以前、子どもにあるゲームのソフトを買ってくるように頼まれました。発売日当日、都内の大きい電器屋さんを2件回ったのですが、2件とも売り切れていました。もう駄目かな…と半ばあきらめかけて、ヤマダデンキに行ったところ、お目当てのソフトが置いてあったのです。しかも、まだ並べば手に入るくらい数もあったようです。最近、うちの近くにもヤマダデンキができ、進出しているなと感じましたが、その理由が少しわかった気がしました。ヤマダデンキのお客への対応は、業界でも有名なようです。全国展開を実現させその規模拡大はとどまることを知りません。大きな店舗数を活かして、店舗間の連携もきちんと行なわれているため、信頼度も高いのでしょう。ポイントカード制度にも工夫がなされていて、常にお客の心を離さない制度には驚かされますね。電気製品の購買欲をそそるような術は、他の電気店も見習うべきでしょう。ヤマダデンキの魅力はこのあたりにあるのだと思います。
2005年、Bank of America(米国ノースカロライナ州に本社を置く銀行)の幹部が暗号化していないノートPCに顧客情報と社外秘情報を保存していて盗まれたという事件が発生した。その後、犯人によって引き出されたHDDの中身はWikiLeaksのWebサイトに公開され、夜のニュースのトップを飾った。
※関連記事:WikiLeaksに学ぶ、組織内部の人間を信用してはいけない理由
→http://techtarget.itmedia.co.jp/tt/news/1107/01/news03.html
最近ではマサチューセッツ州で、失業者21万人もの情報がコンピュータウイルスのために流出した可能性があるとして、州労働局が謝罪する羽目になった。報道によれば、このウイルスを使った「犯罪ハッカー集団」は、部外秘の求職者情報と雇用主情報を州の1500台のコンピュータから盗み出したとされる。
こうした事例を見聞きするたびに私は、もし仮想デスクトップインフラ(VDI)を使っていれば、こうした問題や数え切れないほどの情報盗難、ウイルス被害は防げただろうかと考える。
●盗まれるのは外殻だけに
真珠漁では海洋軟体生物がすみかとしている貝殻の中から真珠を採る。コンピュータからの情報窃盗も同じようなものだ。盗みのスリルは手始めにすぎない。真の狙いはその中身、つまり情報だ。悪人の手に渡れば会社の評判が傷つき、経営にも響きかねない。
VDIでは端末は単なる外殻と化し、真の宝、つまり会社の情報はデータセンターに保存して、アクセスポリシーをかけられる。
これで仮想デスクトップアクセス端末、すなわちシンクライアント、PC、iPadなどのクライアントハードウェアは、単なる空箱と変わらなくなる。
●VDIでウイルス対策ソフトは不要になるか
仮想デスクトップにはセキュリティが内蔵されているため、ウイルス対策ソフトは不要だというIT管理者もいる。リソースに負荷が掛かる不安から、ウイルス対策ソフトをなくすことは一層望ましく思える。
※関連記事:Windows仮想デスクトップライセンスを賢く導入する3つの方法
→http://techtarget.itmedia.co.jp/tt/news/1107/21/news05.html
しかしVDI環境でもウイルス対策ソフトのメリットは有効だ。イメージ復元とコントロールの一元化は、ウイルスの拡散を食い止めたり減速させたりするための素晴らしい手段だが、最初の感染を防ぐ役にはまったく立たない。データ転送に厳密なポリシーを適用したとしても、ファイル転送の方法は数知れず(電子メールスキャナをかわす電子メールウイルスも存在する)、仮想デスクトップでさえも危険は免れない。
McAfeeとSymantecは最近、VDI環境における両社ソフト運用のインテリジェンス性を高めると発表した。Symantecのホワイトペーパーでは、「Symantec Endpoint Protection(SEP)」バージョン11で仮想デスクトップ環境向けの機能がどう強化されたかを示している。さらに同社は最近のSymantec Vision Conferenceで、SEPバージョン12では、VDI環境におけるクローン化されたイメージの認識、IOPSの90%以上の削減といった機能強化を盛り込むと発表した。
