今どきのシン・クライアントたち

　日経NETWORK11月号の「NETWORK調査隊」のために，ベンダー各社のシン・クライアント・システムを取材して回った。一口にシン・クライアントといっても，共通しているのは「端末にファイルを持たない，残さない」という一点のみ。今やそのシステムは実に多用だ。ここでは過去の常識にとらわれない“今どき”のシン・クライアント・システムを紹介していきたい。

モバイルでもシン・クライアントが使える

　今どきの1番手は，「携帯電話/PHS端末のシン・クライアント化」。携帯電話機やPHS端末から携帯電話/PHS網を経由して会社のサーバーや自席のパソコンにアクセスし，アプリケーション・ソフトやファイルを操作するというシステムだ。もちろん端末にはファイルを持たず，作業したファイルも手元には残らない。ここでは一例として，ウィルコムのPHS端末「Advanced/W-ZERO3［es］」を使った日立製作所のシステムと，NTTドコモのFOMA端末を使うNTTネオメイトのシステムを紹介しよう。

　いずれのシステムも，端末レベルで認証をかけ，ネットワーク・レベルではデータを暗号化してやりとりしている。身に付けて持ち歩く携帯電話やPHS端末は，紛失・盗難の危険性が常にある。遠隔消去や遠隔ロックも端末が圏外にあってはなすすべがない。また，無線を使う以上，盗聴の心配も拭えない。端末レベルとネットワーク・レベルのセキュリティ確保は必須といえる。

　日立の場合，端末には日立ソフトウェアエンジニアリングが開発した「PicturePIN」と呼ぶ認証方式を採用している。一般的なワンタイム・パスワード方式ではなく，画面に表示された複数の絵の中から，どの絵をどの順番で選んだかという情報で認証する。さらにクラスメソッドが開発したシン・クライアント端末化ソフトを組み合わせることで，業務では利用させたくないアプリケーション・ソフトに起動制限をかけられるようになる。カメラや無線LAN，外部メモリー・デバイスの利用を制限することもできる。

　NTTネオメイトはパソコンと携帯電話機でデータをセキュアにやりとりするために，独自の共通鍵暗号方式を採用している。通信を始める前にパソコンが暗号鍵を生成して，それをQRコードでパソコン画面に表示する。これを携帯電話機のカメラで読み取ることで，暗号鍵を共有するしくみだ。携帯電話機を紛失したり盗難に遭った際には，暗号鍵を変更することで，電話機からのアクセスを遮断できる。さらにSIMカードの固有番号による端末認証とログイン・パスワードによるユーザー認証と組み合わせることで，端末レベルで3重の認証をかけている。

オフラインでもシン・クライアント端末に

　今どきの2番手は，「オンラインでもオフラインでも通常のパソコンをシン・クライアント端末として使える」システムである。社内LANにつながるオンライン状態ではもちろんのこと，ネットワークにつながっていないオフライン状態でもシン・クライアント端末として作業を継続できるシステムだ。USBキーを挿したり，専用ソフトを立ち上げたりすることで，パソコンに制限をかけている。代表的なタイプとして，ユーグリッドと東芝ソリューションの例を見ていこう。

　ユーグリッドのシステムは，ユーザーのパソコンからユーザー・プロファイルやユーザー・データといった属人的な情報のみをサーバーに吸い上げ，パソコンのハード・ディスクを書き込み禁止にすることでパソコンをシン・クライアント端末にするしくみだ。オフラインではあらかじめサーバーの情報をUSBキーに暗号化して格納しておき，このUSBキーでパソコンを起動する。アプリケーション・ソフトやOSは端末側にあるため，オンラインのときとオフラインのときで同じ端末環境にできる。同社ではこのしくみを「ローカル・ブート型」と呼んでいる。

　東芝ソリューションのシステムは，社内ではシン・クライアント端末として使うパソコンを，社外のオフライン環境では「データを残さない」パソコンとして利用できるしくみだ。パソコンを社内システムにつなぐと，ネットワーク・ストレージ装置に格納されたOSのイメージ・ファイルがパソコンに送られ，端末側にあるOSやアプリケーション・ソフトを起動する「ネットワーク・ブート型」を採用している。パソコンのハード・ディスクはアクセス禁止となる。

