新型コロナウイルス感染症拡大防止のために発令されている緊急事態宣言ですが、大阪、愛知など6都府県については28日に解除され、東京、神奈川、埼玉、千葉の首都圏4都県も期限である3月7日が迫っています。
首都圏については、延長が決まりましたが、コロナ感染者数も着実に減少しており、ようやく収束の兆しが見え始めています。
緊急事態宣言解除をもってテレワークを終了する企業も多いようで、ネット上には「もう通勤なんてできない」「朝起きられない」「テレワークを機に移住してしまった」など、テレワーク終了を惜しむ声で溢れています。
一方、「ニューノーマル※」という流行りの言葉を用いて、テレワークを継続する企業も多いようです。
※社会に大きな変化が起こり、変化が起こる以前とは同じ姿に戻ることができず、新たな常識が定着すること
実際、テレワークを促進するためのIT投資を行い、コロナ収束後もそれら整えた環境を活用してテレワークを継続することを明言している企業も多いようです。
では、そのテレワーク環境とはどんなものがあるでしょうか。まず挙げられるのは、「デスクトップ仮想化」です。
オフィスのみではなく、自宅やカフェなど、場所をとわずPCを使用して仕事する時代。そんな中、業務で使うPCに対して、何の対策もせず、社員に倫理を説いてまかせているだけでは話になりません。
PCの盗難や紛失が起きれば、PCに保存されている機密情報が漏れ、取り返しのつかない重大なセキュリティ事故となってしまいます。中には故意にUSBメモリーなどで機密データを抜き取ってしまう人もいるかもしれません。デスクトップ仮想化はそれらの問題を防ぐことができる技術であり、テレワークを行う上でははずせないものです。
そのデスクトップ仮想化ですが、仕組みの違いによりいくつかの種類があります。今回は、そのデスクトップ仮想化についてどのような種類があり、それぞれ何が違うのかを考えていきます。
デスクトップ仮想化とは
デスクトップ仮想化(Virtual Desktop Infrastructure:VDI)とは、サーバ上にあるデスクトップ環境を遠隔地にあるクライアント端末に転送して利用する形態のことです。利用者はクライアントPCからネットワーク経由で仮想マシンに接続して、デスクトップ画面を呼び出した上で操作します。
シンクライアントとは
デスクトップ仮想化について詳しくて見ていく前に、ここでもうひとつ「シンクライアント」という用語についても考えていきます。
シンクライアントを英語で書くと「Thin client」となります。Thinとは「薄い」とか「少ない」という意味で、clientは「顧客」などの意味がありますが、この場合は、サーバーにアクセスする機器のことです。
その言葉どおり、シンクライアントとは、クライアント端末では最小限の処理のみを行い、ほとんどの処理をサーバ側で行うシステム構成のことを言います。(そのような最小構成のクライアント端末をシンクライアントと呼ぶ場合もあります。)
なぜ今、シンクライアントが注目されるのか
例えば、社員の誰かが顧客の個人情報を含んだノートパソコンを紛失してしまったら。
企業がどんなに情報漏洩対策をして、社員へのセキュリティ教育を図っていたとしても、もう、おしまいです。
ノートパソコンにパスワードを設定していたとしても、時間をかければ解除できます。ハードディスクの暗号化をしていなければ、ハードディスクを取り出して、直接データを抜き出すことは簡単です。
ひとりの社員の何気ないミスが、企業への懸念や不満を湧き上げ、顧客からの信用を失ってしまうだけでなく、会社の収益も大きく下げてしまうことにつながりかねません。一度失った信頼というものは取り戻すのは非常に困難であり、会社の経営自体が揺らぐ事態に発展することも十分にありえます。
ただそうは言っても、テレワークが推進されるこの時代、会社のパソコンを社外へ持ち出すことは仕方がなく、喫茶店や電車の網棚への置き忘れ、路上荒らしによる盗難などなど、パソコン紛失のリスクはあらゆる面でつきまといます。
そして、そのリスク対策となるが「シンクライアント」、というわけです。
そもそも、そんな大事なデータを社外へ持ち出すパソコンの中に入れておくことがナンセンスです。であれば、社外に持ち出すパソコンにデータを持たせず、サーバー上に格納しておく、パソコンにはサーバーに接続するための最低限の機能のみを搭載する。
そうしておけば、例えばパソコンを紛失しても、機密情報漏えいやデータの破壊/改ざんなどの被害を最小限に留めることができます。
シンクライアントの歴史は古く、大企業などはもうかなり前から取り入れています。ただ、シンクライアント導入には、一般的に相応の技術力と資金力が必要とされ、中堅・中小企業には向かない(限界がある)とも言われてきました。
ただ、このコロナ禍で、国や地方自治体の助成金を活用するなどし、中小企業においてもシンクライアントの導入が進んでいるようです。
シンクライアントの種類
デスクトップ仮想化(VDI)とシンクライアントの違いって何ですか?
