VDIのセキュリティは本当に安全なのか？そのリスクと対策を解説

VDIとは

VDI（Virtual Desktop Infrastructure）は仮想デスクトップとも呼ばれます。サーバー上に仮想のデスクトップ環境を構築し、離れた場所にある端末からインターネット経由で操作するものです。

VDIでは、操作の対象となるOSやアプリケーション、データはサーバー上にあります。サーバーから離れたユーザーの手元にある端末ではモニターやキーボードの操作のみを行い、アプリケーションやデータは保存しません。また、1つのデスクトップ環境に複数の端末からアクセスすることも可能です。

VDI環境を構築すれば、オフィスにいなくてもサーバーにアクセスでき、オフィスにいるのと同じように仕事ができます。そのため、VDIはテレワークの普及と同時に広く使われるようになりました。

VDIについては、次の記事も参考にしてください。

関連記事

シンクライアントとVDIの違いとは？VDIの4つの方式や選び方を解説

VDIとシンクライアントの関係

シンクライアント（Thin Client）とは、必要最低限の処理だけを行う端末（クライアント）と、アプリケーション処理やデータ管理を行うサーバーを組み合わせた仕組みのことです。

VDIはシンクライアントを実現するための方法の1つで、クライアントからサーバーにリモートでアクセスします。テレワークが普及したため、近年はVDIがシンクライアントの主流です。

シンクライアントについては、次の記事も参考にしてください。

関連記事

シンクライアントとは？普及が進む背景や仕組み、メリット・デメリットを解説

VDIのセキュリティ面におけるメリット

VDIのセキュリティが高いと言われる理由は次のようなものです。

端末や記憶媒体の紛失・盗難による情報漏洩がない

アプリケーションやデータはすべてサーバー上にあり、そこにアクセスして利用します。そのため、データを持ち出して情報漏洩が起こるリスクがありません。

ネットワークからの情報漏洩が起こりにくい

VDIでは、サーバー上にあるアプリケーションやデータにアクセスをして利用することになります。そのため、ネットワーク上で情報を盗まれるといったリスクは軽減されます。

端末からの情報漏洩がしにくい

端末にアプリケーションやデータは残らないので、そこから情報漏洩するリスクはありません。

セキュリティ対策や管理がしやすい

セキュリティ対策やソフトウェアのアップデートはサーバー側で行います。ユーザーではなく情報システム部門が一括管理できるので、端末ごとに対策の抜けや漏れが起こることはありません。

仮にサイバー攻撃を受けても、多くの場合はサーバー側で対処できるので、セキュリティ対策を強化しやすくなります。またユーザーの端末がマルウェアに感染すれば、感染した端末だけを切り離すことも可能です。

VDIのセキュリティ面におけるデメリット

VDIでも、リスクがまったくないわけではありません。次のようなデメリット、つまりリスクがあります。

認証情報が漏洩すると不正アクセスされてしまう

端末では業務に関するデータは保持しません。しかし認証情報は保存していることが多いため、盗難による不正アクセスのリスクは残ります。また、端末を業務に使用した後、そのまま私用に使うことで認証情報を消し忘れ、情報が漏洩することも多いです。

端末がマルウェアに感染することがある

端末がマルウェアに感染し、かつサーバーを管理する情報システム部門がそれに気付けない場合、不正アクセスが起こるリスクがあります。

フィッシングや標的型攻撃の対象にされる

インターネットの業務利用の増加により、メールやWebサイトを使ったフィッシング、標的型攻撃の対象にされることが増えています。VDIでも、ユーザーがフィッシングや標的型攻撃の被害にあった場合には不正アクセスが起こるリスクがあります。

ランサムウェア攻撃の対象にされる

マルウェアの中でも増加しているのがランサムウェアの被害です。とくにVMware社のESXiというソフトウェアの脆弱性を利用したランサムウェア攻撃が増えています。VMware ESXiは仮想デスクトップ環境を構築するためのソフトウェアで、無償で利用できるため、VDIの構築に多く使われているものです。