　そして，このパソコンを社外に持ち出す前に，ハード・ディスクの一部領域のアクセス制限を解除して，OSのイメージ・ファイルと必要なファイルを暗号化して格納しておく。社外ではこのイメージ・ファイルでノート・パソコンを起動し，ファイルを読み出して作業を継続する。ただし，ハード・ディスクは読み出し専用になっているため，作業したファイルは電源を切ると同時に消滅する。こうしてノート・パソコンにデータを残さないようにしている。

動画や音声を苦手としないシン・クライアント

　今どきの3番手は，「音声や動画を問題なく扱えるシン・クライアント・システム」である。多くのシン・クライアント・システムは，動画や音声の扱いが得意でない。一般的な「画面転送型」と呼ばれるシン・クライアント・システムでは，サーバーから端末へ送られるデータは画面の差分情報となる。オフィス系のアプリケーション・ソフトならこれで何の問題もないが，動画や音声を送ろうとするとコマ送り状態になってしまったり，音切れが発生してしまう。この問題を専用端末で解決したNECのシステムを紹介しよう。

　NECの専用端末は動画や音声の処理チップを搭載している。動画再生やVoIPの処理をシン・クライアント・サーバー側ではなく専用端末側で行うようにした。そのうえで，動画再生の場合はサーバーが動画コンテンツをそのまま専用端末に送る。IP電話の場合は，最初に呼制御サーバー（SIPサーバー）で通話先を呼び出した後は，シン・クライアント・サーバーを経由せず，専用端末同士が音声パケットを直接やりとりする。こうすることで音声が途切れないようにしている。

リモート・デスクトップで手軽にシン・クライアント

　今どきのシン・クライアントとして最後に紹介したいのは，「簡易型のシン・クライアントとして手軽に始められるリモート・デスクトップ・サービス」だ。リモート・デスクトップは，Windows XP Professinal搭載パソコンなどで利用できる機能で，例えば自宅のパソコンからインターネット経由で会社のパソコンにアクセスして，会社のパソコンのアプリケーション・ソフトやファイルを操作できる。便利な機能だが，操作される側のパソコンOSがWindows XP HomeやWindows Vista Home Basicだと使えなかったり，ルーターやファイアウォールの設定を変更しなければならない場合があるなど，制約が少なくない。こうした制約を解消したサービスを，ソフトイーサのVPN（仮想閉域網）技術を使った日本SGIやNTTアイティが提供している。そのしくみを見てみよう。
　
　両社のリモート・デスクトップ・サービスでは，中継サーバーが2台のパソコンを仲立ちするかたちでVPNトンネルを張る。つまり，本来なら会社と自宅の入り口にそれぞれ必要となるVPNゲートウエイの機能を，インターネット上の中継サーバーに集約した格好になる。こうすることで，いずれのパソコンもファイアウォールやブロードバンド・ルーターの内側にあって，プライベートIPアドレスしか使っていない構成でも，設定変更なしでリモート・デスクトップが利用できるようになる。

　ここまでに紹介した今どきのシン・クライアント・システムは，10月24日から東京ビッグサイトで開催される日経BP社のイベント「Security Solution 2007」のセキュリティ・オープン・ラボ――シン・クライアント・ホットステージでデモを計画している。来場者の皆さまに，実際の端末やシステムに触ってもらえる環境を用意する予定である。

　ここでは紹介できなかったが，通常のパソコンをシン・クライアント端末とするデモは，ネクサンティス/ 三技協/TCBテクノロジーズ，2Xアルファ・ソリューションズ，ネットワールドなどが予定している。また，専用端末による動画再生はサン・マイクロシステムズやワイズテクノロジーが，IP電話は富士通がそれぞれ実演する予定だ。さらに，ヒューレット・パッカード（HP）のブレードPC型シン・クライアントを使ったASP型サービスをクオリカが予定している。ぜひ，Security Solution 2007の会場にお越しいただき，最新シン・クライアントを実感していただきたい。