AVDのセキュリティ面の特徴 利点と課題を解説(vol.21)
Microsoft社の提供するクラウドサービスAzureでは、仮想デスクトップサービスも利用することができます。それがAzure Virtual Desktop(以下AVD)です。
クラウドサービスは、物理サーバーの管理などの運用負荷を軽減でき、インターネット接続環境など最低限の要件が整えばどこからでもアクセスできるために、「ニューノーマルな働き方」の拡大とともに企業で利用されるケースが増えてきています。
数あるクラウドサービスの中でもAzureの特徴は、Microsoft 365のライセンスで利用できるためライセンスコストが節約できる点です。基本的に従量課金制であるため業務に合わせてコストマネジメントできる点、Microsoft社の他製品と相性がいい点、などが挙げられます。そして今回のテーマであるAVDは、上記のようなAzureサービス全体に共通する特徴を持つほか、実はセキュリティ対策の面でさまざまな利点があるのです。
勿論AVDを利用するにあたっては、従来の社内の環境やクラウド移行自体の業務負荷、社員のセキュリティに対する意識なども考慮しなくてはなりません。しかし、Azureでの環境構築やAVDのアーキテクチャに関わる部分だけでも、セキュリティ対策として有効な面が多々あるのです。ただし、それらの利便性ばかりを優先して構築・利用すると少し困ることも…?
本記事ではAVDのセキュリティ面の特徴・利用時の注意点について紹介していきます!
※本記事の情報は2023年2月時点のものです。
AVDとは
そもそもAVDとはどのようなサービスなのでしょうか?
本記事のメインに入る前に、簡単ではありますが説明していこうと思います。
AzureはMicrosoft365のライセンスで利用可能であると序章で述べました。AVDも同じくMicrosoft365のライセンスがあればAzure管理画面から必要な環境を構築することも、クライアントとして接続することもできるサービスです。
クラウドベースの仮想デスクトップサービスは複数ありますが、AVDの最大の特徴としてマルチセッションに対応していることが挙げられます。マルチセッション対応のイメージからマシンを展開することで、複数のユーザーが一つのセッションホスト(リモートデスクトップ接続先となる仮想マシン)に接続することを可能になります。パフォーマンスとのバランスは検討しなくてはならないものの、マルチセッションの活用により、管理するセッションホスト台数を抑えることができます。現在AzureではWindows10およびWindows11のマルチセッションに対応しています。
AVDのセキュリティ面でのメリット
企業のテレワークの導入に伴い、仮想デスクトップサービスの利用は拡大しつつあります。また、物理サーバーの管理負荷や保管するデータの増大などの問題から、クラウドサービスを業務に利用する選択肢も広まっています。しかし、仮想デスクトップサービスへの接続方式を悪用した業務システムへの侵入事例は多く、クラウド上へのデータ保存も窃取や改ざんの脅威があるなど、「安全でスムーズな運用」はなかなか難しいように考えられます。
そういった状況を踏まえたうえで、AVDの利用はセキュリティ対策の面で利点があると冒頭で述べました。特に注目すべきAVDのメリットは3つあります。「ユーザー権限の管理」、「接続方式」、「セキュリティの評価」です。それぞれにどのような特徴があるか、紹介していきます。
ユーザー権限の管理
AVDのサービスを利用するには、Active Directory(以下AD)もしくはAzure Active Directory(以下Azure AD)を利用したユーザー認証を行う必要があります。Azure自体には外部ユーザー(社外のユーザー)とのリソース共有を可能とするサービス(External Identities)も存在していますが、AVDの外部ユーザーによる利用は不可能となっています。Azureのサポート範囲は日々拡大しているため将来的には外部ユーザーの利用も可能になるかもしれませんが、現状としては自社のユーザーしか利用できないサービスというわけです。
権限の管理というとファイルの閲覧権限や編集権限などを思い浮かべる方も多いでしょう。もちろんAVDを利用する場合もそういった権限の設定・管理ができます。ロールベースのアクセス制御(RBAC)は共有ファイルや仮想マシン本体に対してなどさまざまなリソースに設定でき、ロールも仮想デスクトップユーザー・閲覧者・共同作成者など非常に細分化されています。この機能により、社内ユーザーによるリソースへのアクセスも細かく制御することができます。
接続方式
リモートデスクトップ接続というとRDPの利用を思い浮かべる方が多いでしょうか。しかし、テレワークが広まる中でRDPのプロトコルそのものに対する攻撃も発生しており、送受信規則を設定していても安全とは言い切れません。実際にAzureの仮想マシンにRDPやHTTP、HTTPSで接続することも可能ですが、ポートを開放して仮想マシンにパブリックIPアドレスを設定することになるためやや安全性に欠けます。また、固定のパブリックIPを設定した際、仮想マシンがそれを保持する限りコストが発生し続けるというデメリットもあります。
しかしAVDの場合、実はRDPなどを利用しなくても接続することが可能なのです。リモートデスクトップクライアント呼ばれるMicrosoft公式のアプリケーションを利用する方式です。ユーザーの端末にそれをインストールして起動させると、そのユーザーがアクセス可能なワークスペース(特定用途のリソースを一元管理するサービス)やセッションホストが表示されるようになります。
