XenAppリプレイス検討中のIT担当者必見!
Citrix DaaS with AVDが
インターネット分離に最適な理由とは?

インターネット分離に最適なCitrix DaaS

 

※2022年7月25日 更新

サイバー攻撃の手口は日々巧妙化しており、完全に防ぐことは難しい状況になっています。いまや侵入を前提とした出口対策や内部対策を併用する多重防御があたりまえになりました。
一方、社内システム環境と社外ネットワークを物理的に完全に分離し、相互のデータ交換は外部媒体を使用することが望ましいという考え方もありますが、費用対効果や利便性の観点から非現実的なケースが多いのも事実ですよね。

インターネット分離が推奨され始めた当初に導入された企業様では、ちょうど今がリプレイスの時期ではないでしょうか?

特に、最近ではクラウドでの実現方法が多く出現、その信頼性も向上しておりますのでクラウドについて情報収集されている方も多いかと思います。

そこで本日は、クラウドでの代表的なソリューションとしてのCitrix DaaS with AVD(Azure Virtual Desktop)について、そのメリットや機能、安全性など気になるポイントを解説していきます!
事例付きで具体的にイメージしていただけるかと思いますので、ぜひ最後までご覧くださいね。

こんな方におススメ

  • XenAppなどを用いたインターネット分離環境のリプレイスをCitrix DaaSで検討している
  • パブリッククラウドでセキュリティに問題が無いのか不安
  • オンプレで使えていたCitrix の機能がクラウドでも使えるのか知りたい
  • どのようにクラウドでインターネット分離を実現するのか、具体的に知りたい


1. インターネット分離とは

1.1 インターネット分離の現状

インターネット分離(Web分離)とは、特定のデバイスやネットワークとインターネット接続を切り離すことです。広い意味では、WebフィルタリングやIPアドレス制限なども含みます 。

以前から金融機関などでは機密性の高いサーバーやデータを守るために行われてきましたが、一般的に関心を持たれるようになったきっかけは、2015年の日本年金機構の情報流出事件です。公共系機関がこぞってセキュリティ強化に取り組む中、民間企業でもインターネット分離の採用が進んでいきました。

当初オンプレミスで進められたインターネット分離でしたが、老朽化や市場の変化により様々な運用上の問題が発生するようになりました。そこで注目されているのがDaaS(Desktop as a Service)へのリプレイスです。

1.2. 今までのインターネット分離、課題と解決策

初期のインターネット分離では、インターネット接続環境と社内業務ネットワークを完全に切り離し、相互のデータ交換はUSBメモリーなど外部媒体によって行うというものでした。
しかし、費用対効果や利便性の観点から非現実的なケースも多いと言えます。そもそも、外部媒体を持ち出される危険もありますので完全なセキュリティは確保できません。

そこで画面転送技術を用いた仮想デスクトップ仮想ブラウザによるインターネット分離が利用されるようになりました。

これはリモートのOSやアプリケーションの画面がユーザーのデバイスに転送されてくる技術を用いたインターネット分離実現方法で、デバイスにはデータが残りません。個人情報や機密情報などを含む全てのデータはサーバー側から移動しないのです。
また、手元のデバイスがPCであろうとスマートフォンであろうとタブレットであろうと利用できますし、デバイス側のOSが何であっても利用できる、という利便性も金曽泣いています。

仮想デスクトップによるインターネット分離は当初、オンプレミスで構成されるのが普通でした。
しかし時がたつにつれて、他のオンプレミスシステム同様

  • 最新のアプリケーションへの対応ができないことがある
  • 次々と現れるセキュリティリスクに対応しきれない
  • パフォーマンスが徐々に低下する
  • 故障対応などの運用負荷が大きい

などの、運用上の問題が発生してきました。

Citrixのオンプレ構成
この運用上の問題解決は、いつでも最新のリソースを利用できる「クラウドサービス」を活用するのがセオリーの1つです。
その中でも、「仕組みを大きく変えたくない」「ユーザーの利便性を維持もしくは向上させたい」と考える企業様において、DaaSを活用する動きが広がっています。

1.3. 解決策としてのCitrix DaaS with AVD

そして、インターネット分離に利用されるDaaSの中でも代表的な製品がCitrix DaaS with AVDです。
これはユーザーが利用する仮想マシンをMicrosoft Azure側に構成し、仮想デスクトップとその運用はCitrix Cloudで提供するというサービスです。

Citrix DaaSとは
Citrix DaaS with AVDを利用することにより、ユーザーはアクセスの管理や接続の仲介と最適化を行うためのサーバー側のコンポーネントであるDelivery Controllerを設定する必要がなくなります。 またCitrix Cloud内部で冗長性が確保されているため、高可用性が実現されます。

マイクロソフトからAzure Virtual Desktop(AVD、旧Windows Virtual Desktop )のコントロールプレーンをCitrix Cloudに置き換えることをオーソライズされているので、Windows 10/11のマルチセッションを利用することが可能な点も大きなメリットとして挙げられます。

2. なぜCitrix DaaS with AVDがインターネット分離のリプレイスに選ばれるのか?

