「シンクライアントと仮想デスクトップを組み合わせたソリューションの導入が増えているが,セキュリティが弱い。認証を強化したり,監査証跡を取得したりする必要性が高まっている」。ソリトンシステムズの正木淳雄氏(プロダクト戦略室 室長 兼 マーケティング本部 本部長代行)は,2009年7月29日,東京都内で開催した仮想化技術専門イベント「仮想化フォーラム2009 summer」で,仮想化・シンクライアント環境におけるセキュリティ対策について講演。同社製品によって,ICカードを使った認証や操作ログ取得が実現できることをアピールした。
仮想デスクトップは,サーバー側でクライアントPCの環境を稼働させて,画面情報などをネットワーク経由でシンクライアントに配信する仕組み。端末側にデータを保持しないため,在宅勤務用PCや持ち出し用PCの代わりに向くとされている。オフィスのPCに適用した場合も,データをサーバー側で一括管理できる,セキュリティ・アップデートなどを管理者側で実行できるなどのメリットがあり,これからますます増えていくとみられている。
しかし,仮想デスクトップ環境の多くは,IDとパスワードによる認証で,監査証跡に使えるきめ細かなログを収集していない。万一,IDとパスワードが漏れると,簡単に情報が漏洩し,漏洩場所や原因の特定も容易ではない。そこでソリトンシステムズは,この問題を解決するソリューションを用意したという。認証ではSmartOn ID,ログの取得ではInfoTraceを利用する。
ソリトンシステムズの目黒学氏(マーケティング本部 マネージャー)は,それぞれのソリューションについて詳細を説明するとともに,デモを行った。SmartOn IDでは,ICカードとパスワードによる2要素認証とともに,アプリケーションへのシングルサインオンを実現している。カードリーダーからICカードを抜くと,仮想デスクトップが「ロック」または「切断」の状態となる。シングルサインオン機能は,シンクライアントシステムにログオンした後,各種アプリケーションなどへパスワードを自動発行する仕組みになっている。デモでは,仮想化ソフトを導入したPCとシンクライアントを使った仮想化環境を用意して,ICカードによるログオンとシングルサインオンを実演した。
InfoTraceは,仮想デスクトップ環境においても,ファイル操作や印刷,電源のオン/オフといった操作をログとして記録し,検索・追跡できるようにするもの。ファイル操作のログは,Windowsのシステムコールを利用して取得しているため,アプリケーション側の対応は不要である。コマンドプロンプトからの操作も記録できる。ログの改ざん・削除による証拠隠滅行為に対しても,未送信ログを暗号化するなどの方法で対処している。セーフモードによる起動についても,イベントとして記録する。
いずれの製品も,通常のPCとシンクライアントの両方で利用できる。目黒氏は「シンクライアントをスモールスタートで始めて,段階的に拡大する場合にも適したソリューション」と訴えた。
