SS1製品サイトいま注目のAVD!VDI環境下のIT資産管理で気を付けるべきこと
リモートワークをおこなっている大企業を中心にデスクトップ仮想化の需要が急増しています。
デスクトップ仮想化にはさまざまな手法がありますが、とりわけ注目を集めているのがAzure Virtual Desktop(AVD)です。
AVDはデスクトップ仮想化のなかでもVDI(Virtual Desktop Infrastructure)方式を採用しているサービスで、大きな特長の一つに「クライアント端末の管理を簡素化できる」というものがあります。
VDI方式の仕組み上、各PCにどのようなソフトウェアが入っていて、OSのパッチ適用はどこまで進んでいるのか...といった従来の端末管理をおこなう必要がないためです。
これは管理者の業務負担軽減の面で大きなメリットとなりますが、だからといってユーザーがどのようにその「端末」を使っているのかを野放しにしてよいというわけではありません。
今回は、VDI環境のなかでも特にAVDを活用する場合において、IT資産管理の面から管理者として注意すべきポイントをご紹介いたします。
・VDI方式における「マルチセッション接続」とは?
・IT資産管理面で気を付けたい2つのポイント
・IT資産管理ソフトSS1は、AVDのシングル/マルチセッション接続下のログ管理に対応!
・まとめ
AVDの特長
AVDとは、Microsoft社が提供しているデスクトップ仮想化サービス(DaaS)です。
「リモートワーク環境のセキュリティを強化しつつ、コストを抑えた運用をおこないたい」と考えている企業から注目を集めています。
AVDには、以下のような特長があります。
1.リモートワークをセキュアに実現
AVDはVDI方式を採用していることから、ユーザーが使用する端末に業務データが残らないため、リモートワークで社外に端末を持ち出した際の情報漏洩リスクを低減させることができます。
また、Azure AD P1またはP2ライセンスを追加購入することで、多層構造のセキュリティ体制を実現することが可能です。アプリやデバイス、接続場所などさまざまな条件によってアクセス制限をおこなえるので、強固なセキュリティ環境の構築にも貢献します。
ちなみに、クライアント端末の性能に関わらずハイスペックかつ安全な仮想マシン上で作業ができることから、BYODを推進する場合にも有効です。
そのほか、ロケーションに関わらず自身の仮想デスクトップにアクセスできる特性を生かし、非常時におけるBCP対策としても役立てられます。
2.Microsoft社製品との互換性
AVDは当然、同じMicrosoft社製品との相性がよく、それぞれの製品に対して互換性があります。
よって現時点でWindows OSやOfficeなどを利用して日々の業務をおこなっている企業にとっては、従業員の作業環境を大きく変えることなく導入できるのも嬉しいポイントでしょう。
3.Windows 10/11のマルチセッション接続に対応
AVDは、数あるサービスの中で唯一Windows 10/11のマルチセッション接続を利用することができます。
これによってライセンス調達とネットワーク運用における大幅なコスト削減を実現できることから、AVDが持つ特長の中でも特に注目すべき点と言えるでしょう。
なぜマルチセッション接続がネットワーク運用のコストダウンにつながるのかは、次項で解説いたします。
4.優れたコストパフォーマンス
従量課金制であるため、組織の規模や事業体制に合ったプランで契約することができます。
加えて、Microsoft 365などの既存ライセンスを一部流用することが可能(※)なので、これらのライセンスをすでに購入している場合は、そのほかのVDIサービスよりもコストを大きく抑えられるというメリットもあります。
(※AVDに流用できないライセンスも存在します。ご検討の際は、Microsoft社または販売店へ確認いただくことをおすすめいたします。)
5.管理者の運用工数を削減
OSの更新管理やアプリケーションのインストールなど、これまでクライアント端末ごとにおこなっていたこれらの業務について、管理工数を大きく削減することが可能です。
AVDでは仮想デスクトップのイメージファイルをサーバー側で集中管理することになるため、「特定のソフトウェアを更新しなければならない」といった場面でも、個別の端末へそれぞれ対処をおこなわずともサーバー上のソフトウェアを1つ更新するだけで完結します。
このポイントは、各クライアント端末に対して提供する環境が頻繁に更新されるような場合に、ひときわ効果を発揮するでしょう。
VDI方式における「マルチセッション接続」とは?