2.1. Citrix DaaS with AVDのメリット

ここからは、オンプレミスでXenAppを用いてインターネット分離を実現しているユーザーがパブリッククラウドにリプレイスする際の最適な方式として、Citrix DaaS with AVDが選ばれる理由を解説いたします。
1つ目がセキュリティが強いこと、
2つ目がCitrixならではの技術がAzureでも使えることで、インターネット分離環境に必要な要素を満たせることです

2.2. Citrix DaaS with AVDのセキュリティ

インターネット分離の目的がセキュリティの強化であるからには、まず気になるのはセキュリティの強さでしょう。

Citrix DaaSのセキュリティ
Citrix DaaS with AVDのセキュリティ機能は上図の通りです。

特に重要な機能としては、セッション録画ができることが挙げられます。
この機能によりユーザーがセッション中に何を行ったかを全て見ることができ、不正行為を抑止することもできますし、万が一不正が行われた場合の実行ユーザーの特定や不正行為の解析も可能です。
また片方向のコピーはOKだが、反対方向のコピーはNGなどきめ細かいセキュリティコントロールも可能となっています。

仮想デスクトップにアクセスする際のユーザー認証も強化されています。
セキュアな認証方法として挙げられるワンタイムパスワードが無償で利用可能できますし、Azure ADに認証を委ねることで、MFA(多要素認証)や条件付きアクセスといったよりセキュアな認証を簡単に導入できるのです。

2.3. 快適なUX(ユーザーエクスペリエンス)

いくらセキュリティが強くても、使い勝手やレスポンスが悪くては、業務基盤として不適格ですよね。
特に仮想デスクトップや仮想ブラウザがリソースを複数人で共有するため、パフォーマンスが落ちる傾向にありますので、多くの企業で懸念ポイントとして挙げられるでしょう。

Citrix DaaS with AVDであれば、快適に利用することができます!
Citrix独自のHDXプロトコルで、デバイスやネットワークを問わず高品位のUXを実現。CPUやメモリーを最適化し、プロセスの優先制御を行うことでマルチセッションユーザーでも快適に利用することができるのです。

Citrix DaaSの運用管理
あらゆるデバイスに対応したCitrix Workspaceソリューションにより、場所や端末を選ばず、必要なアプリケーションとデータをセキュアに利用することも可能です。
セキュリティを守りながらも、従業員の生産性を可能な限り高めることができるのです。

2.4. 簡便な運用管理機能を充実

Citrix DaaS with AVDでは、UXが快適なだけではなく、運用管理も快適に行うことができます。

たとえば下記の機能を備えています。

  • 業務移管前にスケジュールされたテストを行うためのプルーブ (プローブ)機能
  • マスターイメージ管理を容易かつ迅速にイメージを展開、更新、ロールバック、およびバックアップする機能

さらに、スケジュールベースでの電源管理はもちろん、負荷に応じて電源をオン・オフする機能 も有しています。
従量制課金の仮想デスクトップでは、コストダウンの鍵は電源管理と言っても過言ではありませんので、充実した電源管理機能があるのはどの企業様にとってもうれしいポイントですよね!

2.5. Provisioning Service(PVS)をAzureでも可能に

Citrix PVSとは、Citrix管理者にはおなじみかと思いますが、OSのイメージをオンデマンドでサーバーやクライアント、仮想環境へストリーム配信する機能です。

従来はオンプレミスのみの提供だったためAzureで利用することができませんでしたが、このたびAzureでも利用可能になりました!
「運用方法を変えたくない」「PVSを引き続き利用したい」というユーザーにとって、とてもメリットのある発表ですね。

PVS
PVSの特長は、ストレージ容量を削減しながら、非常に高速に大量の仮想マシンをデプロイすることが可能な点です。
(CitrixサーバーのOSドライブの情報をvDiskというVHD形式(ストレージの記憶領域を先頭から丸ごと写し取った構成)のファイルとしてProvisioning Server(またはストレージ)に格納し、複数のターゲットデバイスが1つのvDiskを共有してOSを起動できるため)

さらに、1つのマスターイメージを複数のデバイスで共有することから、アプリケーションのインストールやメンテナンス作業が1台分だけで済むことや、
メンテナンス失敗時にメンテナンス前のイメージに戻したい場合にも、vDiskをロールバックするだけ、という簡単さ、
インターネット接続環境がマルウェアに侵入された場合でも、感染検知後に再起動するだけで感染前のイメージに戻せるセキュアさも大きな特徴です。

2.6. Image Portability機能で移行も簡単に

新機能のImage Portabilityで、オンプレミスからクラウドへの移行も簡単になりました。
これはオンプレミスの既存Citrix環境のイメージをパブリッククラウド用に変換してインポートする機能です。

部署や役職によってイメージを作成している企業も少なくないと思います。
この新機能を利用することで移行時のイメージ再作性の手間が省け、よりシンプルにクラウド化できるようになりますね。

2.7. そもそもAzureは安全・安心なのか?

