ニフクラ ブログ

ニフクラやクラウドの技術について、エンジニアが語るブログです。

テレワークのための「リモートデスクトップ」と「VDI」の違い

こんにちは。富士通クラウドテクノロジーズ(FJCT)の米澤です。 4月に新卒入社して、現在は週4日のテレワーク勤務を行っております。 自宅での勤務は通勤時間を別の時間に使えるところがよい一方で、歩くことが極端に少なくなったので週1の出社日はクタクタになります。

さて、昨今のコロナ禍の中でオフィスに集まり一緒に作業するという働き方から、FJCTのようにテレワークを前提とした働き方に大きく移行した会社もあると思います。一方、長年オフィスに集まる働き方が当たり前に行われていたため、まず何をすべきか、どのような選択肢があるか等の知見が不十分なのも事実です。

今回は改めて会社共有のITインフラを活用してテレワーク環境を実現する2つの手法である「リモートデスクトップ」と「VDI」についての比較と、テレワーク環境構築時のポイントについて解説します。

f:id:byeron:20200915105049p:plain

テレワーク環境の課題と「リモートデスクトップ」/「VDI」

テレワークを実践する上で、かならず課題となるのが情報セキュリティです。特に、情報漏洩のリスクが生じやすいことを理解した上で適切な対策が必要になります。 中でも、社内の機密情報が入ったPCの紛失・盗難・マルウェア感染による情報漏えいは、PC持ち出しにより起こりやすいインシデントの一つです。 その対策として社内サーバーなどのセキュアな場所に機密情報を置き、機密情報の持ち出しを防止するためにPCにデータを保存しないという方法がとられます。これらの対策とテレワークを両立させるための手段の一つに画面転送があります。

この画面転送を用いる手法として「リモートデスクトップ」と「VDI」の2つの方式があり、一般的に全社テレワークを実現するにはこれら2つの方式のどちらかが選ばれます。 (ここで「リモートデスクトップ」は1つのサーバーOSを複数人で共有する方式を指します。社内の個人PCにリモート接続する方式は端末数に比例して情報システム部門の運用負荷が明らかに高まるため、「全社テレワーク」環境を実現するという観点ではあえて比較対象から外しました。)

リモートデスクトップ方式とVDI方式に共通する特徴

まずは、テレワークで多く利用されるリモートデスクトップとVDIが何を実現するものかを説明します。 両方とも基本的には各自で保有するBYOD端末や会社から支給されたシンクライアント端末で遠隔地にある社内サーバーに接続し、社内サーバーから転送される画面を通してサーバーの操作を実現します。メリットとしては以下の3点が挙げられます。

  • クライアント端末に対して画面転送を行うだけなので、保有している端末をそのまま利用することができ、低コストで導入可能
  • クライアント端末にデータが残らない(セキュリティリスクの低減)
  • オンプレ、クラウドの両方で環境構築が可能

f:id:byeron:20200915105400p:plain

一方デメリットとして以下が挙げられます。

  • CPUやストレージなどのITインフラの共有部に障害が発生した場合は利用者全体に障害が発生する
  • サーバーやストレージのリソースは確保されていたとしても、ネットワーク機器(VPN)などの帯域不足がボトルネックになってパフォーマンスが出ないケースも考慮する必要がある

f:id:byeron:20200915110113p:plain

リモートデスクトップ、VDIともにサーバーからの画面転送を行うだけなので高スペックな端末は必要ありません(シンクライアントで十分)。加えて、各利用者の端末にデータが残らないので端末紛失時の情報漏洩のリスクを下げることができます。

また、自社のITインフラのリソースに応じてオンプレ、クラウド利用の両方で環境構築を検討することが可能です。

次にリモートデスクトップとVDIのそれぞれの特徴について説明します。

リモートデスクトップ方式の特徴

リモートデスクトップは短期間かつ低コストでテレワーク環境を構築するために最適の方式です。 以下が主な特徴となります。

  • 1つのサーバーOSに複数のユーザーがアクセス
  • ユーザー同士で同一のリソースを共有する
  • 追加の物理機器調達のコストが低く、場合によっては既存のITインフラの余剰リソースでも実現可能
  • リソースを共有する関係上、あるユーザーが負荷のかかる作業をするとほかのユーザーに影響が発生する

f:id:byeron:20200915112234p:plain

着目すべきは1つのリソースを複数のユーザーで分け合うという点です。 つまり、インフラ側で用意すべきは利用者の数と関係なく1台分のOS設定をしたサーバーです。 OSの設定やライセンスの準備という側面において、リモートデスクトップは導入時のコストが低い点が魅力です。

VDI方式の特徴

VDI方式はリモートデスクトップと比べて導入時のコストがかかりますが、すべてのユーザーに安定したテレワーク環境を提供するために最適な方式です。 以下が主な特徴となります。

  • ユーザーごとに構築された仮想マシンに対してアクセス
  • ユーザーごとに確保されたリソースを占有できる
  • ユーザーごとのリソースを確保する必要があるため、物理機器調達や基盤構築のコストが高い
  • ユーザー間で環境が区切られているので、ほかのユーザーを気にすることなく作業が可能

f:id:byeron:20200915112503p:plain

着目すべきはすべての利用者に決まった分のリソースが与えられる点です。 つまり、利用者はほかのユーザーを意識することなく快適に作業を行うことができます。また、 「仮想デスクトップ(VDI)とは」にてVDIとDaaSの違いやハイブリッドクラウドでの運用についての説明があります。

