AVD セキュリティ強化

リモートワークが一般化する中で、リモートワーク環境を実現するためのITインフラの整備は多くのIT担当者の方にとって悩みとなっているのではないでしょうか?

リモートワーク環境を実現する際におすすめしたいのが、VDIの活用です。

特に、クラウドサービスとしてVDIが提供されるAzure Virtual Desktopが有効な選択肢となります。Azure Virtual Desktopの採用により、リモートワーク環境を迅速かつ柔軟に整備できるだけでなく、セキュリティ面の強化にもつながるでしょう。

この記事では、リモートワーク環境の実現を念頭に置きつつ、Azure Virtual Desktopを活用したセキュリティ強化方法について紹介します。



1. Azure Virtual Desktop(AVD)とは

まずは、Azure Virtual Desktop(略称:AVD)の概要をおさらいしましょう。

AVDとは、Microsoft社が提供するクラウド型のVDIサービスです。
VDIとは「Virtual Desktop Infrastructure」の略称であり、サーバー上でPCのデスクトップ環境を仮想的に動作させ、その画面を転送することで遠隔からデスクトップ環境を利用できる仕組みです。

AVDは、リモートワークへ対応できるセキュアな環境の構築や、社内ネットワークと分離した環境の作成、3D/CADなどハイスペックな性能が要求される用途への対応など、様々な用途で利用することができます。

AVDの特徴とメリット

メリット① クラウドサービスとしてのメリットを享受

AVDはクラウド型のVDIであるため、Microsoft Azure上でいくつか操作を行うだけで簡単に仮想デスクトップ環境を構築することができます。

また、一般的なクラウドサービスと同様に、必要に応じてリソース量を柔軟に追加・変更できます。コスト面も使用量に応じて課金される料金体系となっているため、無駄がありません。

メリット② 導入・運用にかかる負荷の削減

AVDは、オンプレミス型VDIと比較してお客さま側で管理しなければならない領域が非常に少なくなります。

具体的には、VDI製品の管理、ハイパーバイザー、ネットワーク・サーバー・ストレージ機器、データセンター設備などは全てAVD側で提供されます。これにより、導入・運用の負荷を下げることができます。

オンプレミス型VDIとAVDの比較

メリット③ 物理PCのような快適な動作

AVDは仮想デスクトップ環境でありながら、物理PCのように快適な動作を実現できます。高速な動作を実現できる技術的な背景として、高性能なプロファイリングであるFSLogixの採用が挙げられます。

たとえば、通常のVDI環境では利用が非推奨となっているOutlookやOneDriveのローカルキャッシュなども、AVDであれば問題なく利用することができます。
加えて、Microsoft Azure上で動作するため、ネットワーク環境や信頼性にも優れる点もメリットです。

コストやユーザー画面も含め、AVDの概要をまとめた資料もございます。無償でダウンロードできますので、ご興味お持ちいただければぜひご覧ください。

Azure Virtual Desktop概要資料Azure Virtual Desktop 概要資料
無償ダウンロードはこちら

 

2. リモートワーク時の課題と解決方法としてのAVD

リモートワーク環境を実現するためには多くの課題が発生します。

たとえば、設備面ではリモートワークへ対応するためのデバイスの手配が必要となります。

また、リモートアクセスに耐えられるだけのVPN環境の整備もしなければなりません。

また、露出の増加にも注意しなければなりません。
社外で働く機会が増えるため、インフラ、ID、ネットワーク、データ、デバイス、アプリなどが社外に露出しやすくなり、セキュリティ上の懸念があります。
具体的には、ランサムウェア、ウィルス、データ流出、危険なWebサイトの閲覧、VDIへの不法侵入などへの対策が必要となるでしょう。

リモートワークに伴うこれらを解消できるのがAVDです。特に、セキュリティ面の対応においては、AzureやAVDに用意されている様々なサービスを活用することができます。
リモートワーク実現に向けた課題