前項で、AVDの特長の1つとして「Windows 10のマルチセッション接続」が可能である点を挙げました。
では、なぜこれが大きなメリットとなるのでしょうか。
大前提として、デスクトップ仮想化にはSBC(Server Based Computing)方式とVDI方式という主に2つの実現方法があります。このほかにも手法はいくつか存在しますが、前述の2つがもっとも一般的であるため本記事では割愛します。
SBC方式とは、サーバーOS上のデスクトップおよびアプリケーションの画面のみをクライアント端末へ配信し、それを複数人で利用する方法です。
(SBC方式 イメージ図)
クライアント端末とサーバー間はリモートデスクトップ接続をおこなって画面を共有することになるので、リモートデスクトップサービスに関連したライセンスを購入することで実現できるようになります。
また1つのサーバーにおけるリソースを有効活用することができるため、比較的低スペックのサーバーでも運用可能であることから、コストパフォーマンスに優れた手法と言えるでしょう。
ただし、実行できるアプリケーションはサーバーOS上で動作するもの、かつ複数ユーザーが実行できるものでなければならないため、ユーザー側の自由度が低くなるというデメリットがあります。
加えて、もし1人のユーザーが高負荷の処理をおこなった場合には他の接続ユーザーも影響を受けるため、状況によっては作業効率低下につながる可能性も否定できません。
一方のVDI方式は、サーバーの仮想基盤にユーザーごとの仮想PCを構築し、個別のOSやアプリ―ケーションに対してユーザーがそれぞれリモート接続をおこなうものです。
(VDI方式 イメージ図)
これには従来の物理PC同様に、自分だけの自由度が高い環境を手に入れられるという利点があります。
しかし、ユーザーの数だけ仮想マシンが必要になる分要求されるサーバースペックは高くなるので、VDI方式の実現には比較的コストがかかります。
また、OSライセンスも基本的には利用ユーザー分必要となるため、ランニング費用もかさむ傾向があるようです。
このように、SBC方式とVDI方式にはそれぞれ一長一短あり、デスクトップ仮想化を目指す情シス担当を長年悩ませてきました。しかし実は、この2つの手法のいいとこ取りを目指したソリューションが存在します。
それが、VDI方式のマルチセッション接続です。
マルチセッション接続では、サーバー上の仮想領域に置いた仮想PC環境を複数のユーザーで利用する形をとります。よって、SBC方式に比べユーザーの自由度は高く、VDI方式に比べコストがかかりません。
このことから、コストパフォーマンスを重視しつつユーザーの操作環境も担保したいと考える企業において、マルチセッション接続の導入検討が広がりつつあります。
なかでもAVDは、前述の通りWindows 10/11に対し唯一マルチセッションが可能であり、DaaSとしてサービス提供をおこなうことに付随するさまざまなメリットも享受できるため、より一層の注目を集めているのです。
また、AVDにはマルチセッションと対をなす「シングルセッション方式」というものも存在しています。これは従来のVDI方式と同じ形態のものであり、単純にVDI方式をDaaSで利用したい場合におすすめです。
IT資産管理面で気を付けたい2つのポイント
この通り、AVDには多くの利点が存在します。
前項では最も注目すべきポイントとして「Windows 10/11のマルチセッション接続」をピックアップしましたが、IT資産管理の側面で考えると「クライアント端末管理の大幅な効率化」というメリットが魅力的に映る方も多いのではないでしょうか。
しかしだからと言って、もちろん全ての管理業務がなくなるわけではないというところは注意が必要です。AVD環境だからこそ気を付けなければならない点もいくつか存在します。
気を付けるべきこと① シャドーITの脅威
AVD環境では、マルウェア感染などの外部攻撃や社外端末からの不正接続など、通常検討すべき項目に関しては概ね網羅されています。
ただし、「AVD環境で接続したアプリケーション上での情報漏洩」といった、いわゆるシャドーITに関しては注意が必要です。
例えば、重要ファイルが格納されているフォルダからデータを持ち出し、ブラウザ上のオンラインストレージサービスなどで外部へ流出させる...といった行動がこれに該当します。
通常環境では当たり前に警戒するこのポイントについては、AVD環境といえど気を抜くことなく引き続き注視すべきでしょう。
