
従来は、エンドユーザーごとにクライアントPCを1台ずつ配備し、OSやアプリケーションをクライアントPCに展開するのに多大な手間がかかり、また運用開始後もパッチ適用やソフトウェアの更新といった運用管理に人件費をはじめとするコストが必要。そのほか、迅速な展開が難しい。
Virtual Desktop Infrastructure(VDI)はデスクトップ環境を仮想化してサーバに移すので、従来のクライアントPCによるコンピューティングの問題点を解決できる可能性がある。
VDIとは、クライアントが使用する端末の機能を必要最小限にとどめ、アプリケーションなどをサーバー上で稼働させる仕組み。「デスクトップ仮想化」や「クライアント仮想化」と呼ばれる。デスクトップ仮想化を利用することによって、クライアントのデスクトップ環境を別のパソコンやタブレット端末に反映することができる。つまり、どこにいてもデスクトップ環境を実行できる。
VDIと混同されがちな言葉に「シンクライアント」がある。シンクライアントは処理の大半をサーバー側でおこない、クライアント側では最低限の処理のみになっているシステムのことで、多くの処理はサーバー側でおこなわれデータもクライアント側には残りません。
実はVDIはシンクライアントのうちの1つになります。シンクライアントには、大きくネットワークブート型と画面転送型がありますが、VDIについては、画面転送型になります。
〇VDIを導入する4つのメリット
1.生産性が向上する
VDIではクライアント端末ごとに、ユーザーが求める環境を簡単に構築することができます。目的に合わせた仮想デスクトップをサーバー上に作っておけば、いつでもどこからでもアクセスできるようになります。例えば、社外にいても社内と同じ作業ができます。
2.情報漏えいを防げる
VDIで作業をする際は、クライアント端末には作業データは一切残りません。
3.コスト削減が実現できる
VDIは、クライアント端末を一元管理できるため、セキュリティ対策なども効率よく徹底的におこなえますし、OSのパッチ更新、ソフトウエアアップデートの手間が簡素化されることによって人件費が削減されます。ただし、導入コストに関しては注意が必要で、1台当たり15~30万円程度が相場。
4.新しい働き方の実現が可能
自宅や外出先からもVDIは利用できます。そのため、多様なワークスタイルに対応が可能です。例えば、災害時に従業員が出社できない場合でも、自宅での作業が可能になります。また、既存のクライアント端末が使えなくなっても、場所を問わず業務を進められることで、BCPにも有用です。
〇VDIのデメリット
サーバー側には多大なリソースが必要。クライアント端末には特に高性能かつ多機能は求められないものの、サーバー側には多大なリソースが求められます。そういった理由からオンプレミス型においてはコストが増大してしまう傾向にあります。また、システム全体に影響をおよぼす単一障害点が発生しやすいといったデメリットもあります。サーバー側にもし不具合などが生じた場合には、すべてのクライアント端末が影響を受けてしまいます。
■コスト面
■その他の仕組みとの比較
・DaaSかVDIか、どちらかを選ぶ時の決め手になる5つの質問
・VDI(デスクトップ仮想化)とは | シンクライアントとの違い・サービス比較
・「VDI」「RDS」の違いは? クライアント仮想化の2大手段を比較
・「仮想デスクトップはPCより安全」は幻想 VDIの必須セキュリティ対策3選
・
・
<記事>
・クラウド版Windows「Windows Virtual Desktop」の衝撃
・NTT東日本とIPAによる「シン・テレワークシステム」の緊急構築と無償開放について
・ローカルにデータを残さない--VDI端末として活用できる「Chromebook」
・
・
・
・
<先進自治体>※古い情報ほど下のほうにしているが、思ったほどヒットしない。
・
・2019/12/31ー《宇治市教育委員会》校務用シンクライアントPC 約1000台 稼働中
サイト自体は京都電子計算機。「Citrix XenApp / XenDesktop」デスクトップ仮想化システム と「SECUREMATRIX」マトリクス認証ワンタイムパスワードを基盤としたシンクライアントシステムを導入。自宅からもアクセス可能。
・2019/12/31ー《町田市・LTE》タブレット端末+シンクライアント環境+LTE回線
・2019/10/18ー《愛知県教育委員会》Surface Go を導入
授業における ICT 活用推進と情報セキュリティの強化を目的に 2 in 1 PC の Surface Go を導入し、県立学校の全教員への配備を決定。導入数は団体購入台数「世界第 2 位」の約 11,500 台。
・2019/9/1ー《茨木市教育委員会》従来の使用感を大きく変えないネットワーク分離をめざす(sky社)
単なるインタネット仮想化のこと?