テレワーク環境の導入のためにどの方式を選択すべきか

次に「リモートデスクトップ方式」と「VDI方式」のそれぞれの特徴をもとにどちらを選ぶべきかをケース別に考えます。

リモートデスクトップ方式

ケース

  • できるだけ早くテレワーク環境を導入したい
  • すべての利用者がほぼ共通のアプリを利用する
  • 利用者全員にある程度のIT知識があり、テレワーク環境のリソースを大量に消費するような作業をしない

VDI方式

ケース

  • ユーザーや業務内容によって利用するアプリが大きく異なる
  • リソースを共有するという感覚が薄く、利用者間のIT知識に偏りがある

2つの方式を比較すると「導入までの時間を早くしたい」か「テレワーク環境中に幅広い職種の利用者がいる」かがポイントになりそうです。

テレワーク環境構築時のポイント

次にテレワーク環境構築時のポイントをオンプレミスとクラウドで比較します。

オンプレミスで構築する場合

  • ITインフラの自由な構成が可能
  • 既存のITインフラを流用できる場合は導入時のコストを抑えることが可能
  • リモートデスクトップ方式はVDI方式に比べて少ないITインフラのリソースで実現可能
  • VDI方式では構築時に適切なサイジングとそれに合わせた物理機器の調達の必要がある

オンプレミスで構築する場合は、ITインフラの自由な構成が可能である点や既存のリソースの流用により機器調達の導入コストの削減が可能である点がメリットとして挙げられます。

f:id:byeron:20200915133700p:plain

一方で快適なテレワーク環境の構築には適切なサイジングが必要となります。テレワーク環境構築時のサイジングを失敗すると物理機器の再調達が必要になったり、リソース不足によるパフォーマンス低下が発生する場合があります。特に今回の新型コロナ感染症の第一波のテレワーク時には、物流や海外の生産拠点が停止したため輸入が途絶して機器の調達が不可能になるケースが見受けられました。

クラウドで構築する場合

  • ITインフラの構成はクラウドベンダーとの相談で決定
  • 長期的に見ると機器調達や管理運用のための金銭的・時間的なコストを比較的抑えることが可能
  • サーバーやネットワーク機器などの様々な仮想化されたリソースをオンデマンドで利用できるため、調達の工数を削減できる
  • DaaS(VDIをSaaSとして利用可能にしたもの)は予算さえ確保していれば、柔軟にリソースを増減して最適化を図ることが可能

クラウド利用する場合はITインフラの構築はオンプレミスのように完全に自由な構成は取れませんが、IaaSのメリットと同様に機器調達やITインフラの管理運用から解放されるというメリットがあります。また、仮想化されたVPNなどのネットワーク機器のリソースを利用することで帯域不足によるボトルネックを解消しやすいというのも大きなメリットです。

f:id:byeron:20200915141815p:plain

また、VDI方式のテレワーク環境構築を考える際に問題となるサイジングについて、DaaS(クラウド)のメリットである柔軟なリソースの増減を用いて最適化を図ることにより解決が可能です。

テレワーク環境のセキュリティ

テレワーク環境では利用者が様々な場所・端末から社内のネットワークにアクセスしてくるため、これまでの境界型セキュリティ対策が通用しなくなります。そのため社内ネットワーク内部への攻撃をあらかじめ想定した対策が必要となります。 ​

社内ネットワーク内部への攻撃のリスクを大きく低減できるのが「多要素認証」の使用です。 銀行口座への不正ログインが世間を騒がせていますが、記憶認証であるパスワード以外の認証を追加することで総当たり攻撃(ブルートフォース)による不正ログインが困難になります。

また、VPNをテレワークで使用し続ける可能性は引き続き高いと考えられますが、テレワーク端末が紛失・盗難・マルウェア感染している状態で、VPNから社内ネットワークに接続されるというリスクを想定した対策が必要です。 特にリモートデスクトップ方式では、複数人でリソースを共有するため攻撃者が内部に侵入した場合の被害が大きくなる可能性があります。

一方、VDI方式では、ユーザーのリソースは個別に用意されているため、防御しやすくなります。 最近注目されている、ゼロトラストの重要な要素であるマイクロセグメンテーションを実装することで、攻撃者が同一ネットワークセグメントの他のリソースに攻撃を拡大するのを防ぐことが可能になります。 ​

まとめ

  • 導入コストを考えると、社内のITインフラのリソースに余裕がある場合はオンプレ、余裕がない・新規にインフラ構築が必要な場合はクラウドを選ぶことでコスト削減が可能
  • 長期的な運用を考えると、クラウドを利用することで機器調達や管理運用のコストを下げる効果が期待できる
  • 特にVDI方式で重要となる環境構築時のサイジングはDaaSを利用することでクラウドのメリットであるオンデマンド性で、柔軟にリソースの最適化を図ることが可能となる。
  • テレワーク環境導入までの時間を短くしたい場合はリモートデスクトップ方式
  • テレワーク環境の長期的な運用やユーザーごとの利用シーンが大きく異なる場合はVDI方式

また、ニフクラではテレワーク導入時に考慮すべきポイントや構築方法、セキュリティなどをさらに詳しく解説したeBook「テレワークでオフィスのITモダナイズ」を無料で提供しています。ご興味のある方は是非ご一読ください。