シンクライアントを実現させるための方法としていくつかの種類があります。デスクトップ仮想化(VDI)は、その実現方法の1つです。
上図のようにシンクライアントには、大きく分けて「ネットワークブート型」と「画面転送型」の2種類があります。
ネットワークブート型は、サーバー上にあるイメージファイルをネットワークを介してロードし、OSやアプリケーションをクライアント端末でブート(起動)する方法です。この方法ですが、クライアント端末側で作成したデータファイルは、ネットワークを介してクライアントからサーバーに伝送されるので、セキュリティ上好ましくなく、現在はあまり使われていません。
現在、よく使われているのが画面転送型で、その中でもデスクトップ仮想化方式が主流と言えます。
画面転送型って何?
デスクトップ仮想化(VDI)は画面転送型という分類のひとつだということはわかりました。ただ、そもそも画面転送型って何ですか?
クライアント端末側では、マウスやキーボードの操作と画面表示だけを行い、それ以外の処理はすべてサーバー上で行うのが画面転送型です。
クライアント端末で行うのは、サーバー上で処理された画面表示とキーボードなどからの操作指示のみ、いわゆる「入出力」のみとなるのが特徴です。クライアントとサーバー間でファイルを転送することもありません。繰り替えにしなりますが、転送されるのはあくまで画面だけというのがポイントです。
前述のとおり、画面転送型は次の3つの方式があります。
ターミナルサーバー方式
1台のサーバー上にひとつのWindows Serverを稼働し、その上で複数のクライアント向けアプリケーションを稼働する方式です。Windows Serverの標準機能であるTerminal ServicesやCitrixのXenAppなどにより実現されます。
上図のように、複数のデスクトップ環境間でサーバーを共用できるため、ハードウェア資源を有効利用でき、コストパフォーマンスに優れています。ただその反面、アクセスが集中した場合や特定の誰かが負荷の高い処理を行うと、共用しているユーザー全体にレスポンス遅延などの影響が及んでしまうというデメリットがあります。
ブレードPC方式
ブレードPCとは通常のブレードサーバーのようにブレードの1枚が独立したクライアントPCとして機能する製品のことを指します。ブレードPCは、小型であり、スペースをあまり取りません。ブレードPCを全ユーザーの台数分サーバールームなどに用意し、各ユーザーがクライアント端末から1対1で利用するのが「ブレードPC方式」です。
上図のように、遠隔から自分専用のPCを操作しているというイメージにピッタリ当てはまります。
1台をひとりが独占して使用することになるため、ターミナルサーバー方式のように他のユーザーからの影響を受けることはありません。そのため、高性能なスペックが要求される処理や、金融取引などの特に信頼性が求められるケースでの利用に適しています。その反面、ハードウェア資源を複数人で共用できないので、コストパフォーマンスは悪いです。
デスクトップ仮想化(VDI)方式
デスクトップ仮想化(VDI)方式は、サーバー上でハイパーバイザーにより複数の仮想マシンを稼働し、そのそれぞれでOSとデスクトップ環境を稼働する方法です。仮想PC方式などとも呼ばれます。VMwareのVMware View(旧名称:VMware VDI)やCitrixのXenDesktopなどの製品があります。