いくらCitrixのソリューションがセキュアだとしても、基盤であるAzureがぜい弱であれば安心してインターネット分離環境を構築することはできません。
中にはクラウドにデータを預けて大丈夫かと不安に思う方もおられるかもしれませんね。

そんな方にも、Azure自体は極めて安全・安心だと胸を張って言えます。

 

クラウドの信頼性

クラウドの信頼性向上は、インフラ、プロセス、原則遵守の3つの観点で考える必要がありますが、Azureはそれらの点では万全と言えます。
その結果として、仮想マシン単体で99.9%の可用性 をSLAとしています。しかも、これはあくまで契約上の値で、実績では2021年4月までの12カ月間で99.997%を達成しています。これはメンテナンスの工夫が不必要なレベルの可用性なのです!

この可用性の高さは、安定運用を目的にAIOps(機械学習による障害予測)など運用プロセスに最新技術を取り入れたことによる成果です。

また、マイクロソフトでは、サイバーセキュリティ対策のために3,500人以上の専門要員を配置し、年間10億円以上の投資をしています。
マイクロソフトのような世界レベルでも大きなIT企業に対しては、世界中から悪意ある攻撃が集中します。昨年ブロックしたマルウェアの数は96億件、悪意のある電子メール数は357億件を超えました。この部分だけ聞くと、「やはり危険ではないか」という意見もありそうですが、大量の攻撃をいったん受け止めることで、そのシグナルを解析し、セキュリティ向上に役立てることができているのです。
その結果、ガートナーのマジック・クアドラントでは5つのセキュリティ分野でリーダー企業と認定されました。

各企業がこれと同じ投資、体制でセキュリティ運用を行うことは難しいですよね。
Azureは、マイクロソフトのような世界的なセキュリティ・リーダーが運営しているパブリッククラウドであり、極めて安全な環境だと考えてよいでしょう。

それでもやはり、クラウド上にアプリケーションのデータを置くことは避けたい、とお考えの方もいらっしゃるでしょう。
このように、クラウドのメリットは理解しているけれどクラウド化はあきらめざるを得なかった方にぜひ注目いただきたいのが「AVD for Azure Stack HCI」です。

AVD for Azure Stack HCI
これを利用すると、通常Azure上に作成されるVDI環境をオンプレミス上に作成できます。つまり、アプリケーションやユーザーのデータをオンプレに保持することができるようになるのです。
※もちろん、Citrix DaaSに対応しています。

通常Windows Admin Centerからの管理となるAzure Stack HCIですが、Azure Portalからオンプレミス上に仮想マシンを作成し、オンプレミスの仮想化基盤を管理できる機能も発表されています。実質上仮想マシンの構築先をパブリッククラウドにするのか、オンプレミスにするのかという議論が不要になる、ということです。

2022年7月現時点ではプレビュー段階ですので詳細の情報をお伝え出来かねますが、今後検証を行って使い心地や管理イメージなどをお伝えできればと考えております。
知りたい情報がある方はぜひお声がけください!
お問合せフォームはこちら>

3. Citrix DaaS with AVDの導入事例

機能や安全性の面で実現性があることは理解したが、「Citrix DaaSで成功している企業はいるの?」「実際にはどのように構成する?管理コンポーネントがどうなる?」と疑問を感じている方も多くいらっしゃるかと思いますので、ここからは、導入事例やユースケースをご紹介していきます。

3.1. 1,000ユーザーが同時接続する大規模構成

Citrix DaaSの構成例

1つ目は、約1,000ユーザーが同時接続する大規模な仮想デスクトップ環境によるインターネット分離の事例です。従来は全てオンプレミス上に構築していましたが、ハードウェアのリプレイスをきっかけとして、クラウドを利用する構成に移行しました。

管理サーバーはCitrix Cloudで提供しているCitrix DaaSに移行し、ユーザー環境(仮想ブラウザ用マシンおよびユーザー認証基盤)はAzureに移行しました。Azure側では耐障害性を考慮して、管理コンポーネントと仮想マシン環境はそれぞれ異なる可用性ゾーンに分離しています。またオンプレミスとAzureの間はExpress Routeで接続し、帯域および安全性を確保しました。マスターイメージの複製には、特別な構成を必要とせず簡単にマスターマシンから複製ができるMCS(Machine Creation Service)によるクローニング を採用しました。

