セキュアなリッチクライアントで多様な働き方を実現
はじめに
従来、当社のクライアント(利用端末)は、社内で利用するノートPCと社外で利用するタブレットの2種類があった。
① ノートPC(800台):リッチクライアントの構成であり、ローカルディスクへデータが保存できる。そのため、盗難・紛失による情報漏洩リスクがあり、社外への持ち出しは禁止するルールとしていた。
② タブレット(450台):盗難・紛失による情報漏洩リスクはない仕様ではあったが、生産性や利便性の問題を抱えており、利用できる台数も限られていた。
新型コロナウイルス感染拡大防止のために、テレワークの推進が緊急的に求められ、情報漏洩対策と生産性・利便性を兼ね備えた、セキュアなリッチクライアントを整備した。
当社環境では、企画構想から約9か月で実装し、単純に既存クライアントの構成のまま更新する場合に比べて、イニシャルコストは約5千万円、ランニングコストは5年間で約8千万円の削減を図れるものと試算している。
本コラムでは、多くの企業で利用できるWindows10やMicrosoft365の標準機能による情報漏洩対策やログオン認証方式の活用事例を紹介する。Withコロナ/Afterコロナにおいて新しい生活様式が求められ、テレワーク推進が継続される可能性が高いと想定されることから、テレワーク環境が十分に整備されていない企業において活用していただけると幸いである。
リッチクライアントの選定経緯
リッチクライアントの選定経緯を説明するにあたり、従来環境やテレワーク推進による発生した主な課題は以下のとおりである。
従来環境の問題
社内利用端末は、リッチクライアントの構成であった。データやアプリケーションをすべて端末に入れておくことで、社内外の場所に依存する事なく、生産性を確保する事ができる。しかし、ローカルディスクへデータが保存できることから、盗難・紛失による情報漏洩リスクがあり、社外への持ち出しは禁止するルールとしていた。
モバイル端末は、リッチクライアントとシンクライアントのハイブリットの構成であった。シンクライアントとは、データやアプリケーションがまったく入っておらず、ネットワーク上の仮想端末からすべての業務を行う構成が一般的である。ハイブリットでは、重要度の高い情報は「シンクライアント」的に仮想端末から操作し、それ以外の情報に関しては「リッチクライアント」的に物理端末から操作する。
モバイル端末では、社内利用端末と同様に、ローカルでオフィスなどのアプリケーションの利用はできるが、シャットダウン時にローカルディスクのデータは消去する仕様としており、社内システムやファイルサーバーなど重要なリソースにアクセスする際は、VDI経由での接続に限定することで、セキュリティを担保していた。しかし、VDIのパフォーマンス面に問題があり、ログオン処理に約2分かかったり、常時VDIに接続した状態であると動作が遅くなったりする事象が発生していた。
また、モバイル端末のその他の課題として、社外利用要件がある際に社員に貸し出しする運用としており、台数は限定されていた。利用者は社内と社外で端末を使い分ける必要があり、端末に導入されているソフトウェアのライセンスも2倍必要となっていた。
ドメインへのログオン認証は、社内利用端末同様にスマートカード認証を採用しているが、社外利用時の利便性は低く、スマートカードを紛失する恐れがあった。
テレワーク環境の課題
当社では、新型コロナウイルスの感染防止対策として、緊急的にテレワークを推進することとなった。
しかし、社外から社内に接続する環境は、モバイル端末しか整備されておらず、前述のとおり利用できる台数も限られていた。
そのため、すべての社員がテレワークを実施できるように、1人1台持っている社内利用端末を自宅に限って持ち出しを許容するようにルールを見直しした。
環境としてはVPNソフトとスマートフォンのテザリングにより、自宅(社外)から社内ネットワークへ接続できる環境を整備した。
コロナ感染防止を最優先したことから、緊急的に整備した環境はセキュリティや利便性の課題を抱えた状態で運用している状況にあった。
・社内利用端末をテレワークの都度運搬する必要があるが、ローカルディスクにデータが保存できるため、盗難・紛失時の情報漏洩リスクがある。
・社内利用端末はサイズが大きく重量も重いため、運搬に身体的負荷が掛かる。
・ライセンスやリソース上、VPN接続上限があり、利用者が多いと接続できなくなる。
リッチクライアントの選定
社内利用端末はハードウェアの保守期限切れを迎える時期に差し掛かっていたことから、端末更新を期に、クライアントの仕様を根本から見直すこととした。
新端末は、社内利用端末とモバイル端末の機能を統合し、端末1台でいつでもどこでも利用できるような環境を提供することをコンセプトとした。
