サイバー攻撃や情報漏洩などへの対策として有効であるインターネット分離。2015年に総務省が地方自治体向けガイドラインにてその必要性を取り上げたこともあり、自治体だけでなく民間企業での採用も進みました。
一方で、導入から一定の時間がたったこともあり、インターネット分離のために導入したハードウェア機器などのリプレイス時期が近づいている企業も多いのではないでしょうか?
そのような企業におすすめしたいのが、クラウド型VDIによるリプレイスです。
この記事では、クラウド型VDIである「Azure Virtual Desktop」を用いたインターネット分離環境の構築について、よくある疑問やその実現方法について紹介します。
目次
1. インターネット分離の現状
2015年に発生した日本年金機構における情報漏洩をきっかけに、自治体や民間企業などでインターネット分離によるセキュリティ対策が進みました。
当時、インターネット分離を実現する方法としては、オンプレミスにてVDI(Virtual Desktop Infrastructure)技術により仮想デスクトップ環境を構築するケースが一般的でした。
一方で、VDI環境の導入から期間がたっているということもあり、物理的な環境の老朽化も課題となっています。パフォーマンスの低下や故障対応なども増えつつあり、設備のリプレイスが必要な時期といえるでしょう。
このような課題を解決するために、Microsoft社が提供するクラウド型VDI環境である「Azure Virtual Desktop」(略称:AVD)やCitrix社のCitrix DaaSへリプレイスする企業が増えてきています。
これらのクラウド型VDIを利用することで、物理機器のスペックを原因とするパフォーマンス低下の課題解決を行うことができます。さらに、クラウド型であってもVDIという仕組み自体はこれまでのオンプレミス型と同様であるため、現在の仕組みをそのまま利用できるというメリットもあります。
2. クラウドリプレイスのよくある疑問にご回答!
以下では、クラウド型VDIへのリプレイスにおいてよくある疑問に回答していきたいと思います。
コストが高くならないか?
気になるのがコストの観点ではないでしょうか。結論としては、5年間のトータルコストで比較を行うと、クラウド型の方がコストを抑えることができます。
今回は、以下の条件で試算を行ってみたいと思います。
- 500ユーザー分のVDI環境を構築
- VDI導入・利用にかかる費用のみで比較 ※企業により要件が異なるセキュリティ等の費用は除く
- オンプレミスにおけるデータセンターやネットワーク利用料は含まない
このような条件で比較を行うと、各項目に必要となるコストは下表のとおりです。
| オンプレミス型 | クラウド型 | |
|---|---|---|
| ハードウェア費用 | 1億5400万円 | – |
| ソフトウェア費用 | 1億8000万円 | 23万円 |
| クラウド利用料 | – | 2億8200万円 |
| ネットワーク費用 | – | 1000万円 |
| 初期導入費用 | 1500万円 | 1500万円 |
| 保守費用 | 6900万円 | 2400万円 |
| 合計 | 4億1800万円 | 3億3100万円 |
5年間の1人当たりの費用に換算すると、オンプレミス型で約84万円/人、クラウド型で約65万円/人となります。
特に大きな要素として、オンプレミス型で必要となるサーバOSや各種ライセンス等のソフトウェア費用や、HCI(Hyper-Converged Infrastructure)等のハードウェア費用について、クラウド型ではクラウド利用料として請求されるという点です。
必要な費用の違い〜インフラ編〜
また、ハードウェア・ソフトウェアを購入しないことから保守費用の圧縮ができる点もメリットでしょう。
加えて、運用の実務において問い合わせ等の窓口がクラウドサービス提供事業者に一元化できるという点も、クラウド型のメリットです。
必要な費用の違い〜保守編〜
なお、他のクラウド型VDIサービスであるAmazon Workspacesと比較しても、AVDにコストメリットがあります。
上記と同様に「500ユーザー」「VDI導入・利用に関する機能」について両者を比較すると、月額の利用料金はAmazon Workspacesのケースで約500万、AVDで約450万となります。
- 500ユーザ
- VDI領域で料金比較
- ✓VDI
- ✓プロファイル領域
- ✓AD連携
- ✓Windowsライセンス
- ✓Officeライセンス
- WorkSpaces :Officeバンドル型
- AVD:Microsoft 365 Apps for enterprise
・Workplace:約1万円 / 人 ・AVD:約9,000円 / 人
AVDが他のクラウド型VDIサービスと比較してコストを削減できる理由として、Windows10/11のマルチセッション技術により、一つの仮想マシンに複数のユーザーを接続させリソースを効率化できるという点が挙げられます。また、既存のWindows・Office365ライセンスを活用できるという点も大きいといえるでしょう。
インターネット分離用にどう設計できるのか?
