CACHATTO COLUMNカチャットコラム

CACHATTO トップ>
CACHATTO COLUMN>
VDIのセキュリティは本当に安全なのか？そのリスクと対策を解説

VDIのセキュリティは本当に安全なのか？そのリスクと対策を解説

2023.11.20投稿、2023.11.20更新

VDI（仮想デスクトップ）は、リモートアクセスでも高いセキュリティを確保できると言われています。そのため、テレワークの普及と同時に広く使われるようになりました。
なぜVDIのセキュリティは高い評価を受けているのでしょうか？ VDI方式の仮想環境ではOSやアプリケーションはサーバー側にあり、クライアント端末に搭載する必要のない環境が構築されています。こうしたシンクライアントを構築しているのでVDIは情報漏洩が起こりにくいとされています。しかし、VDIにはまったくリスクがないというわけではありません。VDIを利用する場合でも、セキュリティリスクには注意が必要です。
そこで今回は、VDIのセキュリティ面におけるメリット・デメリットと、VDIのセキュリティリスクへの対策を紹介します。

VDIとは
VDIのセキュリティ面におけるメリット
VDIのセキュリティ面におけるデメリット
VDIのセキュリティリスクへの対策
VDIでもセキュリティリスクへの対策は必要

VDIとは

VDI（Virtual Desktop Infrastructure）は仮想デスクトップとも呼ばれます。サーバー上に仮想のデスクトップ環境を構築し、離れた場所にある端末からインターネット経由で操作するものです。

VDIでは、操作の対象となるOSやアプリケーション、データはサーバー上にあります。サーバーから離れたユーザーの手元にある端末ではモニターやキーボードの操作のみを行い、アプリケーションやデータは保存しません。また、1つのデスクトップ環境に複数の端末からアクセスすることも可能です。

VDI環境を構築すれば、オフィスにいなくてもサーバーにアクセスでき、オフィスにいるのと同じように仕事ができます。そのため、VDIはテレワークの普及と同時に広く使われるようになりました。

VDIについては、次の記事も参考にしてください。

シンクライアントとVDIの違いとは？VDIの4つの方式や選び方を解説

VDIとシンクライアントの関係

シンクライアント（Thin Client）とは、必要最低限の処理だけを行う端末（クライアント）と、アプリケーション処理やデータ管理を行うサーバーを組み合わせた仕組みのことです。

VDIはシンクライアントを実現するための方法の1つで、クライアントからサーバーにリモートでアクセスします。テレワークが普及したため、近年はVDIがシンクライアントの主流です。

シンクライアントについては、次の記事も参考にしてください。

シンクライアントとは？普及が進む背景や仕組み、メリット・デメリットを解説

VDIのセキュリティ面におけるメリット

VDIのセキュリティが高いと言われる理由は次のようなものです。

端末や記憶媒体の紛失・盗難による情報漏洩がない

アプリケーションやデータはすべてサーバー上にあり、そこにアクセスして利用します。そのため、データを持ち出して情報漏洩が起こるリスクがありません。

ネットワークからの情報漏洩が起こりにくい

VDIでは、サーバー上にあるアプリケーションやデータにアクセスをして利用することになります。そのため、ネットワーク上で情報を盗まれるといったリスクは軽減されます。

端末からの情報漏洩がしにくい

端末にアプリケーションやデータは残らないので、そこから情報漏洩するリスクはありません。

セキュリティ対策や管理がしやすい

セキュリティ対策やソフトウェアのアップデートはサーバー側で行います。ユーザーではなく情報システム部門が一括管理できるので、端末ごとに対策の抜けや漏れが起こることはありません。

仮にサイバー攻撃を受けても、多くの場合はサーバー側で対処できるので、セキュリティ対策を強化しやすくなります。またユーザーの端末がマルウェアに感染すれば、感染した端末だけを切り離すことも可能です。

VDIのセキュリティ面におけるデメリット

VDIでも、リスクがまったくないわけではありません。次のようなデメリット、つまりリスクがあります。

認証情報が漏洩すると不正アクセスされてしまう

端末では業務に関するデータは保持しません。しかし認証情報は保存していることが多いため、盗難による不正アクセスのリスクは残ります。また、端末を業務に使用した後、そのまま私用に使うことで認証情報を消し忘れ、情報が漏洩することも多いです。