VDIとウイルス対策ソフトの機能強化を組み合わせれば、仮想デスクトップのセキュリティ上のメリットが従来のPCに比べて大幅に高まるのは明らかだ。
※関連記事:PCでのOA環境を「仮想デスクトップ」へ。三菱東京UFJ銀行VDIシステムの全容
→http://techtarget.itmedia.co.jp/tt/news/1007/27/news03.html
●ローカルHDDの暗号化では不十分
もちろん、従来のPCの暗号化で十分だという見方もある。ローカルHDD周辺にセキュリティの「力場」を構築するSymantecの「PGP Whole Disk Encryption(WDE)」など、優れた製品も市販されている。
問題は、端末上のデータを従業員やIT部門が物理的にコントロールできなくなった場合だ。PGP対応のチップセットに組み込まれた「ポイズンピル」を発動するためには、端末を公衆ネットワークに再接続して「毒薬を飲む」コマンドを受信させ、自ら機能を停止させる必要がある。
PGPセキュリティ管理者は、事前に定めた期間ごとにシステムを強制的にセキュリティコントローラーとランデブーさせるポリシーを設定できる。もしランデブーできなかった場合、システムは自滅する。まるでジェームズ・ボンドのスパイ映画のようだが、そこに問題がある。これは現実というより、見せかけに近い。
現実のIT業界に身を置くわれわれなら、ほとんどの企業にとってこの機能がどれほど非現実的かが分かるだろう。例えば車の盗難防止警報が15分間鳴って近所の人が警察を呼び、10分後に警察が来るようなものだ。プロの自動車泥棒なら1分あれば車に侵入してエンジンをかけられる。同様に、手慣れたデータ泥棒なら次のランデブーの前に、ストレージメディアからデータを引き出せる。
もし全てのデータをデータセンターに保存し、仮想デスクトップを通じてそのデータを表示させ、データ取得のポリシーを設定し、データセンターから転送されるデータを監視/コントロール/保護すれば、会社の最も貴重な財産である情報を保全できる。
VDTは全てのデスクトップセキュリティ問題に対する答えとはいえないが、ウイルス対策ソフトと併せ、現代の最も困難なセキュリティ問題に対処するための戦略として検討すべきだ
2005年、Bank of America(米国ノースカロライナ州に本社を置く銀行)の幹部が暗号化していないノートPCに顧客情報と社外秘情報を保存していて盗まれたという事件が発生した。その後、犯人によって引き出されたHDDの中身はWikiLeaksのWebサイトに公開され、夜のニュースのトップを飾った。
※関連記事:WikiLeaksに学ぶ、組織内部の人間を信用してはいけない理由
→http://techtarget.itmedia.co.jp/tt/news/1107/01/news03.html
最近ではマサチューセッツ州で、失業者21万人もの情報がコンピュータウイルスのために流出した可能性があるとして、州労働局が謝罪する羽目になった。報道によれば、このウイルスを使った「犯罪ハッカー集団」は、部外秘の求職者情報と雇用主情報を州の1500台のコンピュータから盗み出したとされる。
こうした事例を見聞きするたびに私は、もし仮想デスクトップインフラ(VDI)を使っていれば、こうした問題や数え切れないほどの情報盗難、ウイルス被害は防げただろうかと考える。
●盗まれるのは外殻だけに
真珠漁では海洋軟体生物がすみかとしている貝殻の中から真珠を採る。コンピュータからの情報窃盗も同じようなものだ。盗みのスリルは手始めにすぎない。真の狙いはその中身、つまり情報だ。悪人の手に渡れば会社の評判が傷つき、経営にも響きかねない。
VDIでは端末は単なる外殻と化し、真の宝、つまり会社の情報はデータセンターに保存して、アクセスポリシーをかけられる。