これにより、働き方改革やコロナ感染防止対策などにおけるテレワークの利用環境として活用でき、生産性の向上が期待できると考えた。
また、端末台数や種別の削減により、ソフトウェアライセンスコストや運用・維持管理負荷も軽減できると判断した。
新端末のハードウェアは、持ち運びを重視し、薄型・軽量でサイズの小さいノートPCを採用する方針とした。
また、Wi-Fiルーターやスマートフォン(テザリング)などの通信機器がなくても、社外から社内ネットワークへ接続できるように、SIMを内蔵できることを必須要件とした。
新端末の基本構成について、リッチクライアント、シンクライアント、ハイブリットのどの構成とするか比較検討した。
リッチクライアントは利便性やコストは問題ないが、社外への端末持ち出しに対するセキュリティ対策を整理する必要がある。
シンクライアントとハイブリッドはVDIを利用することが前提になるが、前述のとおり当社のVDIはパフォーマンスの課題がある。
その課題を解決するためには、VDIのリソース増強や構成変更などの膨大なコストが発生することが判明した。
また、VDIの利用はネットワーク接続必須となるため、いつもでどこでも利用できるというコンセプトを満たすことはできないと考えた。
以上の結果から、多層防御によりセキュリティを強化した「セキュアなリッチクライアント」の構成とする方針とした。
リッチクライアントの整備(情報漏洩対策の実施)
セキュアなリッチクライアントの提供に向けて、Windows10の標準機能やMicrosoft 365のライセンスで利用できる機能をベースに実装したセキュリティ対策について説明する。
まずは、ローカルディスクへデータが保存できる環境で社外への持ち出しが可能となることから、新たな情報漏洩対策として、4つの対策を実装した。
1.ディスク暗号化
盗難・紛失時に、端末からディスクを抜き取り、他のPCに接続し、データを抜き取られる可能性がある。対策として、ディスクの暗号化は必須であり、Windows10標準のディスク暗号化機能であるBitLockerにより暗号化することで、他のPCではディスクの中身を読み取ることはできないように制限した。
BitLockerが無効化された場合は、当然その対策は効果をなさない。回復パスワードの漏洩により、暗号化を解除される可能性があるため、暗号化は管理者がキッティング時に実施し、そのパスワードはAD上にのみ保存するように運用を整備した。
また、ユーザーがBitLockerを管理できないように、ユーザー権限は最小権限(Usersグループ)とした。
さらに、管理者権限を悪用された場合に、BitLockerを無効化される可能性があることから、Microsoft365のE3以上で利用できるモバイルデバイス管理製品「Microsoft Intune」により暗号化状況を監視する運用を整備した。暗号化の監視により、盗難・紛失が起きた場合にディスクが暗号化されていたことを担保することもできると考えた。
2.リモートワイプ
ディスク暗号化では、端末にログオンした状態で紛失・盗難した場合は無力となる。また、暗号化しているとはいえ、ディスクに個人情報や機密情報が残っている状態は望ましくない。対策として、遠隔によるデータ消去機能が必要であり、Intuneのリモートワイプにより、端末を初期化し、保存されていたデータも削除することとした。
しかし、リモートワイプの実行条件として、Intuneに接続する必要があるが、当社の社外接続環境では以下の操作が必要となる。
1.端末の起動・ログオン
2.スマートフォンの接続
3.VPNソフトの起動・認証
4.Intune接続
仮に端末を盗難・紛失された場合に、上記すべての手順は実行されないため、実質Intuneによるリモートワイプは実行できない。
Intuneに常時接続させるために、キャリアへの接続はクローズ網を利用し、社内への接続は専用線を整備し、VPNクライアントは利用しない方式に見直しした。ハードウェアは前述のとおり、新端末はSIMを内蔵できる仕様である。なお、キャリアの通信はAES暗号化され、専用線は閉域網となり、盗聴される可能性もない。
上記により、端末を起動したタイミングで、社内ネットワーク経由でIntuneと通信可能な状態となり、リモートワイプを実行できる環境を整備した。
3.紛失データの把握
IPAが推奨する端末の盗難・紛失時に企業として対応すべき初動対応として、端末に含まれていた情報の内容やアクセス制限の有無を確認することが求められている。
Microsoft365のクラウドストレージサービスであるOneDrive for Business(以下、ODfB)により端末に保存するデータを同期させ、ACLにより同期対象以外の領域へのデータの書き込みを制限することで対応できると考えた。