・2019/3/1ー《西条市教育委員会》「Azure」でクラウド化、業務改善と成績アップを実現
Azureを使ったVDIによるテレワーク環境を構築。2016年4月から、市内の小中学校35校に所属するおよそ850人の教職員を対象にテレワーク環境を提供している。教職員の移動時間などの無駄な時間を削減し、時間の創出を後押しするだけでなく、システム利用時のセキュリティリスクを減らす。クラウド化前までは、教職員が自宅作業のためにデータを入れたUSBメモリを持ち帰り、紛失するといった問題があった。教職員の業務時間は1人当たり年間162.6時間削減できた。
教職員の業務環境改善は、教職員自身の介護や育児との両立にも大きく寄与している。実際にテレワークを使った教職員へのアンケートでは、「親の介護のために休職せざるを得ないと思っていたがせずに済んだ」「夜に仕事をするため自宅から職場に戻る必要がなくなった」という意見もあった。テレワークシステムを利用する教職員は2019年2月時点で59.2%。「利用率8割を目指したい」と渡部氏は話す。
・2018/10/25ー《大阪府立学校》働き方改革に係る取組みについて
13,000台の教職員PCをVDI環境で運用している。仮想デスクトップ内の資料は外にもぢ出せないようになるため、どこにいても学校と同等のPC作業ができる。公務で必要なデータを学校からしか参照できない場合は、在宅勤務でパフォーマンスが出しにくくなるため、今の時代に合わせた働き方を推進したり、ワークライフバランスを向上するためには、VDIやクラウド活用といった最新のICT技術の活用を検討する必要があるといえるでしょう。
・2018/9/3ー<千葉県教育委員会>教育情報セキュリティを確保して働き方改革を推進
アシスト社の「Ericom」を入れているようだ。
H29には全教員約1万1000人に教員用PCを配備すると共に、VPNからVDI方式に切替え、VDI上で校務支援システムを運用することで、ガイドラインに則った対応を実現した。
PCからクライアント仮想化技術を通じてVDIに接続し、校務支援システムを利用する。PCにはVDIの仕組みで校務支援システムの「画面」が表示されているが、実際はデータセンターのVDIサーバで処理しているため、情報の安全保護を図ることができる。校務外部接続系は、教員用PCからインターネットに接続できるとともにパブリッククラウドを導入。「ガイドライン」に対応して機密情報も分類し、分類2段階以上は保存しないように運用。持ち帰り仕事も論理的には可能になった。
・2018/5/7ーアシストの記事
校務の仮想化(クライアント仮想化)をお勧めしている。
各教委で専用サーバを構築すし、ここにログインもしくはWebブラウザベースで専用URLにアクセスすることで、校務情報が教員PCに画面転送される。各教員用PCには画面のみ転送されるため、ネットワークを盗聴されてもデータとして読み取らせず、安全が担保される。「あらゆるデバイスをシンクライアント端末として活用する」イメージだ。
校外から個人デバイスを使ってログインできるので、追加コスト不要でテレワークにも対応できるというシンプルで無駄のないアプローチだ。インターネットからは論理的に分離されているため、安全な状態で校務データを活用できる。印刷や端末側へのコピー&ペーストなども制限できる。
・
・
■総合
・アズジェント -ネットワーク分離・ファイル無害化ソリューションを各地の教育委員会向けに提供する。ファイル無害化製品「Votiro Disarmer」と、シマンテックのウェブ分離製品「Web Isolation」を組み合わせることで、業務端末から外部のファイルを開こうとすると、自動的にマクロ無効化やスクリプト除去などの無害化が施される仕組みを実現した。通常のウェブブラウザーから安全にファイルを開ける利便性や、VDIに比べ高速かつ低コストである点が評価され、教職員数6000人規模の教育委員会で採用が決定した。
Windowsのデスクトップとアプリケーションを仮想化してそのままクラウドへ。どこでも、どんなデバイスでも、オフィスと同じように、仕事ができる仮想デスクトップソリューション。
・IIJ閉域ネットワーク(IIJプライベートバックボーンサービス)
インターネットアクセスセグメントと社内システムを切り離すインターネット分離(ネットワーク分離)を実現、二つのブラウザを使い分け、マルウェア感染や情報漏えいリスクを低減、仮想的(画面転送方式)なインターネット分離にて「低コストかつ便利」な環境を実現
・
■仮想化
・Citrix(シトリックス) -
・VMWAREー 愛媛県教育委員会 立川市教育委員会 サイト1
・Soliton -
・アシストー学校の情報(校務システム)の「技術的セキュリティ」はEricomで対策
・チエルー 色々書いてあるが、いまいちわかりにくい。
■ネットワーク分離
・アレイドテレシスー無線LANやネットワーク
・エイチ・シー・ネットワークス ーネットーワーク関係
・ユニアデックス-
・NECー
・Fortinet -
■セキュリティ関係
〈様々なセキュリティ対策〉
・トレンドマイクロー
・セキュアブレイン (SecureBrain Corporation)ー
・ソフトクリエイトーL2ブロッカー
・アーク情報システムーHD革命
〈無害化〉
・ジャパンシステム -無害化ほか
〈サーバ関係〉
・ADMS(アダムス)- Active Directory、メールサーバ等、複数システムのID統合管理ソフト
・オープンソースの監視ソフトウェア「Zabbix」(ITインフラの監視)-
・
〈データ消去関係〉
・データ消去ソフトのおすすめ10選! 消去レベルが一番のポイント!
・ドライブイレイサー
・
・
・
・