これで仮想デスクトップアクセス端末、すなわちシンクライアント、PC、iPadなどのクライアントハードウェアは、単なる空箱と変わらなくなる。
●VDIでウイルス対策ソフトは不要になるか
仮想デスクトップにはセキュリティが内蔵されているため、ウイルス対策ソフトは不要だというIT管理者もいる。リソースに負荷が掛かる不安から、ウイルス対策ソフトをなくすことは一層望ましく思える。
※関連記事:Windows仮想デスクトップライセンスを賢く導入する3つの方法
→http://techtarget.itmedia.co.jp/tt/news/1107/21/news05.html
しかしVDI環境でもウイルス対策ソフトのメリットは有効だ。イメージ復元とコントロールの一元化は、ウイルスの拡散を食い止めたり減速させたりするための素晴らしい手段だが、最初の感染を防ぐ役にはまったく立たない。データ転送に厳密なポリシーを適用したとしても、ファイル転送の方法は数知れず(電子メールスキャナをかわす電子メールウイルスも存在する)、仮想デスクトップでさえも危険は免れない。
McAfeeとSymantecは最近、VDI環境における両社ソフト運用のインテリジェンス性を高めると発表した。Symantecのホワイトペーパーでは、「Symantec Endpoint Protection(SEP)」バージョン11で仮想デスクトップ環境向けの機能がどう強化されたかを示している。さらに同社は最近のSymantec Vision Conferenceで、SEPバージョン12では、VDI環境におけるクローン化されたイメージの認識、IOPSの90%以上の削減といった機能強化を盛り込むと発表した。
VDIとウイルス対策ソフトの機能強化を組み合わせれば、仮想デスクトップのセキュリティ上のメリットが従来のPCに比べて大幅に高まるのは明らかだ。
※関連記事:PCでのOA環境を「仮想デスクトップ」へ。三菱東京UFJ銀行VDIシステムの全容
→http://techtarget.itmedia.co.jp/tt/news/1007/27/news03.html
●ローカルHDDの暗号化では不十分
もちろん、従来のPCの暗号化で十分だという見方もある。ローカルHDD周辺にセキュリティの「力場」を構築するSymantecの「PGP Whole Disk Encryption(WDE)」など、優れた製品も市販されている。
問題は、端末上のデータを従業員やIT部門が物理的にコントロールできなくなった場合だ。PGP対応のチップセットに組み込まれた「ポイズンピル」を発動するためには、端末を公衆ネットワークに再接続して「毒薬を飲む」コマンドを受信させ、自ら機能を停止させる必要がある。
PGPセキュリティ管理者は、事前に定めた期間ごとにシステムを強制的にセキュリティコントローラーとランデブーさせるポリシーを設定できる。もしランデブーできなかった場合、システムは自滅する。まるでジェームズ・ボンドのスパイ映画のようだが、そこに問題がある。これは現実というより、見せかけに近い。
現実のIT業界に身を置くわれわれなら、ほとんどの企業にとってこの機能がどれほど非現実的かが分かるだろう。例えば車の盗難防止警報が15分間鳴って近所の人が警察を呼び、10分後に警察が来るようなものだ。プロの自動車泥棒なら1分あれば車に侵入してエンジンをかけられる。同様に、手慣れたデータ泥棒なら次のランデブーの前に、ストレージメディアからデータを引き出せる。
もし全てのデータをデータセンターに保存し、仮想デスクトップを通じてそのデータを表示させ、データ取得のポリシーを設定し、データセンターから転送されるデータを監視/コントロール/保護すれば、会社の最も貴重な財産である情報を保全できる。
VDTは全てのデスクトップセキュリティ問題に対する答えとはいえないが、ウイルス対策ソフトと併せ、現代の最も困難なセキュリティ問題に対処するための戦略として検討すべきだ