仮想とはいえ独立した環境がユーザーごとに用意されるために、ターミナルサーバー方式のようにアクセス集中や動作不良の影響が全ユーザーに及ぶことが少なく、各マシン(ユーザー)に影響が限定されるというのがメリットです。また、ターミナルサーバー方式と違い、個々で独立したOSが稼働し、その上でアプリケーションを実行することになるため、アプリケーションの互換性という面でも優れています。(ターミナルサーバー方式の場合は、複数のユーザーでアプリケーションを共用することになるので、この機能は使えないなどの制約を受けることがあります。)
この方式のデメリットとしては、ハイパーバイザーとゲストOSの二重のオーバーヘッドが発生することと、VMware ViewやXenDesktopなど、仮想化のためのアプリケーションのライセンス費用が発生するなどが挙げられます。
前出のブレードPC方式では物理的なマシン(PC)をユーザー数分用意していましたが、デスクトップ仮想化方式では仮想化技術を用いて仮想マシンを用意するだけです。従ってブレードPC方式と比べた場合は、コスト面や管理面で有利になります。
デスクトップ仮想化(VDI)方式がなぜ主流?
シンクライアントの実現方法はいろいろあって、その中でデスクトップ仮想化方式がよく使われているのはわかりました。でもなぜデスクトップ仮想型方式なのですか?
まず、画面転送型が選ばれる理由ですが、これはデータの格納場所がサーバー上になることが挙げられます。データはすべてサーバー上にあり、クライアントパソコンにダウンロードすることは一切ないため、例え、持ち出したクライアントパソコンを紛失しても、データは守られます。また、サーバ上で集中管理することから各種ソフトウェアの追加や更新などのメンテナンスが容易になるメリットもあります。
そして、コストパフォーマンスが優れているのは、ターミナルサーバー方式かデスクトップ仮想化(VDI)方式になります。なぜなら、ハードウェア資源を各ユーザーで共用できるため、資源を無駄なく有効利用することができるからです。ブレードPC方式では、各ユーザーひとりずつサーバーを割り当てることになりますが、使わない時間帯は、その資源を活用できません。
ターミナルサーバー方式は、前述のとおり、アプリケーションの制約を受けることがあります。例えば、Teams、Egeの新技術に対応できておらず、あの機能が使えないなど、利便性にかけるところがあります。
デスクトップ仮想化方式では、ユーザーごとにOSが起動することになるため、アプリケーションの制約を受けることなく、実質、従来のパソコンと同じことができます。
コストパフォーマンスと利便性の面から総合的にデスクトップ仮想化方式が選ばれるというわけです。ただ、各方式には一長一短があり、どれも万能ではないため、各社ごとに最適な方式は異なります。結局、自社の状況に合わせて適切な方式を選ぶしかありません。
まとめ
どのパソコンからでも自分用のデスクトップ環境を呼び出して利用できるので、テレワークを実現しやすくなり、今再び注目を集めているデスクトップ仮想化。
私の職場でも、コロナが広がり、テレワークが推進される前までは、ターミナルサーバー方式を使っていました。ただ、テレワークが始まると、みんなが一斉に使うので、日中は重たくて仕事にならなくなりました。ALT+TABでウインドウを切り替えるのにも、レスポンスに数秒かかり、イライラが積もるばかり。
当然、それはみんな同じだったので、サーバー増強及び、デスクトップ仮想化方式へ切り替えることになりました。
他の会社の人に聞くと、データ揮発型パソコンという、シャットダウン時にデータがすべて削除されるパソコンを使い、データはすべてOneDriveに保存するようにしているそうです。上記以外にも様々な方式があるようで、他社はどうしているか探りを入れると結構おもしろくて、参考になります。