2020年は、新型コロナウイルス感染症(COVID-19)の影響で多くの組織でテレワークや在宅勤務が活用されるようになりました。9月になっても収束の気配はなく、継続的なテレワークや在宅勤務の活用を行う組織も増えています。
一方で、社内の体制や制度の整備が追いつかず、未だテレワークが実施できていない、なんて悩みのある組織もまだまだ多いのではないでしょうか。
そこで、今回のブログでは、まだ十分なテレワーク環境が実現できていない組織の方向けに今からでも実現可能なセキュアで安全なテレワークの手法として、リモートデスクトップゲートウェイについてまとめていきたいと思います。
安心で安全なテレワークのために必要な対策とは?
リモートデスクトップゲートウェイについて紹介する前に、そもそも安心で安全なテレワークを実現するために必要な対策とは何か、ということについてまとめてみましょう。
テレワークや在宅勤務の増加や、DX推進に伴うクラウドサービスの利用促進が行われる中で、既にテレワークを十分に実施している組織を中心に従来までのデータセンター中心のネットワーク構成から、クラウドを中心とするネットワーク構成への移行、つまりSASEフレームワークが注目され、少しずつ移行が進められています。(SASEについては別ブログ「テレワークにこそSecure Access Service Edge (SASE)を!今話題のSASEとは」を参照ください。)
しかし、SASEを実現するためには、データセンターや本社に今あるネットワーク機器や、セキュリティ対策機器、社内システムといったIT設備の見直しとクラウドへの移行を行う必要があります。最終的にはSASEを実現するようなネットワーク構成に変えていくことを目指していくとしても、取り急ぎテレワークを実現、改善したい組織がすぐに取り組む対応としてはハードルが高すぎるのではないでしょうか。長期的な戦略として、SASEを実現するための計画を検討するところから始めるのが望ましいでしょう。
一方で、テレワークの実施や改善は短期的な課題であり、すぐに実行可能で安心安全なテレワークの実現方法を考える必要があります。いずれはクラウド中心のネットワークに変えて行くことを見越した、今ある設備を活用する形での最小限の設備投資で、迅速にテレワークを実施できるようにすることが望ましいでしょう。
その有効な方法の一つとして、リモートデスクトップゲートウェイがあります。
Array AGで実現するリモートデスクトップゲートウェイ
弊社では、セキュアアクセスゲートウェイ製品として、Array社のArray AGの取り扱いがありますので、こちらについて紹介しましょう。
Array AGシリーズはVPN接続製品で、アプライアンス版と仮想版があります。L3、L4、L7の各レイヤーでのVPN接続機能、リモートデスクトップ接続機能、アクセス制御機能を提供します。
多くのFW/UTM製品が備えているIPsecやSSL-VPNといった機能はもちろん、ブラウザベースのL7 VPN機能も利用可能です。L7 VPNを利用すれば、クライアント側はブラウザさえあればVPN接続を行うことができます。ソフトウェアの導入や複雑なネットワーク設定などは必要ありません。また、L7 VPNを通じてアクセスできるのは社内のWebシステムだけではなく、共有ファイルサーバに対してもアクセスが可能です。この際には利用者毎にアクセスできる対象や操作制限など細かなアクセス権限の管理が可能です。
Array AGシリーズには特徴的な独自のリモートデスクトップゲートウェイ機能DesktopDirectがあります。
持ち出し端末やBYODなどの外部のリモート端末から社内に設置された業務端末へのリモートデスクトップ接続を行う際に、このDesktopDirectを利用します。
リモート端末では、専用のリモートデスクトップツールやアプリを使うことなく、WebブラウザからArray AGのUIを介したリモートデスクトップ接続が可能です。Array側でユーザー管理を行うため、ユーザーごとにアクセス可能な業務端末の制御や管理を行うことができます。
リモートデスクトップ接続は、社内の業務端末PCを外部のリモート端末から遠隔操作する形なので、ファイル操作やデータ操作の実態は業務端末PC内、つまり社内環境の中で行われます。リモート端末と業務端末の間でのコピーやデータ移動を制限設定してしまえば、社内ネットワークで業務をしているのと全く同等のセキュリティを保って遠隔からテレワークを行うことができます。
また、Array AGではリモート端末と業務端末がネットワーク的に直接接続されない形で動作するため、感染リスクや情報漏洩リスクを軽減することができます。
一般的なVPN接続ではなく、Arrayを活用するメリットは?
