Azure Managed Service Column ＜Azure運用コラム＞Azure Virtual Desktop（AVD）のセキュリティ面における課題について

AVD を利用する時に考慮すべきセキュリティ対策とは？

働き方の多様化やテレワークの普及により VDI （仮想デスクトップ基盤）を導入する企業が増えています。 VDI はデスクトップ環境が集約されるため、柔軟性、可用性、拡張性のみならずセキュリティを向上させます。

しかし VDI を効果的に活用するためには考慮すべき設定が必要です。ただ導入するだけではセキュリティのリスクを高めてしまいかねません。

VDI サービスの中でもマイクロソフトの Azure 環境より提供される Azure Virtual Desktop （通称 AVD ）が注目されています。本記事では AVD におけるセキュリティ機能や考慮すべきセキュリティの設定について解説します。

1.Azure Virtual Desktop（AVD）とは

AVD の概要

AVD はマイクロソフトより提供される DaaS （ Desktop as a Service ）型のクラウドサービスであり、世界中のリージョンで利用する事ができるグローバルサービスです。リモートワークの急速な普及、管理機能も充実、操作も簡易的であり、インターネットへ接続できる環境があれば、いつでもどこからでもアクセスできることから、導入する企業が急増しています。

AVDの主なメリット

コスト面のメリット

AVD は Windows 10 マルチセッションに対応しており、複数ユーザーで共有することで従来の物理 PC との運用と比較しするとコストを削減できます。

また AVD は従量課金のため、分単位で使用した分だけ課金する仕組みです。例えば夜間や休日など業務利用がないときは止めておくなどすることで、使い方によってはコストを削減することができます。

セキュリティ面のメリット

AVD はクラウドベースであることによる拡張性、柔軟性、迅速性をもちながら、高度なセキュリティ機能が組み込まれています。特に AVD は画面転送という VDI の特性を活かした社外から社内への安全な接続や、デバイス接続の規制によるデータの持ち出し制限が可能になりデータ漏洩対策に有効です。

AVD におけるセキュリティ運用の前提

従来型のオンプレミス VDI は、セキュリティに関する責任をユーザーが負うことになりますが、AVD はセキュリティに関する責任をユーザーと事業者間で共有する責任共有型の仕組みです。既に事業者がセキュリティで保護されている領域とユーザー側で保護する必要がある領域があります。この責任分界点を前提とし AVD のセキュリティ運用を検討する必要があります。

Azure のクラウドにおける共同責任について、詳しくはマイクロソフトの公式サイトをご参照ください。

2.AVD のセキュリティ面における課題について

AVD はどこからでもアクセスでき、使い勝手もいいことから、設定次第では大きなセキュリティリスクが生じることもあります。本章では AVD のセキュリティ面における課題について解説します。

ウィルス対策

AVD でアクセスするデスクトップ OS にも既存のパソコン利用と同様に新たな脆弱性が見つかることもあるため、OS のアップデートは欠かせません。またインストールするアプリケーションやダウンロードするデータに対するスキャン機能のようなウィルス対策も必要です。

データ損失対策

クラウドサービス全般に言えますが、物理的な設備を事業者側に依存することになり、アプリケーション内部のデータや、AVD 上のデータなどの消失に備える必要があります。

AVD への不正接続防止

AVD へ接続する ID が漏洩、不正に乗っ取られた場合、AVD への不正接続による機密データの盗取、漏洩のリスクが生じます。ID の管理と合わせ、認証方法、アクセス条件の強化対策が必要です。

シャドウ IT、アプリケーションの増加問題

許可されていないアプリケーションのインストールや、クラウドサービスの利用、危険な Web サイトへのアクセスによって情報漏洩のリスクが生じます。管理者のセキュリティポリシーに基づき利用範囲を制限する包括的な管理が必要です。

3. AVD のセキュリティを強化するベストプラクティス

Azure には多くのセキュリティ機能があります。前章で紹介した課題に対し安全性を高めるためのベストプラクティスについて解説します。

EDR（ Endpoint Detection and Response ）の導入によるウィルス対策

AVD に有効的なウィルス対策としてマイクロソフトが提供する Microsoft Defender for Endpoint の導入が推奨されます。 Microsoft Defender for Endpoint は、高度な脅威の防止、検出、調査、および応答を支援するために設計されたエンドポイントセキュリティソリューションです。AVD で実行されている仮想ホストにも簡単に更新プログラムを展開でき、コンピューター上の更新プログラムを迅速に入手できます。また Microsoft Defender for Endpoint が AVD のマルチセッションにも対応可能となりさらに使い勝手が良くなりました。

クラウド環境への侵入を防ぐマルウェア対策

EDR のみではなく、インターネットにアクセスするうえで、可能な限りマルウェアの侵入に対し境界線での防御対策を講じる必要があります。Azure Firewall はクラウド型の次世代ファイアウォールサービスであり、 TLS インスペクション、 IDS / IPS など高度なウィルス対策機能を備えています。

データ損失の回避

データ損失に備えながら、 DR （ Disaster Recovery ）、 BCP （ Business Continuity Planning ）の観点から、Azure Site Recovery の利用が推奨されます。Azure Site Recovery は Azure 環境、またはオンプレミス環境にある仮想マシン、物理マシンを、Azure が用意する待機系のセカンダリリージョンへレプリケーションすることが可能です。災害・障害の発生によりシステムが停止した場合、セカンダリリージョンへ切り替えを行うことで業務の継続を実現します。

AVD においては専有型の場合、Azure Site Recovery でマシンをレプリケーションすることで DR 対策が可能です。共有型の場合は、セッションホストに対してではなくプロファイルの保存されているストレージに対しレプリケートが必要です。

Azure AD の認証機能活用による不正アクセスからの保護

アカウントを保護するために、Azure AD が提供する多要素認証や件付きアクセス機能が推奨されます。

多要素認証は従来のパスワードによる保護のみだけではなく、アプリ、トークン、SMS 、音声通話など複数の要素を組み合わせることで、より厳密な認証を行う事が可能です。
また条件付きアクセス機能では承認された場所、デバイス、OS のみ認証を許可する認証サービスであり、危険なデバイスや ID からのアクセスをブロックすることが可能です。

ログの分析による包括的なセキュリティ管理

Microsoft Sentinel を導入することにより、Azure AD による認証、アクセス制御、AVD への接続、EDR イベント、OS 、アプリケーション、ファイルサーバーへの監査とイベントなどのあらゆるログを集約し分析することが可能です。

AVD の規模が大きくなるにつれてこのような包括的な管理機能によってリスクを事前に検知することは運用上重要な機能と言えるでしょう。

4.まとめ

AVD の導入する目的として、働き方の多様化に対応し、効率化、生産性の向上を求めるケースが多く、セキュリティの強化にも効果的ですが、その反面、利便性ゆえにしっかり設定しなければセキュリティリスクも生じます。

本記事では AVD のセキュリティ課題とベストプラクティスを紹介しました。Azure が提供している様々なサービスと組み合わせ活用することが推奨されます。自社の規模や利用状況に合わせ導入の検討をお勧めします。また導入や統合的な利用については専門家へ相談されることを推奨いたします。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Tag： Azure Virtual Desktop Azureセキュリティ

• 

  Azure Virtual Desktop（AVD）導入に注意すべき点について

• 

  AWSとAzure、テレワークの普及で注目を集めるDaaSについての比較