セキュリティ事故に学ぶVDI(仮想デスクトップ)の有効性│クラウド型仮想デスクトップサービス(DaaS)

仮想デスクトップコラム

  • 仮想デスクトップ(中級編)

  • 2019.08.06

セキュリティ事故に学ぶVDI(仮想デスクトップ)の有効性

働き方改革が推進される中、「テレワーク」が注目を集めています。ワーク・ライフ・バランスへの取り組みや社員のモチベーションアップなど多くのメリットがある一方で、適切なPC管理を行わなければ、セキュリティリスクが高まるのも事実。ウイルス感染、身代金の要求、端末の置き忘れ……、今回はこうしたテレワークによるセキュリティ事故とその対策をケーススタディでご紹介していきます。

ケース1:数ヵ月ぶりの端末貸与でウイルス感染!?

A社では年に数回、テレワークデイを実施、必要に応じてPC端末を社員に貸し出していました。しかし、会社が貸与する安全なはずの端末が、ウイルス感染。「除去用のソフトウェアを購入してください」と警告が何度も表示されて、作業効率が大きく低下してしまいました。

【対策:OSのアップデートが重要】
会社が端末を貸与する際は、OSが最新の状態になっているか確認する必要があります。最近のWindows OSではセキュリティ強化のため短期的なアップデートが繰り返され、アップデートを適用しないまま数ヵ月が経過すると、脆弱性が残り、その状態でインターネットに接続するとウイルス感染するリスクがあるからです。
この対策のひとつとなるのが、VDI(仮想デスクトップ)の導入によるOS環境の一元的な管理です。「リンククローン方式」のVDIであれば、すべての仮想マシンに一斉にパッチを当てたりOSをアップデートしたりできます。
ウイルス対策ソフトについても同様、日々のパターンファイル更新がきっちりと適用されていることが必要となります。VDIではOSの対応と同様にパターンファイルの更新も効率的に実施可能です。
また、万が一、ウイルス感染した場合でも、再起動することによりディスク領域がリフレッシュされますので安心です。

ケース2:リモートデスクトップで身代金を要求される!?

営業担当者の利便性向上のためにテレワークを許可していたB社ですが、ある営業担当者は自己判断でリモートデスクトップを活用して、オフィスのPCへのアクセスを繰り返していました。しかし、その端末を介して社内システムがランサムウェアに感染、身代金を要求される事態となってしまいました。

【対策:VPNやVDIなどの導入で安全性を高める】
Windows OSのリモートデスクトップは手軽にテレワークを実現できる手法です。ただし、リモートデスクトップが接続時に利用している「ポート3389」へのランサムウェアの攻撃が現れており、下記のような対策が必要となっています。

  • ・対策1:ポート3389をオープンにしないパッチが配布されているため、最新のOSにアップデートする。
  • ・対策2:専用線やVPNを使用して、社内ネットワークへセキュアに接続する。
  • ・対策3:端末にデータが残ることがないVDIを導入する。

リモートデスクトップを利用されている場合には、早めの対策をおすすめします。

ケース3:PCを電車に置き忘れ情報漏えい!?

休日でも仕事ができるように、C社ではPC端末を自宅に持ち帰ることを許可していました。ところが、ある社員の一人が得意先リストを収納した端末を、電車内に置き忘れてしまい、後に情報漏えいとして発覚しました。

【対策:ハードディスクに機密データを残さない】
PCの紛失や盗難により情報が漏えいする事件は度々発生してニュースなどでも報道されています。その対策としては「ハードディスクやUSBメモリに機密情報を残さない」ことがもっとも重要ですが、こうしたルールをつくっても守らない社員が出てくる可能性があります。
そこで有効な対策のひとつとなるのがVDIの導入です。VDIは、端末からサーバ上のVDIにアクセス・操作する仕組みで、端末にはデータが残りません。テレワーク導入企業には、ぜひ検討いただきたい対策のひとつです。

ケース4:マルウェア感染によりファイアウォールが破られ情報漏えい!?

D社ではファイアウォールを設置し、社内システムへの不正侵入を防御していました。しかし、社員が利用するテレワーク端末がマルウェア感染してしまいました。 さらには、遠隔で操作され、不正アクセスや迷惑メール配信、DDoS攻撃などの踏み台として利用されてしまいました。

【対策:確実なインターネット分離(Web分離)を実現する】
このケースでは、社内システムとインターネットへのアクセス環境が混在していたことが情報漏えいの要因です。
そこで、確実な対策のひとつがインターネット分離(Web分離)で、社内システムにアクセスできる環境とインターネットにアクセスする環境を物理的に切り離すことです。ただしこれはコストがかかるため、VDIを採用することを検討してみてはいかがでしょうか。
VDIであれば画面転送方式により、社内システムとインターネットのアクセス環境を仮想的に分離が可能となります。さらに、VDIが一時的にマルウェアに感染したとしても「流動割り当て方式」が採用されていれば、再起動の度にディスク領域がリフレッシュされますので、万が一感染された場合でも踏み台にされるリスクを軽減できます。

まとめ:テレワークを実践するならセキュリティ対策を
多くのメリットが期待されているテレワークですが、反面セキュリティリスクも指摘されています。テレワーク導入を検討される場合は、自社のセキュリティポリシーや業務目的に合ったテレワークツールを選定いただくことで、利便性とセキュリティの両立を図ることができます。