業務用端末のユーザーは、社内環境へはローカル接続で利用することができますが、ローカルのブラウザ経由でインターネットアクセスすることはできないようにしているので、必ず仮想ブラウザ用マシン経由でインターネットにアクセスすることになります。このためマルウェアに侵入されても、仮想ブラウザ用マシンまでであり、仮想ブラウザ用マシンをリブートすればマルウェアも駆除されます。

非常に安全かつ利便性が高いインターネット分離環境をクラウド上で実現できたと評価できる事例です。

3.2. 金融機関での事例

2つ目は、インターネット分離のニーズが高い金融機関での事例です。
Citrix DaaSの構成例(NE)
こちらのお客様ではオンプレミス上でインターネット分離を実現していましたが、大きく3つの課題がありました。1つ目は、既存環境の仕組み上の問題解決です。具体的には、パフォーマンスの低下、一部アプリケーションでの不具合、最新セキュリティリスクへの不安がありました。2つ目は、メールセキュリティの強化で、添付ファイルの無害化とメール送付の承認フローを実現したいとのことでした。3つ目は、保守体制のシンプル化で、マルチベンダーでトラブルシューティングに時間がかかっていました。

1つ目の課題に対しては、Citrix DaaS with AVDの導入が解決策となりました。パフォーマンスについては、HDXプロトコルによる通信速度の向上、適切なサイジングによる平常時のパフォーマンス向上、ハイパフォーマンスストレージの採用によるログオンストームの解消等が改善につながりました。また画面転送方式に切り替わったことで、一部アプリケーションの不具合も同時に解消しました。さらに最新セキュリティリスクは、オンプレミスを含むあらゆるシステムのログをAzure上に集約することで対応可能となりました。

2つ目の課題については、Azureと連携できるサードパーティー製のメールセキュリティ製品の採用で解決しました。これは連携できるサードパーティー製品が多いというAzureの特長が功を奏したことになります。

3つ目の課題については、Citrix DaaS with AVDの採用による日商エレクトロニクスの保守サービス契約で解決しました。これまでは、基盤、サーバー、VDI環境をそれぞれ別のベンダーと保守契約していたのですが、日商エレクトロニクスの保守サービスはこれらを一括でサポートする契約になります。
日商エレのクラウドサポートはこちら>

3.3. セキュアな大規模VDI環境をAzureで実現

最後に私たち日商エレクトロニクスの事例を紹介します。
これはインターネット分離の事例でもCitrix DaaS with AVDの事例でもないのですが、Azure上で基盤ごとセキュアにできることを示す事例となっています。
セキュアなAVD

ポイントは、全社で利用していたオンプレミスのVDIをDaaSに一気に完全移行したということです。その際には、AzureとMicrosoft 365(E5 Security)のセキュリティサービスを駆使することでセキュアな環境を実現しました。具体的には、ふるまい検知によるインシデント発生前の異常検知や、ログ収集の仕組みによるあらゆるマルウェア対策を実装しています。1,000ユーザー以上のVDI環境になりますが、これまでのところ大きな問題は発生していません。

Azure上のDaaSで柔軟にセキュリティをカスタマイズできる好例として、手前味噌ですが胸を張って紹介できるものとなっています。こちらの記事も是非ご参照ください。

4. まとめ:クラウドのメリットは簡単に試せること

インターネット分離においてはセキュリティ重視だからこそ、安全・安心なAzureを基盤として検討していただきたい、またクラウドVDIの基盤だからこそWindowsを有するマイクロソフト(Windowsユーザーに対しては様々な特典があるがゆえ)のAzureを検討していただきたいと考えます。

クラウドには簡単に試してみることができるというメリットがあります。是非「トライ・ファースト」の精神でいろいろと試してみてください。
その際にはAzureもCitrixも多数の実績があり、それらに基づく豊富な知見を持つ日商エレクトロニクスにお声がけいただければ幸いです。

弊社では、インターネット分離全体をクラウド移行するご支援を行っております。

  • インターネット分離環境のクラウド化を検討したいがポイントがわからない
  • クラウドの知識が無いから難しい


インターネット分離Azureで実現するインターネット分離

 

今後も皆様にお役立ていただける情報をご提供したく思いますので、引き続きどうぞよろしくお願いいたします。(ブログのネタもお待ちしております!)

この記事を書いた人

Azure導入支援デスク 編集部
Azure導入支援デスク 編集部
こんにちは!日商エレクトロニクスでは、Microsoft Azure活用に関する有益な情報を皆様にお届けしていきます。Azure移行、データ活用、セキュリティなどに関するお困りごとや、Microsoft Azureに関する疑問点などお気軽にご相談ください。

ブログにしてほしいネタなどのリクエストもお待ちしております。