具体的な設定として、ユーザープロファイルのフォルダをODfBへの同期対象とした。それ以外のフォルダは、マスターイメージの作成時に、ACLにて書き込みできないように設定した。以上の構成とすることで、ユーザーはODfBと同期されるローカルディスクにのみデータが保存可能となり、端末を盗難・紛失した場合にもODfBのサービス上からそのデータを把握することができる。また、端末復旧時のリカバリにも活用することができ、端末を代替機よりセットアップした後、端末に保存されていたデータはODfBとの同期により、自動的にリストアされる。
4.マルウェア対策
情報漏洩対策として、マルウェア対策も必要不可欠である。従来の端末ではエンドポイント対策として、サードパーティのEndpoint Protection Platform(以下、EPP)製品を利用しており、新端末でも継続利用する方針であった。そのEPP製品は、Windows標準のマルウェア対策であるWindows Defenderと併用して利用できるとの情報から、多層防御を実装することとした。
Windows Defenderには上表のとおり、さまざまな機能がある。他製品や機能と重複するものは省き、利用する機能を整理した。
新たに導入する機能として、Antivirusは導入事例が多数あったが、Exploit Guardは導入事例が少ない状況にあった。既存端末で利用しているサードパーティのセキュリティ対策製品との相性問題や社内システムへの影響が懸念されたことから、リグレッションテストを実施することでリスク回避を図った。
Exploit Guardに関しては実際検証時に多くの誤検知が発生したことから、導入を検討する場合は、事前の検証を行うことを推奨する。
導入による効果として、2020年度に流行したマルウェア「Emotet」および「IcedID」は、既存のEPP製品では対応できず、Exploit Guardでは対応できた実績があり、多層防御の有効性が評価されている。
リッチクライアントの整備(ログオン認証見直し)
前述のとおり、さまざまな情報漏洩対策を実装したが、キャリアの電波が届かないようなオフライン環境で、端末へログオンされた場合に、ファイルの閲覧や、写真・動画の撮影がなされる可能性があると判断した。(オンライン環境であれば、リモートワイプで端末の初期化が可能)
情報漏洩の残存リスクを軽減するために、端末へのログオン認証方式の見直しを図った。
ドメインアカウント認証
従来環境のドメイン認証は、スマートカード認証を利用していた。しかし、スマートカード認証は社外での使い勝手が悪かったため、Windows標準の生体認証機能であるWindows Helloの採用を検討した。
スマートカード認証は「スマートカード(所有)+PIN(知識)」の二要素認証である。Windows Helloも標準では「デバイス(所有)+PIN(知識)」または「デバイス(所有)+生体情報」の二要素認証となる。要素数としては同じではあるが、端末を盗難・紛失した場合に、第三者が端末を手にすると、生体情報は利用できないが、PINのみでログオンできてしまい、実質的に一要素認証となる点が課題であった。検討・検証の結果、グループポリシーを利用することで、「デバイス(所有)+PIN(知識)+生体情報」の三要素認証を強制することを確認できたことから、Windows Helloを実装する方針とした。
生体情報は個人情報の取り扱いに含まれることから、生体認証の実装にあたりその整理も必要であった。Windows Helloにおいて、生体情報自体は端末に登録されず、特徴点(データ)が登録され、そのデータは暗号化してユーザープロファイル内に保存される。また、そのデータは端末のみに保存され、サーバーやクラウドへ集約されることはない。以上の状況から、Windows Helloによる生体情報の漏洩リスクは低いと判断した。
ドメインアカウントの認証は、Windows Helloを利用することとしたが、スマートカード認証に比べるとセキュリティレベルが低下するという問題が発覚した。
1つはデバイス認証は多要素認証となるが、ドメイン認証はIDとパスワードの一要素認証となる点である。
また、スマートカード認証を強制するために、パスワードはユーザーに公開していなかったが、Windows Helloを利用するためには、パスワードを各ユーザーへ公開する必要がある。
従来環境と同等のセキュリティを確保し、生体認証を利用するためには、スマートカード認証と同等の仕組みを利用するWindows Hello for Business(以下、WHfB)へ移行する必要があった。
Windows HelloとWindows Hello for Businessの主な違いとしては、デバイスに対する認証は同等だが、ドメインに対する認証が異なる。
