Microsoft VDIとAzure機能をフル活用「ゼロトラスト セキュリティ」を実現

Azure Virtual Desktop Microsoft 365 E5

(左より)

日商エレクトロニクス株式会社
コーポレート本部 経営企画部

情報企画課 課長   丸山 伸之 氏
情報企画課 課長補佐 鈴木 高志 氏

Azure Virtual Desktop導入効果
Microsoft 365 E5導入効果
Azure Virtual Desktop導入効果

企業名:日商エレクトロニクス株式会社
東京都千代田区に本社を置く総合商社双日グループのICT中核企業。
国内外の最新ソリューションによるネットワーク・ITインフラ構築、システム開発、運用・保守などのサービス提供、およびデジタルトランスフォーメーション支援に取り組んでおり、“Your Best Partner”として、幅広い分野の製品、ソリューションを提供している。
設立:1969年2月24日
資本金:143億3,687万5,000円
売上高:2021年3月期 39,797百万円(連結) 37,299百万円(個別)
従業員数:(連結)996名 (個別)797名 (2021年3月31日現在)

テレワークの増加に備えてVDI /セキュリティ全体を見直したい

コロナウイルス感染症の拡大に伴い、日商エレクトロニクスでは従来のVDI環境に対するセキュリティ強化が急務であった。「テレワークを実施する社員も増えている中、社員が安心して仕事ができるよう万全なセキュリティ対策を施す必要があると判断しました」と情報企画課 課長の丸山氏は振り返る。そこへマイクロソフト関連事業への注力戦略と関連して、社内アプリケーション環境をMicrosoft 365に統一化する検討も進んでいた。その中で以前から検討項目に挙がっていたAzure Virtual Desktop (以下、AVD)が、同社の求めていたVDI環境における3つの要件に適うと判明し、導入することを決定した。

3つの要件とは、以下の通りである。

① セキュリティ要件として、認証されているPCのみで利用可能かつ2要素認証が可能であること
② オンプレミスVDIと同等、あるいはそれ以上のユーザビリティがあること
③ 従来と比べてコスト削減が可能であること

AVD導入後のセキュリティ環境は、下図の通りとした。

ポイントは、AzureサービスのAzure Security CenterとMicrosoft Sentinelによりシステム全体の統合セキュリティ管理およびログ統合と可視化を実現すること。さらにIntune、Azure Active Directory、Windows Defender for Endpointによる端末側とVDI入口のセキュリティ管理を実現。以前までは、マルウエアなどの脅威を侵入させないという入口対策に注力していたが、これで大幅にセキュリティが強化されると見込んだ。脅威の侵入を前提とした「ゼロトラスト セキュリティ」へと舵を切ったのだ。

コメント:
今まで見えなかったことが見えるようになり、予防的な対策も的確に取れるようになりました

検証・導入は2週間で完了、切り替えは一気に

2021年3月にAVD+ Microsoft 365 E5 Securityの検証を開始した。

検証作業はすでに導入実績が豊富にありAVDに熟知している同社のマイクロソフト事業部が担当した。オンプレミスで稼働していたアプリケーションの動作検証に1週間、業務システムの設定および動作検証にもう1週間、トータル2週間で完了。情報企画課は並行して、要件にあったユーザビリティに関して、操作性とアプリケーションの動作を確認している。

その際、プロジェクトに携ったエンタープライズ事業本部 マイクロソフト事業部 部長の近藤氏は、2週間の検証・導入作業を「クラウドは、使用していない間も起動しているとその分のコストがかかります。未使用時は随時シャットダウンする設計にしました。苦労したことは、ユーザビリティを向上させつつ、パフォーマンス向上とコストダウンとセキュリティ向上の3つを並立させることでした」と振り返る。
このように社内の専門家のナレッジを活用できることが同社の強みであり、スピーディーに導入することができた理由の1つである。

コメント:
検知から、確認、把握、対策といった一連の対応にかかる時間が著しく短縮しました

Microsoft 365 E5 Securityで不正アクセスにも即対応、漏れのないセキュリティ対策

多様なログの採取/分析で脅威に対応

以前は各システムにてログは取っていたが、データがバラバラに保管されており容易に分析できる状態ではなかった。今回、はるかに多様なログが採取/分析できるようになったことが大きなポイントだ。

具体的にはAzure Sentinel/Azure Security Centerを活用し、ログイン監視、ログイン後の端末の操作、ログインした場所・地域、Webのアクセスログなどがわかるようになった。物理端末だけではなく仮想端末側(AVD)も把握・検知可能になり、不審なファイルがダウンロードされるとすぐにアラートが発信されるようになる。これにより、ランサムウエアを含むあらゆるマルウエア対策が以前よりも向上した。

