「社員の持ち出しPCのセキュリティを確保したい。できればあまりコストを掛けずにシンクライアントを導入したいが,どうしたらいいか」。最近,ある企業のシステム管理者から,こういう相談を受けました。
昨年くらいからシンクライアントを再評価する機運が高まっています(関連記事)。シンクライアントの歴史は長く,筆者が最初に目にしたのは,米オラクルが「NC」(Network Computer)を提唱した10年以上前のことです。当初はシンクライアントのメリットとして,データやアプリケーションをサーバーで一括管理できるため,TCO(total cost of ownership:コンピュータ・システムの導入・運用・管理にかかるコストの総額)の低減,端末の安さが挙げられていました。ただ,PCの低価格化が進んだことで,シンクライアントの価格面のメリットは薄れました。サーバー機器の費用を含めるとと,どうしても割高になりがちです。
そのシンクライアントが再評価されるようになったのは,内部にデータを持たず,情報漏えいの心配がないというセキュリティ面のメリットが注目されるようになったためです。データを紛失するリスクがないシンクライアントは,『情報漏えいという観点での究極の対策』とも言えます。
シンクライアントの実現方法には,一般的には「サーバー・ベースド・コンピューティング(SBC)」,「仮想パソコン」,「ブレードPC」,「ネット・ブート」の4種類があると言われています(関連記事)。ただ,いずれの方法でも“高価な導入価格”が導入の最大のネックになります。
このままでは,相談を受けたシステム管理者の要望に添えませんので,冒頭の相談の“真の課題”を整理することにしました。すると,シンクライアント化は課題ではなく,“真の課題”は以下のようなものであると判明しました。
(1)究極の情報漏えい対策として,PCの内部にデータを持たない(持てない)環境を実現したい
(2)社員の持ち出しPCの対策を最優先したい
(3)多大なコストを掛けずに実現したい
確かに,シンクライアントの導入で(1)と(2)は解決できますが,(3)のコストの課題は解決できません。また一般的に,4種類の手法が存在するシンクライアントの実現方法のうち,どの手法が自分の会社に向いているかは事前に充分な分析が必要です。そうした事前の分析のためと,持ち出しPCの対策を最優先する試行の方法として,筆者は「既存PCの擬似シンクライアント化」を提案しました。具体的には,マイクロソフトが無償で公開するソフト「Windows SteadyState」を活用し,既存の持ち出し用PCを擬似シンクライアント化するというものです。
Windows SteadyStateは,マイクロソフトが共有コンピュータのセットアップと保守を簡単にする狙いで作成したもので,複数ユーザーで共同利用するコンピュータでの各種ユーザー制限や,ディスクおよびシステムの保護を実現します。マイクロソフトのWindows SteadyStateのWebページ経由で,無償で入手できます。以前から配布されていた「Shared Computer Toolkit」の後継ソフトですが,Shared Computer Toolkitにあった「未使用のパーティションを用意しなくてはならない」などの制限事項は大幅に緩和されています。動作環境はWindows XP Professional,Windows XP Home Edition,Windows XP Tablet PC Edition。Windows SteadyStateはワークグループ,もしくはスタンドアロンPCで動作するため,他にサーバーは必要ありません。
まず,共有コンピュータでの各種ユーザー制限では,[マイ コンピュータ]に表示されるドライブの制限,特定のプログラム使用の禁止,スタート メニューからの項目(コントロール パネルやコマンド プロンプトなど)の削除・無効化が可能です(写真1,写真2,写真3)。
[画像のクリックで拡大表示] |
[画像のクリックで拡大表示] |
[画像のクリックで拡大表示] |