Azure Managed Service Column ＜Azure運用コラム＞AVDのセキュリティ対策とは？AVDのセキュリティ課題と実際の解決事例までを詳しく解説！

セキュアなワークスペースの実現方法とは？マイクロソフト製品での実現方法を解説

リモートワークの普及に伴い、企業は社員に柔軟でセキュアなワークスペースを提供することが求められてきました。

Azure Virtual Desktop ( 以下、AVD )は、この新たな働き方に応えるためのソリューションとしてメジャーな存在です。しかし、 AVD の導入にはセキュリティの課題が伴います。

本記事では、 AVD の基本的なセキュリティ機能、使用時に生じるセキュリティ上のリスク、対処するためのベストプラクティスについて詳しく解説します。また、実際に AVD を安全に導入し、その効果を実感した事例も紹介します。

1. AVDのセキュリティ機能

AVD は、安全にリモートワークを行うために様々な機能を備えています。まず、 AVD の概要と基本的なセキュリティ機能について解説します。

AVDとは

AVD は、マイクロソフトのクラウド、 Microsoft Azure 上で提供される仮想デスクトップサービス ( DaaS ) です。AVD により、企業は物理的なオフィスや特定のデバイスに依存せずに、柔軟な作業環境を提供することができます。高いセキュリティとクラウドのスケーラビリティを備えた、柔軟かつ安全なワークスペースを提供するソリューションです。

AVDのセキュリティ機能

AVD が備えている基本的なセキュリティ機能は下記の通りです。

Microsoft Entra IDを使用したアクセス制御

Microsoft Entra ID ( 旧 Azure AD) は、 AVD を構成するために必要なクラウドベースのID 管理サービス (IDaaS) です。ユーザーは、 Microsoft Entra ID を通じて、AVDに認証され、役割ベースのアクセス制御 (RBAC) により、 AVD 環境内でユーザーに必要なアクセス権限のみを割り当てることができます。

ローカルデバイスリダイレクト

ユーザーが自身の端末のリソース ( Web カメラや USBなど) を AVD で使用できるようにする機能です。基本的には利便性向上を目的とした機能ですが、リソースを無効化することでセキュリティを高めることが可能です。

画面キャプチャ保護

OS の機能により、ローカルデバイスから画面キャプチャを防止する機能です。画面キャプチャ保護を有効にすると、スクリーンショットを自動的にブロックまたは非表示にすることができます。手元のデバイスに画面キャプチャが残ることを防ぎ、外部へのデータ漏洩のリスクを低減できます。

2. AVD のセキュリティリスクとベストプラクティス

AVD はアクセス制御やデバイス制御など基本的なセキュリティ機能を備えていますが、ここでは、 AVD を運用するにあたって起こりうる一般的なセキュリティリスクと、安全に運用するためのベストプラクティスについて解説します。

AVD のセキュリティリスク

エンドポイント（端末）の脆弱性

AVD では、エンドポイント（ PC やスマートデバイスなどの端末）のセキュリティまでは担保しません。セキュリティソフトウェアの不備、 OS やアプリケーションの未更新などエンドポイントのセキュリティ対策が不十分な場合、ウイルスやランサムウェアに感染し、機密情報が漏えいするリスクがあります。

データの漏えい

AVD は画面転送のみを行うアーキテクチャであるため、リモートユーザーからのデータ漏洩のリスクは低いと言われています。ただし、 USB など、端末のデバイス制御が適切に行われていない状況では、ユーザーが自分の端末から USB デバイスなどを通じてデータを漏洩させてしまうリスクがあります。

AVD への不正侵入

エンドポイント側の認証強度やアクセス制御の設定が不適切な場合、外部の攻撃者が AVD 環境にアクセスされる可能性があります。紛失、盗難などをきっかけとして、機密情報の窃取や破壊のリスクがあります。

AVD のセキュリティベストプラクティス

Microsoft Defender for Cloudによるクラウド環境のセキュリティ強化

図版出典：Microsoft公式サイト

クラウド環境のセキュリティ管理と脅威保護を提供するサービスを使用することで、 AVD が展開されるクラウド環境に対する脅威の検出、セキュリティの評価、および脆弱性管理を行うことができます。 AVD が稼働するクラウド環境全体のセキュリティ向上が可能です。

Microsoft Defender for Endpointによるエンドポイントセキュリティ強化

図版出典：Microsoft公式サイト

社員の PC 端末、スマートデバイスなどのエンドポイントデバイスに対するセキュリティ対策を強化するサービスを活用することで、マルウェア、ランサムウェア、およびその他のサイバー脅威からデバイスを保護し、リアルタイムでの脅威検出と対処が可能になります。

Microsoft Entra IDによる条件付きアクセスと多要素認証の実施

Microsoft Entra IDの条件付きアクセスは、ユーザーのデバイスの状態、アクセス場所に基づいて認証方法を動的に変えて制御する機能で、ユーザーの認証を強化することが可能です。

多要素認証は、パスワードだけでなく所持情報や生体情報など複数の認証方法を組み合わせることで、アカウントへの不正アクセスのリスクを大幅に減少させることが可能です。

ローカルデバイスへのリダイレクトの制御・無効化

企業のセキュリティポリシーに合わせて、ローカルデバイスリダイレクト機能を適切に設定・制御し、必要に応じてリソースの使用を無効化します。適切な制御によりローカルデバイスからのデータ漏えいのリスクを減少させることができます。

Azure Monitorによる使用状況監視と監査ログ収集

Azure Monitorを使用してAVDの使用状況を監視し、システムの正常性とパフォーマンスを監視します。問題の早期発見と迅速なトラブルシューティングが可能になります。

また、AVDのセキュリティ監査ログを収集し、システム内の活動を監視します。不審な行動やセキュリティイベントを追跡し、迅速に対応することが可能になります。

3. AVD でセキュリティを確保した事例

最後に、実際に AVD を安全に導入し、その効果を実感した事例を紹介します。

日商エレクトロニクス株式会社

AVD と Microsoft 365 E5 Security を組み合わせ、テレワーク環境を迅速かつセキュアに構築しました。これにより、リソースの柔軟性、利便性、セキュリティ面での要件を満たし、わずか 2 週間で環境構築を完了しました。Microsoft 365の多要素認証とAzureのセキュリティ機能を活用して、セキュリティ要件を満たす環境を実現しました。

豊田市教育委員会

教員の業務効率化と生徒との直接的な関わりを増やすために、 AVD を導入しました。これにより、教育現場のセキュリティ強化と効率化を実現しました。校務系と授業系のネットワークが1台のPCで統合され、セキュリティリスクがある USB メモリの使用を減らすことができ、セキュリティが向上したことで、教育環境がより安全になりました。

4. まとめ

本記事では、 AVD の基本的なセキュリティ機能、使用時に生じるセキュリティ上のリスク、対処するためのベストプラクティスについて解説しました。 AVD を適切に設定することで、セキュアなワークスペースの構築・運用が可能になります。ぜひ専門家の支援を受けながら使用を検討してみてください。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Tag： AVD セキュリティ

• 

  AVDのPoCを実施するには？導入を成功させるための方法を解説

• 

  AVD認証の重要性とは？サポートされるIDや認証方法を詳しく解説