第16話 在宅VDI（仮想デスクトップ）の盲点

在宅ワークで仮想デスクトップ（VDI）を導入している企業も最近増加している。セキュリティ対策に重点を置いている企業は特にその傾向がある。
ここでは自宅からVDIで業務システムに接続する環境のセキュリティ対策について考察する。

在宅パソコンからVDI（仮想デスクトップ）に接続

自宅からのVDIに対してゼロトラストFTA検討を実施するにあたり、社員個人の在宅パソコンの利用を許可した場合を想定する。

・通信方法：VDIプロトコル（IDパスワード認証）
・接続先：SaaSメール及び社内オンプレ業務システム
・端末：在宅PC
・端末へのデータ保存禁止ポリシー運用
・セキュリティ対策
　□ VDI；ゲートウェイセキュリティパッチ
　□ VDI：クライアントアンチウイルスソフト
　□ VDI：ファイル転送禁止

VDIは端末からの情報漏洩対策については高いレベルで防いでいると言える。

【盲点1】 不正アクセスによるリスクは残る

ただし、IDとパスワードの認証だけでVDIに接続出来てしまうと、それが不正アクセスの脆弱ポイントとなる。
このような不正アクセス対策は多要素認証が効果的だ。多要素認証を導入することで、不正アクセス脆弱性は大幅に改善する。（参考「第10話 不正アクセス情報漏洩の盲点」）

【盲点2】 在宅パソコンのマルウェア感染のリスク

しかしVDIに多要素認証を導入しても、個人の在宅パソコンを使用している限り、マルウェア感染による情報漏洩のリスクは残る。（参考「第7話 マルウェア情報漏洩の盲点」）

【盲点3】 持ち帰りパソコンの方が脆弱性が増加する可能性も

これを防ぐために、個人の在宅パソコンではなく、（充分なマルウェア対策が施された）会社が貸与する持ち帰りパソコンのみの接続を許可する対策が考えられる。
しかしこれらのパソコンは普段社内で業務に使用しているパソコンであるため、パソコン内には業務データが保存されている。

このため
・ディスク暗号化
・USBメモリ禁止
などの要塞化対策が行われないと、下記のチャートのように、パソコンやUSBメモリなどの端末紛失のリスクが高くなってしまうのだ。

持ち帰りパソコンでVDI接続を許可する場合は、要塞化対策も必須であることを忘れてはいけない。

セキュアブラウザで全方位のセキュリティ対策も

あるいはセキュアブラウザを導入する選択もある。

セキュアブラウザDoCANを導入した場合は、個人も在宅パソコンであっても、
・ウイルス感染の可能性があるパソコンでは起動しない。
・システム管理者が許可した端末のみアクセス可能。
というセキュリティ機能を実現出来る。

VDIの多要素認証の導入と、持ち帰りパソコンの要塞化の運用の代わりに、セキュアブラウザDoCANを導入するのも選択肢の一つであろう。

まとめ
・VDIは不正アクセス対策としての多要素認証が望ましい。
・持ち帰りパソコンには要塞化対策が必須。
・セキュアブラウザで全方位セキュリティ対策も有効である。

【2021年版】ゼロトラストFTAガイドブック（無料）はこちらからダウンロード出来ます。本ガイドブックが、一社でも多くの企業のセキュリティ対策に役立つことを願います。