気を付けるべきこと② 従業員の労務管理
いつでもどこでも作業をセキュアにおこなえるAVD環境は、前項でもご説明した通りリモートワーク体制で活用できるという特長があります。
その際に付きまとう課題として、「隠れ残業によるメンタルヘルス不調のリスク」などが挙げられます。
昨今、働き方改革が浸透してきたなかで、業務効率化などのメリットの裏には従業員の健康上の危険が伴うことも広く知られるようになりました。
企業として、ネットワーク環境の構築やセキュリティ強化をおこなった次は、利用者がその環境を健全に使うための方法論の確立にも注力する必要があるのです。
これらのリスクへ対応するために、管理者としておこなわなければならないのがログ管理業務です。
実は、「ログ管理」は通常環境におけるセキュリティ対策/労務管理のリスクにも有効なものですが、これはAVD環境になったとしても変わりません。
「どのユーザーが」「いつ」「どのファイルを」「どう操作したか」といった情報をきちんと管理しておくことで、万一のインシデントが発生した際にスムーズな対応をおこなえるだけでなく、情報漏洩リスクが高いと思われる箇所を事前に潰しておくことも可能になります。
また、「どのユーザーが」「どれだけの時間」「AVD環境へ接続していたのか」がわかれば、稼働実態の把握に役立てられます。
以上のことから、たとえAVD環境のマルチセッション接続下であったとしても、ユーザーの利用状況を把握できるようなログ管理手法は確立しておくとよいでしょう。
では、AVD環境でログ管理をおこなう場合どのような手法があるのかというと、Log Analyticsといった各種Azureサービスを活用する方法が選択肢として挙げられます。
ただし、この運用をおこなうには各サービスに対する専門的な知識が必要なため、かえって管理工数が膨大に膨れ上がってしまう恐れがあるのも事実です。
「Azureサービスへの知見に自信がない」という方は、AVDのマルチセッション接続下でのログ取得に対応した専用ソフトの活用を検討することをおすすめします。
また、現時点では全社的にAVD環境に移行するというより、一部の部署やプロジェクトグループに対して部分的に導入されるケースが多いということも同時に押さえておく必要があります。
この場合、通常環境とAVD環境が混在した状態の管理をおこなわなければなりません。
もしこういった混在環境でのログ管理を検討するのであれば、AVDマルチセッション接続に対応しているだけでなく、通常環境とあわせてログを一元管理できる専用ソフトを選ぶことも視野にツール選定をおこなうとよいでしょう。
IT資産管理ソフトSS1は、AVDのシングル/マルチセッション接続下のログ管理に対応!
当社がご提供しているIT資産管理ソフトSS1は、2023年にリリースされるver.14において、AVDのシングル/マルチセッション接続下でのログ取得へ対応予定です。
ニーズの高まるAVD環境×通常環境でのログ管理業務をご支援します。
SS1 ver.14では、同じ管理画面上からAVD環境と通常環境の情報を把握することが可能になります。
(機器一覧画面で、そのほかの端末と同様にAVD端末も表示)
(ログオンユーザー単位で、PC操作ログやWeb閲覧ログを確認)
ちなみに、情報収集のためのエージェントはAVD環境にインストールしていただくことになるため、クライアント端末への対処は必要ありません。
AVDのシングル/マルチセッション対応ほか、SS1 ver.14の各新機能につきましては以下のページをご覧ください。
まとめ
Microsoft社提供のDaaS「AVD」は、セキュリティ対策やDX化において非常に多くのメリットがあります。
特にWindows 10/11端末のマルチセッション接続を実現したい場合は、第一候補と言っても過言ではありません。
そのほかBYODの促進やリモートワーク体制におけるセキュリティ強化などをご検討中の方は、導入を視野に入れるとよいでしょう。
その際は、通常/AVDの混在環境でも機器管理やログ管理をおこなえる、SS1の導入もともにお考えいただけますと幸いです。
※本記事でご紹介したライセンスについて、詳細な内容や価格などは随時変更や改訂が入る可能性があります。ご購入前には、必ずMicrosoft社やその他販売店にご相談、ご確認の上ご契約ください。
SS1LAB編集部IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!
