IT社員3人組によるリレーブログ

某IT企業に勤める同期3人が、日常で思ったことを記録していきます (twitter: @go_mount_blog)

VDIとは? RDCとの違いは?

どうも、ITコンサルタントのShoheiです。

今日は働き方改革関連の話をするときによく出てくるVDIについてお話しします。

10年前からある古い技術なので、もはや改革という話でもない気はしますけどね。。。

 

VDIって何

Virtual Desktop Influstructureの略です。直訳すると仮想デスクトップですね。

 

どういうものかというと、以下の特徴のあるものです。

  • 仕事でメールを打ったり、書類作成をするPCは、個々人の手元にない。データセンターなどにある。
  • 個々人の手元にあるのは、VDI利用環境のみ。そのPCの中には打ちかけのメールも、作成した書類も、何もデータが入っていない。
  • 手元PCでマウスを動かすと、手元のPCが動いているように見えるが、実際に動いているのはデータセンター内にあるPC(遠隔PCと呼ぼう)。
  • 手元のPCには、遠隔PCの画面が送られてきている

絵にするとこんなイメージです。

f:id:go-mount:20180825213259p:plain

この構成にする場合は、手元のPCはシンクライアントといって、VDIを利用できる最低限のスペックと機能しか解放しないものにすることが多いです。

あくまで業務は遠隔PCでやってください、一切業務データは手元PCで扱わないでね、というスタイルです。

 

まずは簡単に思いつくデメリットから

え、上の絵みても、明らかに左のほうがシンプルだしよくね? そう思いますよね。

確かにVDIには明らかなデメリットがありますよね。

先に書いておきましょう。

  • ネットワークに繋がらないと何にもできない
  • お金がかかる

一つ目は、明らかですよね。

そもそもデータセンターにリーチできなかった場合(Wifiが不安定だったり、新幹線の移動中でプツプツきれたり)、業務用に実際に動いている遠隔PCは操作できません。

手元PCがシンクライアントPCの場合、手元PCではメモすら取れなかったりするので、その状況では全く業務ができなくなってしまいます。

 

二つ目のデメリットについても、絵を見れば明らかかと思いますが、手元PC+遠隔PC、二台分ハードウェアやOSを用意しなければならないので、その分コストがかさみますね。

 

3つの観点でのメリット

明らかなデメリットがあるのに、なんでこんなまどろっこしいことするかって?

それには三つの観点でお答えしましょう。

 

データ流出の危険性が薄まる

以前、CASBの記事で似たようなことを話したように、基本的には企業の機密情報やお客様情報は社外に持ち出したくありません。

データが流出したら企業価値を落としかねない事態に発展する可能性があるからです。

 

とはいえ、営業活動など、どうしてもPCや社内情報を外に持っていかないといけない状況はありますよね。

そして厳重に管理してるつもりでも、PC紛失の事案根絶はなかなかできません。0.1%でも紛失や盗難の可能性があるなら、1000人企業で10人はやっちゃう計算になります。

 

紛失したPCをいい人が拾っていればどこかの交番に届いているかもしれませんが、場合によってはもう既に機密情報は流出しているかも?

 

(OSのパスワードなんて、単一のPW認証ならいつかはやぶられますし、ディスクを暗号化していない場合ディスクの中を解析されたら終わりです)

 

前置きと脅しが長くなりましたが、VDIだとその悩みは不要です。

なぜなら、電車に置き忘れたのは、単なるVDI接続環境、いわばなんのデータも入っていないただの箱だからです。

例えば「PC盗まれたかもです、自分のアカウント(遠隔PCのアカウント)ロックしてください」「自分の手元PCからVDI接続できないようにして下さい」て言えば、データ流出のリスクは大幅に下げられます。

 

ガバナンスを利かせやすい

二つ目のメリットは、PCやIT周りの管理をする部門がガバナンスを利かせやすいことです。

手元PCだと、個々人が個々人のタイミングで使うことが多いので、個人に渡した瞬間、野に放ってしまうような状態になることがあります。

 

例えば配ったOSに重大な脆弱性が見つかったとして、早急にセキュリティパッチなどを当てる必要がある場合も、個々人が対応しなかったり、パッチを配信したが再起動をかけなかったりすると、いつまでも脆弱なままPCを放置してしまうことになり、セキュリティホールができてしまいます。

その点、重要なデータが入ったPCが全てデータセンタ内にあり、IT部門がいつでも管理できるような状態にあれば、管理等の面でガバナンスを利かせやすいですよね。

 

集約を利かせやすい

PCが全てデータセンター内にあるものだから、セキュリティ機器(例: サンドボックス )等、共通化がしやすいのはメリットです。

 

以上を絵にまとめると、以下のようになります。

f:id:go-mount:20180825221403p:plain

 

メリットも多くありますが、デメリットも多いので、企業や部署の方針や、国や地域のネット環境などに合わせた、検討が必要ですね。

RDCとの違い

え、結局VDIって、Windowsが提供しているRDC(Remote Desktop Connection)みたいな感じー?と、自分も思っていたのですが、違います。

ざっくり言うと、RDCの場合は、手元のPCとデータセンタ内のPCで画面転送以上の関係性を持っちゃっています。

単なる画面転送ではないので、遠隔PCの情報を手元PCが一部理解していたり、逆もあります。例えば、手元PCでコピーした内容を、遠隔PCにペーストすることもできますしね。

 

この場合、手元PCがマルウェア感染すると、重要データが入っているデータセンター内PCにもマルウェアを侵入させてしまう可能性が出てきます。

一方VDIは、ただの画面転送です。データセンタ内にあるPCの画面を遠隔でみているだけなので、どんなデータが送られているか、手元PCは知りませんし、手元PCがマルウェアに侵されようがどうなろうが、遠隔PCは安全な状態を保つことができます。

まとめ

VDIについて説明しました。RDCとの違いについてもざっくりと触れました。