サーバーのセキュリティ対策が甘い

クラウドサービスではなくオンプレミス型サーバーでVDIを運用している場合、仮想デスクトップ環境も企業内で管理しなければなりません。その場合、企業内でセキュリティ対策を後回しにしたり、セキュリティツールの更新が滞っていたりするとサイバー攻撃への対処も遅れることになります。

その他、VDIを構築するメリット・デメリットについては、次の記事も参考にしてください。

関連記事

VDIを構築するには？手順と注意点、必要な費用を解説

VDIのセキュリティリスクへの対策

上述したセキュリティリスクついては、次のような対策があります。

VPNを構築する

VPN（仮想プライベートネットワーク）を用意し、そこからサーバーにアクセスします。VPNは認証されたユーザーしか利用できないので、情報漏洩やマルウェア感染などのリスクを小さくできます。

VPNについては、次の記事も参考にしてください。

関連記事

リモートアクセスとVPNの違いとは？VPNの種類や構築する際の流れを解説

セキュリティツールを導入する

不正アクセスやマルウェア感染を検知し、防止する効果があります。常時社内ネットワークをモニタリングし、異常を検知できるものがおすすめです。

ただし、効果を発揮するためにはセキュリティツールは常に最新の状態にしておく必要があります。

OSやアプリケーションの修正プログラムを適用する

OSやアプリケーションに脆弱性が発見されると、対応する修正プログラムが配布されます。修正プログラムを適用しないと脆弱性が残り、そこからマルウェアやランサムウェアの攻撃を受けるリスクが残るためです。脆弱性をなくすためには、OSやアプリケーションは常に最新の状態にしておく必要があります。

認証情報を複雑にする

できるだけ複雑で破られにくいパスワードを設定します。多要素認証を利用するのも効果的です。

多要素認証については、次の記事も参考にしてください。

関連記事

多要素認証とは？二要素認証や二段階認証との違い、注意点などを解説

VDIツールの設定を適切に行う

VDI環境を構築するツールの設定でも、セキュリティ対策を行うことができます。外部記憶媒体へのコピーなどはシステムの設定によって防止可能です。

従業員へのリテラシー教育を行う

VDIやリモートアクセスを導入するときには、従業員にセキュリティや端末の扱いについて教育を行います。誤った操作からの情報漏洩を防ぐ効果があります。

デバイス管理ソフトを導入する

リモートアクセスを導入するときには、MDMなどのデバイス管理ソフトを導入します。遠隔操作で端末を管理・監視し、盗難・紛失した場合は端末をロックすることも可能です。

MDMについては、次の記事も参考にしてください。

関連記事

MDMを自社に合わせて選ぶには？MDMの機能や導入の流れもわかりやすく解説

DaaSに移行する

仮想デスクトップを構築する環境を、オンプレミスサーバーではなくAzure Virtual Desktop（AVD）のようなクラウドサービス上のサーバーに移行するという方法もあります。クラウドサービスを利用すれば、情報システム部門での管理を大きく削減でき、セキュリティ対策もある程度ベンダーに任せることが可能です。

DaaSについては、次の記事も参考にしてください。

関連記事

VDIとDaaSの違いや共通点とは？それぞれの特徴や向いている企業について解説

VDIでもセキュリティリスクへの対策は必要

VDIは、アプリケーションやデータを手元の端末に保存しないので情報漏洩のリスクが少なく、安全だと言われています。そのためテレワークの導入時にVDIを選んだという企業も多いでしょう。

ただしVDIにもリスクはあり、その対策が必要です。必要な対策の多くはごく基本的なもので、VDIの導入に関わりなく必要なものばかりです。VDIを導入するなら、上述した対策は必須と言えるでしょう。

しかし情報システム部門の人数が少なく、VDIの導入やセキュリティ対策にまでなかなか手が回らないという企業も多いものです。その場合はVDIの構築ではなく、セキュリティを強化したリモートアクセスツールを導入するという方法があります。

たとえば「CACHATTO」の「セキュアコンテナ」なら、管理や運用をするのに高い知識や多くの手間は必要ありません。構築や運用に関する知識やノウハウがなくても環境を構築でき、少人数での運用が可能です。

情報システム部門の負担などが問題になっているなら、 VDIより低コストで、導入しやすい製品を試してみてください。より快適にテレワーク環境が構築できます。