一般的なテレワークを実現する方法として、既存のFW/UTM機器に対して、リモート端末から専用のVPNクライアントを活用したVPN接続で実現する、ということももちろん可能です。
では、安全で安心なテレワークを実現する方法として、なぜArray AGによるリモートデスクトップゲートウェイを利用するのが良いのでしょうか。
今回その利点を2つ紹介したいと思います。
1つ目は、一般的なVPN接続におけるセキュリティリスクを回避できる点です。
多くの組織でリモート端末から既存のFW/UTM機器へのVPN接続が活用されています。この方式では、外部ネットワーク環境に晒されているリモート端末がもしマルウェアに感染した場合、VPN接続を通じて社内ネットワークへの横感染が発生するリスクを伴います。それだけではなく、リモート端末上にファイルやデータを持つので情報漏洩のリスクも大きくなります。
いずれもしっかりとしたアクセス管理や、資産管理、エンドポイントセキュリティ製品を導入することでリスクを最小限にすることは可能ですが、日々の運用に加え、定期的な管理状況やポリシーの見直しが必要となるなど、運用は容易ではありません。
Array AGのDesktopDirectでは、リモート端末から内部の業務端末に対してリモートデスクトップ接続を操作、管理することができます。日々の業務端末を社外ネットワークに持ち出す必要はなく、既存のセキュリティ設備で保護されます。また、リモート端末には情報が全く保持されないため、情報漏洩のリスクを最小限にすることができます。さらに、リモート端末と業務端末は直接通信をしないので、横感染のリスクもありません。
とは言え、業務端末を社外に持ち出し、VPN接続が必要な場合もあるでしょう。
その場合には、L7 VPN機能を活用すれば、ユーザーは簡単に操作が可能です。管理者はシステムや情報へのアクセスを必要に応じて制限、管理することができます。またリモートからのアクセス情報ログも保持されます。
2つ目に、BYODを活用できる点です。
日々の業務でノートPCを利用している場合には、上述のようなリスクはあるもののVPN接続でのテレワークの実現は容易です。しかし、デスクトップ端末を利用しているような場合には、同じようにはいきません。
しかし、新たな端末を購入しようにも端末の手配が間に合わない、デスクトップPCとノートPCの両方揃えるのはコストや新たなセキュリティ対策など、ユーザーにも管理者にも大きな負担、なんてこともあるかと思います。
その場合にBYODを安心して活用できるのもArray AGのDesktopDirectサービスの大きな強みです。
一般的なVPN接続で、BYODから業務端末へのリモートデスクトップ接続を行うことはBYODが許可されていない組織では難しいでしょう。なぜなら、これを許可することでBYODが社内ネットワークにつながるためです。
しかし、Array AGのDesktopDirectを利用したリモートデスクトップであれば、BYODからも安心して利用できます。BYODが直接業務端末へのアクセスを行うわけではなく、社内ネットワークへの接続を行っているわけでもありません。Webブラウザでのリモートデスクトップ接続を行うため、利用者は専用のソフトウェアの導入を行う必要もありません。
このように、Array AGを導入し、リモートデスクトップゲートウェイとして活用することで、①資産の有効活用、②強固なセキュリティ、③簡便な使い勝手、を全て満足するセキュアなテレワークを実現することができます。
[SMART_CONTENT]まとめ
今回はテレワークの推進をキーワードに、もっとテレワークを活用したい、セキュリティと利便性を改善したい、組織に向けて、リモートデスクトップゲートウェイによるテレワークの実現について紹介しました。
他にも今後のブログでは、既にテレワークを実施している組織に向けたセキュリティ対策の強化や、長期的なテレワークの実現に向けて必要なことについてまとめていく予定ですので、そちらも期待してお待ちいただければと思います。
本ブログ内に記載のArray Networks社Array AGシリーズは弊社の取扱い製品です。製品紹介ページはこちらを参照ください。
https://products.nvc.co.jp/array/overview#box_ag
テレワークの実現に限らず、こちらの製品にご興味がある方は是非お問い合わせください。
この記事に関するサービスのご紹介