目次
AVD を利用する時に考慮すべきセキュリティ対策とは?
働き方の多様化やテレワークの普及により VDI (仮想デスクトップ基盤)を導入する企業が増えています。 VDI はデスクトップ環境が集約されるため、柔軟性、可用性、拡張性のみならずセキュリティを向上させます。
しかし VDI を効果的に活用するためには考慮すべき設定が必要です。ただ導入するだけではセキュリティのリスクを高めてしまいかねません。
VDI サービスの中でもマイクロソフトの Azure 環境より提供される Azure Virtual Desktop (通称 AVD )が注目されています。本記事では AVD におけるセキュリティ機能や考慮すべきセキュリティの設定について解説します。
1.Azure Virtual Desktop(AVD)とは
AVD の概要
AVD はマイクロソフトより提供される DaaS ( Desktop as a Service )型のクラウドサービスであり、世界中のリージョンで利用する事ができるグローバルサービスです。リモートワークの急速な普及、管理機能も充実、操作も簡易的であり、インターネットへ接続できる環境があれば、いつでもどこからでもアクセスできることから、導入する企業が急増しています。
AVDの主なメリット
コスト面のメリット
AVD は Windows 10 マルチセッションに対応しており、複数ユーザーで共有することで従来の物理 PC との運用と比較しするとコストを削減できます。
また AVD は従量課金のため、分単位で使用した分だけ課金する仕組みです。例えば夜間や休日など業務利用がないときは止めておくなどすることで、使い方によってはコストを削減することができます。
セキュリティ面のメリット
AVD はクラウドベースであることによる拡張性、柔軟性、迅速性をもちながら、高度なセキュリティ機能が組み込まれています。特に AVD は画面転送という VDI の特性を活かした社外から社内への安全な接続や、デバイス接続の規制によるデータの持ち出し制限が可能になりデータ漏洩対策に有効です。
AVD におけるセキュリティ運用の前提
従来型のオンプレミス VDI は、セキュリティに関する責任をユーザーが負うことになりますが、AVD はセキュリティに関する責任をユーザーと事業者間で共有する責任共有型の仕組みです。既に事業者がセキュリティで保護されている領域とユーザー側で保護する必要がある領域があります。この責任分界点を前提とし AVD のセキュリティ運用を検討する必要があります。
セキュリティニーズ | ユーザーの責任であるか |
---|---|
ID | はい |
ユーザーデバイス(モバイルおよびPC) | はい |
アプリのセキュリティ | はい |
セッションホストOS | はい |
デプロイの構成 | はい |
ネットワーク制御 | はい |
仮想化コントロールプレーン | いいえ |
物理ホスト | いいえ |
物理ネットワーク | いいえ |
物理センター | いいえ |
Azure のクラウドにおける共同責任について、詳しくはマイクロソフトの公式サイトをご参照ください。
- 関連記事:
- クラウドにおける共同責任
2.AVD のセキュリティ面における課題について
AVD はどこからでもアクセスでき、使い勝手もいいことから、設定次第では大きなセキュリティリスクが生じることもあります。本章では AVD のセキュリティ面における課題について解説します。
ウィルス対策
AVD でアクセスするデスクトップ OS にも既存のパソコン利用と同様に新たな脆弱性が見つかることもあるため、OS のアップデートは欠かせません。またインストールするアプリケーションやダウンロードするデータに対するスキャン機能のようなウィルス対策も必要です。
データ損失対策
クラウドサービス全般に言えますが、物理的な設備を事業者側に依存することになり、アプリケーション内部のデータや、AVD 上のデータなどの消失に備える必要があります。
AVD への不正接続防止
AVD へ接続する ID が漏洩、不正に乗っ取られた場合、AVD への不正接続による機密データの盗取、漏洩のリスクが生じます。ID の管理と合わせ、認証方法、アクセス条件の強化対策が必要です。
シャドウ IT、アプリケーションの増加問題
許可されていないアプリケーションのインストールや、クラウドサービスの利用、危険な Web サイトへのアクセスによって情報漏洩のリスクが生じます。管理者のセキュリティポリシーに基づき利用範囲を制限する包括的な管理が必要です。