Windows Helloでは生体情報やPIN登録時にID・パスワードを登録し、ドメイン認証時には登録したIDとパスワードによる認証となる。
Windows Hello for Businessではスマートカードと同様に公開鍵認証となり、IDとパスワードは使用しない。
ただし、WHfBへ移行するためにはオンプレAD とAzureADの連携サーバー構築やオンプレADのバージョンアップなどの作業が発生し時間を要することから、 まずはWindows Hello認証を実装し、ユーザー側に生体認証に慣れてもらい、段階的にWHfBへ移行する方針としている。
ロールアカウント認証
ドメインアカウントは前述のとおりの認証方式となるが、ローカルのアカウントはIDとパスワードの一要素認証(知識情報のみ)となる。従来の端末のローカルアカウントは、Administrators権限を付与した1つの管理者アカウントしかなかったが、そのIDとパスワードはすべての端末で共通のものとなっていた。ユーザーにパスワードは公開していないが、その情報が漏洩した場合の影響範囲はすべての端末となるため、ローカルアカウントの管理も見直すこととした。
対策として、マイクロソフト社から無償で提供されているツール「Local Administrator Password Solution(通称LAPS)」を導入することとした。LAPSとは、ドメインに参加している端末のローカル管理者のパスワードを管理するツールであり、グループポリシーの仕組みを利用して自動的かつ定期的に変更させることができる。また自動的に変更されたパスワードは、AD上に保存され、ドメイン管理者など適切な権限を持つユーザー以外は参照することはできないことから、これにより、セキュリティの向上を図ることができると判断した。
LAPSの環境イメージをマイクロソフト社から提供されたLAPS導入ガイドから図として転載する。
おわりに
セキュアなリッチクライアントは、新しい生活様式によるテレワークを実施する環境として適したものであると考えている。当社においては、テレワーク推進の妨げとなっていた、従来環境の課題やテレワーク推進に伴い発生した課題を解決することができた。
課題と対応策を整理した結果を以下に示す。
各実装機能は、Windows10の標準機能やMicrosoft 365のライセンスを活用したものを中心に実装していることから、さまざまな企業において利用できる事例であると考えている。ただし、Windows10のエディションやMicrosoft365のライセンス種別により利用できる機能は異なるため、各企業で保持しているものを事前に確認いただく必要がある。
なお、当社環境はWindows 10 Enterprise/Microsoft 365 E3を保持しており、既存のライセンスを有効活用することで、追加コストを掛けず、短期間で環境を実装することができた。各機能をまとめた結果を以下に示す。
当社における費用対効果として、既存クライアントの構成のまま単純更新する場合に比べて、セキュアリッチクライアントへの統合は、イニシャルコストは約5千万円、ランニングコストは5年間で約8千万円が削減される見込みである。さらに定性効果として、不公平感の解消や管理の負荷軽減も見込まれる。
社内へのセキュアなリッチクライアントを導入後、社員から「薄型・軽量で、いつでもどこでも利用できて使いやすい」と好評を得ている。
また、当社では、打合せや外出先等で、端末を利用している様子をお客さまに実際に見ていただく場面が多い。お客さまがリッチクライアント自体への興味をお持ちになり、高い評価をいただくとともに、クライアントの環境整備に関するご相談も増えてきている。
今回の整備に携わり、限られた期間・コスト・リソースの中で環境を整備することに苦労はしたものの、まず自分自身が使いやすい環境であると実感しており、また他のユーザーからも高い評価を得ていることを喜ばしく感じている。
今後、Withコロナ/Afterコロナにおいては、新しい生活様式が求められ、テレワークが当たり前となる可能性がある。環境面やセキュリティの問題からテレワークの推進が進んでいない企業、またコストの問題からシンクライアントやVDI環境を整備することが難しい企業などにおいて、本事例を活用していただけると幸いである。
筆者紹介
樋口 将公(Higuchi Masahiro)
東北インフォメーション・システムズ株式会社(現:株式会社トインクス)入社。主に東北電力様向けのクライアントや共通システムの構築/維持管理業務に従事。
2019年より、社内のITインフラ全般の構築/維持管理業務に従事。「業務効率化」および「社員満足度向上」に関する取り組み、当社の将来を見据えた「情報化レベル底上げ」の取り組みを推進。
保有資格はIPA 情報処理安全確保支援士・ネットワークスペシャリスト。