端末がマルウェアに感染することがある

端末がマルウェアに感染し、かつサーバーを管理する情報システム部門がそれに気付けない場合、不正アクセスが起こるリスクがあります。

フィッシングや標的型攻撃の対象にされる

インターネットの業務利用の増加により、メールやWebサイトを使ったフィッシング、標的型攻撃の対象にされることが増えています。VDIでも、ユーザーがフィッシングや標的型攻撃の被害にあった場合には不正アクセスが起こるリスクがあります。

ランサムウェア攻撃の対象にされる

マルウェアの中でも増加しているのがランサムウェアの被害です。とくにVMware社のESXiというソフトウェアの脆弱性を利用したランサムウェア攻撃が増えています。VMware ESXiは仮想デスクトップ環境を構築するためのソフトウェアで、無償で利用できるため、VDIの構築に多く使われているものです。

サーバーのセキュリティ対策が甘い

クラウドサービスではなくオンプレミス型サーバーでVDIを運用している場合、仮想デスクトップ環境も企業内で管理しなければなりません。その場合、企業内でセキュリティ対策を後回しにしたり、セキュリティツールの更新が滞っていたりするとサイバー攻撃への対処も遅れることになります。

その他、VDIを構築するメリット・デメリットについては、次の記事も参考にしてください。

VDIを構築するには？手順と注意点、必要な費用を解説

VDIのセキュリティリスクへの対策

上述したセキュリティリスクついては、次のような対策があります。

VPNを構築する

VPN（仮想プライベートネットワーク）を用意し、そこからサーバーにアクセスします。VPNは認証されたユーザーしか利用できないので、情報漏洩やマルウェア感染などのリスクを小さくできます。

VPNについては、次の記事も参考にしてください。

リモートアクセスとVPNの違いとは？VPNの種類や構築する際の流れを解説

セキュリティツールを導入する

不正アクセスやマルウェア感染を検知し、防止する効果があります。常時社内ネットワークをモニタリングし、異常を検知できるものがおすすめです。

ただし、効果を発揮するためにはセキュリティツールは常に最新の状態にしておく必要があります。

OSやアプリケーションの修正プログラムを適用する

OSやアプリケーションに脆弱性が発見されると、対応する修正プログラムが配布されます。修正プログラムを適用しないと脆弱性が残り、そこからマルウェアやランサムウェアの攻撃を受けるリスクが残るためです。脆弱性をなくすためには、OSやアプリケーションは常に最新の状態にしておく必要があります。

認証情報を複雑にする

できるだけ複雑で破られにくいパスワードを設定します。多要素認証を利用するのも効果的です。

多要素認証については、次の記事も参考にしてください。

多要素認証とは？二要素認証や二段階認証との違い、注意点などを解説

VDIツールの設定を適切に行う

VDI環境を構築するツールの設定でも、セキュリティ対策を行うことができます。外部記憶媒体へのコピーなどはシステムの設定によって防止可能です。

従業員へのリテラシー教育を行う

VDIやリモートアクセスを導入するときには、従業員にセキュリティや端末の扱いについて教育を行います。誤った操作からの情報漏洩を防ぐ効果があります。

デバイス管理ソフトを導入する

リモートアクセスを導入するときには、MDMなどのデバイス管理ソフトを導入します。遠隔操作で端末を管理・監視し、盗難・紛失した場合は端末をロックすることも可能です。

MDMについては、次の記事も参考にしてください。

MDMを自社に合わせて選ぶには？MDMの機能や導入の流れもわかりやすく解説

DaaSに移行する

仮想デスクトップを構築する環境を、オンプレミスサーバーではなくAzure Virtual Desktop（AVD）のようなクラウドサービス上のサーバーに移行するという方法もあります。クラウドサービスを利用すれば、情報システム部門での管理を大きく削減でき、セキュリティ対策もある程度ベンダーに任せることが可能です。

DaaSについては、次の記事も参考にしてください。