3. AVD のセキュリティを強化するベストプラクティス
Azure には多くのセキュリティ機能があります。前章で紹介した課題に対し安全性を高めるためのベストプラクティスについて解説します。
EDR( Endpoint Detection and Response )の導入によるウィルス対策
AVD に有効的なウィルス対策としてマイクロソフトが提供する Microsoft Defender for Endpoint の導入が推奨されます。 Microsoft Defender for Endpoint は、高度な脅威の防止、検出、調査、および応答を支援するために設計されたエンドポイントセキュリティソリューションです。AVD で実行されている仮想ホストにも簡単に更新プログラムを展開でき、コンピューター上の更新プログラムを迅速に入手できます。また Microsoft Defender for Endpoint が AVD のマルチセッションにも対応可能となりさらに使い勝手が良くなりました。
クラウド環境への侵入を防ぐマルウェア対策
EDR のみではなく、インターネットにアクセスするうえで、可能な限りマルウェアの侵入に対し境界線での防御対策を講じる必要があります。Azure Firewall はクラウド型の次世代ファイアウォールサービスであり、 TLS インスペクション、 IDS / IPS など高度なウィルス対策機能を備えています。
データ損失の回避
データ損失に備えながら、 DR ( Disaster Recovery )、 BCP ( Business Continuity Planning )の観点から、Azure Site Recovery の利用が推奨されます。Azure Site Recovery は Azure 環境、またはオンプレミス環境にある仮想マシン、物理マシンを、Azure が用意する待機系のセカンダリリージョンへレプリケーションすることが可能です。災害・障害の発生によりシステムが停止した場合、セカンダリリージョンへ切り替えを行うことで業務の継続を実現します。
AVD においては専有型の場合、Azure Site Recovery でマシンをレプリケーションすることで DR 対策が可能です。共有型の場合は、セッションホストに対してではなくプロファイルの保存されているストレージに対しレプリケートが必要です。
Azure AD の認証機能活用による不正アクセスからの保護
アカウントを保護するために、Azure AD が提供する多要素認証や件付きアクセス機能が推奨されます。
多要素認証は従来のパスワードによる保護のみだけではなく、アプリ、トークン、SMS 、音声通話など複数の要素を組み合わせることで、より厳密な認証を行う事が可能です。
また条件付きアクセス機能では承認された場所、デバイス、OS のみ認証を許可する認証サービスであり、危険なデバイスや ID からのアクセスをブロックすることが可能です。
ログの分析による包括的なセキュリティ管理
Microsoft Sentinel を導入することにより、Azure AD による認証、アクセス制御、AVD への接続、EDR イベント、OS 、アプリケーション、ファイルサーバーへの監査とイベントなどのあらゆるログを集約し分析することが可能です。
AVD の規模が大きくなるにつれてこのような包括的な管理機能によってリスクを事前に検知することは運用上重要な機能と言えるでしょう。
4.まとめ
AVD の導入する目的として、働き方の多様化に対応し、効率化、生産性の向上を求めるケースが多く、セキュリティの強化にも効果的ですが、その反面、利便性ゆえにしっかり設定しなければセキュリティリスクも生じます。
本記事では AVD のセキュリティ課題とベストプラクティスを紹介しました。Azure が提供している様々なサービスと組み合わせ活用することが推奨されます。自社の規模や利用状況に合わせ導入の検討をお勧めします。また導入や統合的な利用については専門家へ相談されることを推奨いたします。
仮想デスクトップの導入について相談したい



資料ダウンロード
課題解決に役立つ詳しいサービス資料はこちら

-
-
Azure導入支援・構築・運用サービス総合カタログ
Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。
-
Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

よく読まれる記事
- 1 Microsoft Entra IDとは? オンプレAD、Azure ADとの違いや機能、エディション、移行方法をわかりやすく解説2024.04.05
- 2 Microsoft Purviewとは?概要や主な機能、導入するメリットを解説2023.09.11
- 3 Azure Bastionとは?踏み台による仮想マシンへのセキュアな接続方法について解説2022.05.12
- 4 Azureネットワークセキュリティグループ(NSG)とは?特徴や設定時の注意点を解説2021.04.28
- 5 VDIに必要なWindows VDAライセンスとは?費用感、ライセンスの考え方について解説します!2022.08.10
Category
Contactお問い合わせ
お見積もり・ご相談など、お気軽にお問い合わせください。