クラウド型VDIを活用することで、インターネット分離をどのように実現できるのでしょうか。
下図は、AVDでインターネット分離環境を構築する際の一般的な構成です。この中でポイントとなるのが「データ授受」と「メールセキュリティ」の2点です。
1点目について、一般的にVDIと社内ネットワーク間のデータ授受は業務上の必須要件となりますが、一方でセキュリティに注意しなければならない領域でもあります。双方のデータ授受を実現するためには、サードパーティ製のファイル受け渡しサービスを用いるか、SharePointなどを活用する方法の2つが考えられます。後者の方法は追加のライセンス費用がかからないためコストメリットがありますが、ルール整備など運用が複雑化しやすいというデメリットもあります。
2点目のメールセキュリティについては、クラウドベースのメールセキュリティ製品の導入が効果的です。具体的には、Mail DefenderやSmooth Fileなどの製品を利用することで、メールの無害化や添付ファイルの自動分離などを実現できます。
その他、インターネット分離環境を実現する方法については別の記事にて詳細に解説しておりますので、こちらもご覧ください。
関連記事
\ 金融業界のご担当者様必見! /
インターネット分離のクラウド化はどう実現する?3つの要素を解説!
パブリッククラウドは本当に安全なのか
パブリッククラウドであるAVDを利用する上で気になるのが、安全性ではないでしょうか。近年、パブリッククラウドの利用は一般化しており、金融機関など高いセキュリティ要件が求められる業界においても採用例が増えています。特に、Azureは様々な金融機関に採用されているサービスです。なぜ金融機関ではAzureの採用例が多いのでしょうか?
まず挙げられるのが、クラウドサービスに対する認証制度であるクラウドセキュリティゴールドマーク(CS Gold Mark)の取得や、FISC安全対策基準への対応など、様々な基準を満たしている点です。また、特に金融機関では金融庁などから受ける監査対応についても考慮しなければなりませんが、Azureでは特別変更契約を行うことで監査対応が可能です。その他、準拠法が日本法であるなど、Azureは日本のビジネスに対応しやすいクラウドサービスといえるでしょう。
ただし、AVDを活用してAzureでインターネット分離環境を作る際には、単にAVDを導入するだけでは不十分です。自社の要件に従い、適切なセキュリティ対応が必要です。AVDにおけるセキュリティ対応方法については、以下の記事で詳細を解説しています。
関連記事
Azure Virtual Desktopのセキュリティ強化方法を解説!
運用方法が変わらないか
オンプレミスでVDIを構築している企業においては、Citrixを採用している企業も多いのではないでしょうか?オンプレミスのCitrixからクラウド型のAVDへ移行すると、運用方法が変わってくるためどうしても学習コストがかかります。
これまでの運用方法を大きく変えたくない場合は、CitrixのクラウドサービスであるCitrix DaaSとAVDを組み合わせた「Citrix DaaS with AVD」をおすすめします。
Citrix DaaS with AVDでは、仮想マシンの実際のワークロードはAzure側で提供しつつ、管理サーバやデータベースの機能についてはCitrix側で提供されます。これにより、Azureのメリットであるマルチセッションの実現やCitrixによる運用管理の効率化など、双方のメリットを享受することができます。さらに、Citrixが提供する効率的な画面転送プロトコルやマルチセッションユーザー利用の最適化機能などより、より優れたユーザーエクスペリエンスを提供することができます。
Citrix DaaSはオンプレミスと同様の管理コンソールを利用することができるため、これまでと変わらない形で運用を行うことも可能です。
関連記事:
Citrix DaaSのセキュリティ、UI、管理機能について紹介しております。
XenAppリプレイス検討中のIT担当者必見!Citrix DaaS with AVDがインターネット分離に最適な理由とは?
まとめ
この記事では、Azure Virtual Desktopを用いたインターネット分離環境の構築に関する疑問や、AVDによるインターネット分離環境の実現方法について紹介しました。
当社では、AVD・Citrix DaaSを中心としたインターネット分離環境のリプレイス支援サービスを提供しています。具体的にリプレイスをお考えの方は、ぜひ一度以下のリンクからご連絡ください。
\ インターネット分離を快適に! /
日商エレのリプレイス支援
この記事を書いた人
-
こんにちは!日商エレクトロニクスでは、Microsoft Azure活用に関する有益な情報を皆様にお届けしていきます。Azure移行、データ活用、セキュリティなどに関するお困りごとや、Microsoft Azureに関する疑問点などお気軽にご相談ください。
ブログにしてほしいネタなどのリクエストもお待ちしております。
この投稿者の最新の記事
- 2024年3月27日ブログデータレイクとは? ~DWHとの違い、メリット、活用例などをわかりやすく解説~
- 2024年3月6日ブログデータカタログとは?~機能、導入のメリット、導入方法まで解説~
- 2024年2月19日ブログMicrosoft Azure とは?基本概要、5大メリット、主要サービスを解説
- 2024年2月6日ブログ今さら聞けない「DWH」とは? ~データベースやデータマートとの比較も含めて解説!~