Juniper MAGとVMware Horizon View、Gléasでセキュアな仮想デスクトップ環境
課題と解決
-
PC、スマートデバイスからのセキュアなリモートアクセス
電子証明書を使った認証でPC、スマートデバイス双方をカバー
-
セキュリティ機能追加に必要なコストと導入期間
クラウドで提供されるGléasにより追加機器なく電子証明書認証を導入
-
スマートデバイス展開時の管理負担
証明書インストールのセルフサービス化により管理負担を抑制
郵船トラベル株式会社は出張など法人向け旅行サービスを多く取り扱っている。近年進んでいる航空券の電子化などの影響により、現地窓口だけでは急な旅程変更に対応できない場合もあるため、24時間365日で世界中の旅行者をサポートできるようリモートアクセスと仮想デスクトップを組み合わせ、いつでもどこからでもいつもの自分のデスクトップで業務が可能な環境を構築している。
セキュアな業務環境を実現するために採用されているのが、JuniperのSSL-VPN製品MAGシリーズと、Gléasだ。
24時間365日のサポート体制を仮想デスクトップで支える
郵船トラベルは多くの法人顧客を抱える旅行会社だ。海外出張の手配だけではなく、渡航先でのサポートにも力を入れており、急な飛行機の欠航やスケジュールの変更にも即座に対応できる体制をとっている。そのために活用されているのが、リモートアクセス環境だ。
「渡航先の手配内容の変更が必要となった場合、基本的に海外現地の窓口で対応しますが、急な変更に現地で対応しきれない場合には日本国内の担当者が対応することになります。その場合、時差の関係で連絡が発生するのが日本での営業時間内とは限りません。そこで、いつでもどこからでも社内の業務システムを使えるようリモートアクセス環境を構築してきました。」
そう語るのは、郵船トラベル 執行役員 三條場 澄夫氏だ。
同社は早くからリモートデスクトップ環境の構築に取り組み、2012年からはJuniper社のSSL-VPN製品MAGシリーズを利用。どこからでもいつもの自分のデスクトップを使えるリモートデスクトップ環境を整えていた。単に自社の業務システムにアクセスできるだけではなく、自分のデスクトップを使えることに大きな意味があるのだと三條場氏は言う。
「航空会社やホテルチェーンごとに個別のシステムを構築しているので、旅行業務では数多くのシステムを併用しなければなりません。しかもそれぞれに、アクセス権限をチェックするための証明書などが必要です。それぞれの業務に必要なアプリケーションと証明書が揃っているのが、自分のデスクトップなのです。」
2013年にはVMware Horizon Viewを採用し、業務環境自体を仮想デスクトップ化。社内外での業務環境の違いをさらに少なくするとともに、管理性の面でも大きく進化させた。次なるステップとして同社が取り組んだのが、セキュリティ強化だった。
クラウドによる導入のしやすさとMAGとの連携実績が決め手に
セキュリティ強化のニーズには、2つの方向性があった。ひとつは認証の厳格化だ。リモートデスクトップ環境では、IDとパスワードに加えて端末のレジストリをチェックする二要素認証を採用。レジストリを1年ごとに更新することで不要なアクセス権限が残らないよう運用も工夫されていた。しかし改善の余地が残っていたと三條場氏は言う。
「自宅のPCなどに勝手にレジストリを登録されたら想定外の端末からアクセスされる恐れがありました。さらにその端末が紛失した場合には、次の年次更新までアクセス権限が残ってしまいます。」
もうひとつの方向性は、端末の多様化だ。郵船トラベルでは役員や部長向けにiPadを配布して会議のペーパーレス化や印刷物による情報漏えいの防止に取り組んでいる。こうして使い始めたiPadのさらなる活用方法として、iPad向けのViewクライアントを使って仮想デスクトップに接続したいという要望が上がるのは自然の流れだった。
「個別の端末を認証でき、しかもiPadからでもセキュアなネットワーク接続が可能な手段として目を付けたのが、電子証明書でした。電子証明書ならリモートアクセスのログインから仮想デスクトップのログインまでシングルサインオンも可能になるので、セキュリティを高めつつユーザの利便性も向上します。」
証明書を運用する認証局の選定に当たっては、リモートアクセスに利用しているJuniper MAGとの連携が最も重要視された。その視点から候補となったのが、Gléasだ。MAGシリーズの前身であるJuniper SAの時代から多くの連携実績を持ち、リモートアクセスの認証強化に使われてきた製品だ。
実績が豊富なことと、クラウドサービスとして導入できることが大きな決め手だったと、三條場氏は選定のポイントについて語る。
「クラウドなら新たに機器を購入しなくて済むので、MAGのオプション機能を追加してセキュリティを強化する感覚で導入できます。もちろん競合比較もしっかり行ない、その他の機能も優れていることを確認したうえでの選定でした。」
セキュリティの不安は払拭されスマートデバイス展開へ進む
Gléasが導入されたのは2014年春。検証と準備を経て、5月から実際のユーザに展開を開始する。PCユーザの移行が落ち着いたら、スマートデバイスからのアクセスにも対応していく予定だ。
「当面はiPad、iPhoneなどiOS機に限定する予定ですが、スマートデバイス仮想デスクトップを利用したいという要望はかなり高いと予想しています。PCとは違ったステップで証明書をインストールする必要がありますが、Gléasなら大きな負担増にはならないでしょう。」
Gléasには証明書をiPad、iPhoneの構成プロファイルとして配信する機能があり、接続までの準備をセルフサービス化できるため、大きな管理負担にはならないはずだと三條場氏は言う。それよりもiPadやiPhoneを会社から支給するのかBYODで運用するのか、その際のセキュリティポリシーはどうするのかといった運用ルールを早急に検討しなければならない。
「こうした検討に注力できるのも、MAGとGléasでセキュリティ面の不安を払拭できているからにほかなりません。今後も使いやすく安全なリモートアクセス機能として進化していくことを期待しています。」
三條場氏はそう語り、インタビューを締めくくった。