<イメージ図>

SecurityCenter

利用できる端末を制限し、情報保護

VDI要件にもあった「認証されているPCのみで利用可能、かつ2要素認証が可能であること」に関しては、まず端末側にIntune(端末管理)を導入。これにより、会社が許可しないPCからの接続は不可能となった。またWindows Defender for Endpoint(振る舞い検知)を端末側とAVDに導入することで、ランサムウエアなどが発生した際でも即座に検知でききるようになった。入口対策としてはAzure Active Directoryによる二要素認証を導入するのみならず、IDセキュリティ機能によって異常なアクセスを検知できるようにした。

なおこれらのセキュリティ機能は、Microsoft 365 E5 Securityライセンスの利用を前提としている。同社では、すでにMicrosoft 365 E3を全社導入していたので、セキュリティ機能を補完するために追加購入した。その分のライセンス費用は高くなるが、多様なログの採取・分析にはAzure SentinelとSecurity Center、端末管理にはIntune、未知の脅威の即時検知にはWindows Defender for Endpoint、認証強化にはAzure Active Directoryと、漏れのないセキュリティ対策を一つのコンソールで一元的に管理、運用を大幅に簡素化できる点に大きなメリットを感じたという。そして、機会損失コストも含め算出し照らし合わせた結果、トータル費用としては高くはないという判断を下した。
このように、日商エレクトロニクスではMicrosoft 365 E5 Securityの導入により、高度なセキュリティを簡易に獲得、コストを上回る安心感を得ることができた。
そうはいっても、ただ単に導入しただけで安心というわけではない。導入当初から、監視・レスポンス対応の強化が必須だと認識していたため、SOC運用の導入やCSIRTとの連携強化を実行、安全な業務基盤を維持できるよう体制を整備している。

AVDはすぐにリソースを増やせることが最大のメリット、想定外の事態にも迅速に対応

AVDの最大のメリットはすぐにリソースが増やせることだ。

同じことをオンプレミスで実現しようと思うと、時間もコストも比較にならないほどかかるが、AVDなら1日~3日で完了する。コロナ禍のような想定外の事態が発生して、テレワークのためのVDIを急遽増やさないといけないことになってもすぐに対応できる。

また、従来の環境だとリソースがひっ迫するなどの理由でVDI環境の動作が遅くなった場合、リソース増強は容易ではなく社員からのクレームも少なくなかった。現在のAVD環境は、Windows 10 マルチセッションを利用しているが、動作が遅いなどのクレームはほぼない。仮に、リソースがひっ迫したとしてもクラウドなので増強するのは数クリックで可能だ。

また、セキュリティ強化の一環として、アプリケーションのインストールをユーザーにはできないようにしている。

運用管理のストレスが少なく、コストメリットも実感

リソース追加のための検討工数やセキュリティ脅威発生時の特定工数などが削減できており、かなりの人件費が削減できていると実感している。定性的な効果としては、運用管理担当者のストレスが大いに軽減していることが上げられる。
また、コストの削減に関してはWindows 10 マルチセッションでユーザー展開、利用しない際は電源を落とすなど工夫をすることで対応している。

AVD+Microsoft 365 E5 Securityでサービスレベルは向上、セキュリティの予防策も取れるように

導入後は、ユーザーからのVDI利用におけるヘルプデスクへの問い合わせは削減し、むしろAVD接続後は以前より動作が速くなって快適だという声が多い。ネットワークが速くなったこと、サーバーのスペックが高くなったことなどが理由と考えられる。

セキュリティに関しては、管理側がログ分析・アラートなどで事前に把握できるようになった結果「今まで見えなかったことが見えるようになり、予防的な対策も的確に取れるようになりました」と丸山氏は評価する。例えば、「このウイルスはディスクから削除すれば問題ない」などといった対策情報を、タイムリーかつ充実した内容で発信できるようになった。

セキュリティ対策に終わりはない。「我々管理側のチェック項目に不足がないかを常に確認し、不足があれば課内会議で共有、チェック項目のブラッシュアップを図っています。この積み重ねで、セキュリティを万全に近づけていきます。こうした確認が可能になったのも、Azureの機能をフル活用できているおかげです」と鈴木氏は強調する。

クライアントPCの管理とセキュリティの悩みの両方を一気に解決したいユーザーは、AVDおよびMicrosoft 365 E5 Securityへの移行を、ぜひ検討してみたらいかがだろうか。

記載内容は2021年6月 現在のものです

Azure Virtual Desktop 概要資料をご提供中

Azure Virtual Desktopをご紹介。
無償でダウンロードできます。

ダウンロードする

オンプレVDIからのリプレイスご検討中の方へ

オンプレVDIと比較した際のDaaSについて、パフォーマンスからコスト、機能差まで解説してます。

ダウンロードする