セッションホストをクリックしてドメインユーザー情報で認証を行うと、リモートデスクトップ接続することができるのです。このときネットワークセキュリティグループにポート開放の規則を設定する必要はなく、これがAVDのセキュリティ面を強固にしている要因の一つとなっています。
また、Azureの管理画面であるAzure portalからブラウザでセッションホストに接続する場合、Bastionというサービスを利用することで接続可能となります。Bastionは踏み台サーバーの代わりのようなもので、仮想マシン本体にパブリックIPを設定することなくブラウザからの接続を可能にします。こちらはBasic/Standardとサービスレベルが分かれますが、どちらもデプロイ時間当たりの有償サービスです。コストを極力削減したい場合は、上記のような接続が必須の時のみ構築し、それ以外のときは削除しておくなどの運用が考えられます。
セキュリティの評価
ここまでセキュリティ面のメリットを紹介していると、「Azure環境構築そのもののセキュリティは問題ないのか」という疑問を抱く方もいらっしゃるでしょう。もちろん、すべてのセキュリティ脅威に対応できる環境構築は実際には不可能でしょうし、その脆弱性を攻撃される危険もあります。
実際にAzure環境を構築していくと冗長化のオプションなどがあり、リージョン内の災害やデータセンターのダウンなどの「万が一」に備えるための設定も考えていかなくてはなりません。そういった「万が一」のケースを除いても、自社の環境構築に問題はないのか、そう不安視される方もいるのではないでしょうか。
ここで紹介したいのがMicrosoft Defender for Cloud(旧Azure Security Center)です。この機能を活用することで現在構築している環境のセキュリティスコアを算出し、リスク軽減を図ることができます。
【別案】
また、Azureにはユーザーが構築した環境のセキュリティ面を評価するセキュアスコア表示機能があります。この機能ではスコアが表示されるだけでなく、よりハイスコアにするための推奨設定なども表示されます。
これは脅威を検知したりセキュリティに関する推奨事項を表示したりする機能で、ストレージやコンテナーなど対象範囲を決めて機能のON/OFFを決めることができます。対象サービスによって月額数百円から数千円と幅があり、トータルコストとしては高価に思われるかもしれません。この機能には30日の無料試用期間もあるので、試しに設定して必要性を検討するという方針も考えられるでしょう。
AVD利用時の注意点
AVDの利用には上記のようなセキュリティ面のメリットがあるだけではありません。仮想マシン構築時には「Standard」というセキュリティ設定を無償で追加することができるのです。このセキュリティ設定はBasicレベルのDDoS攻撃対策などを含みます。
しかし、ランサムウェアをはじめとする新たな脅威が次々に発生する状況、最低限の設定だけでは対策として不十分かもしれません。十分なセキュリティ対策の手段としてStandardレベル以上のDDoS攻撃対策サービスなども追加利用が可能です。しかし、実はこのサービス利用を設定すると月当たり40万円近くもコストがかかってしまいます。
また、Azureのサービス群は一度アップグレードするとダウングレードができないという点にも注意が必要です。仮想マシンのディスクサイズやBastionのサービスレベルなどもこれに該当します。アップグレードによって有償になったり料金が高くなったりするサービスの場合、利用方針を慎重に検討しなくてはなりません。可能な範囲で対策を講じることは重要ですが、予算との兼ね合いも考えていくとサードパーティ製品の利用も含めて検討が必要となるでしょう。
まとめ
膨大なデータを保存できるクラウドサービス、テレワークによって利用機会の増えるリモートデスクトップサービス。しかし、これらの利用は企業への攻撃を狙う者に対し、入口を開くことにもなりかねません。ニューノーマルな働き方を狙ったランサムウェア攻撃等の脅威は今後も増え続けるといわれており、攻撃の手法の多様化やゼロデイ攻撃の増加なども巧妙化しています。セキュリティ面の脅威への対策・対応は複雑化しているにもかかわらず、業務のためにはそれらを迅速に行わなければならない、といった企業にとっても非常に厳しい状況です。
今回はクラウドベースのリモートデスクトップサービスということで、AVDに着目してセキュリティ面の特徴についてまとめてみました。すでに構築している環境と比べて、AVDは利点が多いのでは…?そんな検討の参考になれば幸いです!
本記事ではAVDのセキュリティ上の利点と課題について紹介しました。しかし、AVDのセキュリティが万能ではないうえ、コストとの兼ね合いなどもあり、Azure上でこれらすべてのセキュリティ対策を実施するのは難しいケースも…。
そこでご紹介したいのがセキュリティ製品であるAppGuardです。AppGuardはもしランサムウェアなどに侵入されても、「発症させない」ようにクライアント・OS環境を悪質な動作から防御します。
電通総研社ではAppGuard導入をサポートしており、数多くの導入支援実績があります。AVD環境にAppGuardを導入した実績もございますので、導入支援についてはぜひご相談ください。AppGuardについての詳細はこちらをご覧ください!
『ランサムウェア対策ソリューション AppGuard基本ガイドブック』
また、AVDの環境構築の支援やコンサルティングについてもご支援可能です。どうぞお気軽にお問い合わせください。