3. AVDにおけるセキュリティ検討事項と実現方法

それでは、AVDの活用においてはどのようにセキュリティ対策を実現すべきなのでしょうか。AVD導入にあたって主に考慮すべき観点は、以下の5点といえます。

  1. 物理端末の隔離:リモートからは社内ネットワークへ直接接続しないことで安全性を担保する
  2. 不正ログイン対策:2要素認証や不正サインイン検知などで認証を制御する
  3. セッションホストへの対策:マルウェア対策やネットワークセキュリティ対策を実装する
  4. 情報保護:閲覧者とデータの機密性に応じた自動暗号化を行う
  5. セキュリティログ監視:各ソリューションのセキュリティログを横断的に分析し、脅威や不正アクセスを検知するAVDセキュリティフローここでは、その中でも特にポイントとなる「②不正ログイン対策」「③セッションホストへの対策」「⑤セキュリティログ監視」の3点に絞って実現方法を解説します。

②不正ログイン対策:Azure AD Premium P2の活用

不正ログイン対策としては「Azure AD Premium P2」を活用することができます。

Azure AD Premium P2では、高度なアクセス制御機能としてAVDを利用する際にサインインを行う際の条件と承認ポリシーを定義することができます。たとえば、ログインを試行しているユーザーやそのデバイスの状態、アクセスをしている場所、ユーザーのふるまいなどを条件にすることができます。

これらの条件に応じて、アクセスの許可もしくはブロック、パスワードリセットの強制実施、多要素認証の要求など、様々な制御をかけることができます。

これにより、比較的リスクが低いと思われる状況からのアクセスはユーザーの利便性を重視して簡単な認証でアクセスを許可しつつ、普段と違う場所からのログインなどリスクが高いと思われるケースにおいては、多要素認証など認証レベルを上げることもできます。

このようなリスクベース認証により、利便性の実現とセキュリティレベルの担保の両方が可能となります。

Azure AD Premium P2

③セッションホストへの対策:Microsoft Defender for Endpointの活用

セッションホストへの対策として活用できるのが「Microsoft Defender for Endpoint」です。

Microsoft Defender for EndpointはいわゆるEDR(Endpoint Detection and Response)に分類される製品ですが、一般的なEDR製品が備える機能に加えて、最新の脆弱性検知の実現や、脅威の自動検知・調査・修復機能なども備えています。このような機能により、社内のSoC担当者の負荷軽減にもつながります。

Windowsに標準で組み込まれているMicrosoft Defenderより、世界中のPCから膨大なセキュリティ情報を収集できますので、これを解析することで、高度かつ信頼性の高い対策を実現することができます。

このような理由もあり、Microsoft Defender for EndpointはEDR業界の中でも高い評価を受けています。
Microsoft Defender for Endpoint

⑤セキュリティログ監視:Microsoft Sentinelの活用

セキュリティに関するログの監視には「Microsoft Sentinel」を活用します。

Microsoft SentinelはSIEM(Security Information and Event Management:セキュリティ情報イベント管理機能)とSOAR(Security Orchestration and Automation Response:セキュリティオーケストレーション自動応答)の両方の機能を備え、ログの収集から脅威の検出、インシデントへの自動対処まで、一連の対応を実現することができます。

Azure ADや上述したMicrosoft Defender for Endpoint、コンテナ・ストレージのログ、サードパーティ製のファイアウォールのログなど、様々なログをMicrosoft Sentinelに集約することで、Microsoft Sentinelの効果をより発揮することができるでしょう。
Microsoft Sentinel

4. まとめ

この記事では、リモートワーク環境の整備に活用できるAzure Virtual Desktopについて紹介しました。

リモートワーク環境を実現する上ではセキュリティ面の考慮が重要となりますが、AVDを活用することで強固なセキュリティを実現できます。

本ブログで解説したAVDのセキュリティについては、Microsoftのスペシャリストが解説しているセミナー動画も配信しています。

より詳細なAVDのセキュリティ対策について知りたい方は、本動画もぜひご覧ください!

Azure Virtual Desktopセキュリティ Azure Virtual Desktop 利用におけるセキュリティ強化と理想像

※リンク先の「Azure Virtual Desktop 利用におけるセキュリティ強化と理想像」にてご覧いただけます。

この記事を書いた人

Azure導入支援デスク 編集部
Azure導入支援デスク 編集部
こんにちは!双日テックイノベーション(旧:日商エレクトロニクス)では、Microsoft Azure活用に関する有益な情報を皆様にお届けしていきます。Azure移行、データ活用、セキュリティなどに関するお困りごとや、Microsoft Azureに関する疑問点などお気軽にご相談ください。

ブログにしてほしいネタなどのリクエストもお待ちしております。