内部統制の転職・求人ガイド > IT統制 > シンクライアント:企業や官公庁のセキュリティ対策、テレワークで注目

シンクライアント:企業や官公庁のセキュリティ対策、テレワークで注目

テレワークと相性がいいシステム構築

企業の業務システムの操作の全てがPCを前提に構築されるようになり、ITインフラとして不可欠な存在となっていますが、その役割に比例して利用時における煩雑さも増してきています。導入設置、資産管理、ヘルプデスク、認証、ユーザーの監査、故障対応から廃棄処理まで、サイクル全体への対応が迫られています。数千台から1万台を越すPCを管理する企業の負担は甚大です。

PCを保有する際のTCO(総所有コスト)は想像以上に大きく、ITインフラの根幹を占めるクライアント環境がどうあるべきなのか、その方向性が問われています。また、ユーザーの過失か、意図的な行為かを問わず、PCに端を発する情報漏えい事件は後を絶ちません。ノートPCの社外への持ち出し禁止を掲げる企業も増えています。

そこで注目されているのが、シンクライアントです。PC端末はハードディスクなどの記憶装置を持たないため、PCからデータとアプリケーションを分離することができます。別の場所にあるサーバーでデータを一元管理するため、セキュリティ対策に有効なだけでなく、運用・管理プロセスの標準化、電力消費量と発熱量削減、保守サポートの作業工数の削減などTCO削減が期待できます。内部統制の強化やセキュリティを目的としてシンクライアントを導入する企業が増加しています。

ネットワークの広帯域化と国内外のベンダーによる相次ぐ低価格端末のリリース、運用管理のためのソフトウェアが充実してきたことも後押しとなり、シンクライアントは2010年前後から普及が大きく進みましたが、近年再注目されている理由として、コロナ禍でテレワークの普及が急速に進んだことが挙げられます。シンクライアントは端末にデータやアプリケーションソフトを必要としないため、テレワークを行う従業員のPCやモバイル、タブレットの機種やOSが異なっていても円滑に業務を行うことができます。端末にはデータが残らないためウイルス感染や機密情報の漏洩等のセキュリティ面でも安心です。

データの一元管理でシステム全体の運用管理コストを削減

シンクライアント・システムでは、アプリケーションやデータをデータセンターで一元管理することが可能となり、システム管理者が、一切の管理を担当します。したがって、エンドユーザー部門が情報システム部員のように働く必要はなくなります。

PCの場合、一般に導入台数が増えれば管理コストも比例して増加します。これに対して、シンクライアント・システムでは、集中管理するため台数が増えても管理コストはほとんど増加しません。そのため導入規模が大きいほど、TCO削減の効果が大きくなります。

演算部であるサーバーやブレードPC、記憶部であるNASやSANの運用管理を自動化する仕組みを利用することができます。故障時に影響の大きい演算部や記憶部をデータセンターに置くことで、システム管理者の負担を大幅に削減できます。

シンクライアントには、ソフトもデータもないので、各拠点に設置したシンクライアント端末が故障した場合は、端末を交換するだけで作業は完了します。宅配便などで端末を送付して、利用者本人が交換することも可能です。

環境要因もTCO削減効果に含まれます。専用に設計されたシンクライアントの多くはファンレスで、通常のPCに比べて消費電力は10分の1以下という製品も登場しています。筺体も、PCよりコンパクトに設計されているため、設置スペースも減ります。シンクライアントを使うことにより、エンドユーザー拠点における消費電力・設置スペースの削減が可能となります。

既存のPCをシンクライアント端末化できるUSB型シンクライアントも年々、その性能と利便性が向上しています。

シンクライアントは盗難・紛失や不正持ち出しによる情報漏洩を防止します

シンクライアントの導入メリットして、高いセキュリティ環境を構築できる点があげられます。データセンターで情報の一元管理を行なっているシンクライアント・システムでは、ハードディスクやCD-ROM等の外部記憶装置がPCに存在しません。したがって、盗難や不用意な持ち出しに対する物理的セキュリティが格段に向上します。

これによりPC本体に記録したデータが盗難、紛失による情報漏えいは完全に防ぐことができます。外出先(モバイル環境)でもシンクライアントを使用して社内のデータにアクセスできるようにすれば、ノートPCにデータを入れて持ち歩くこともなくなります。

また、エンドユーザーが自ら実行しているOSのパッチファイルの更新やウイルス・スキャンといった作業は、データセンターに集約している演算部と記憶部に対して、情報システム部門が一括して適用します。これにより、確実な更新作業やウイルス・スキャンが可能になります。

さらに、エンドユーザーによる設定変更や不必要なソフトのインストールなど、情報システム部門が想定していない利用法も、シンクライアントなら簡単に制限できます。

USB型シンクライアントなら既存のPCをそのまま利用できます

企業や官庁などでは、相次ぐ個人情報の漏洩などを受け、更なるセキュリティ対策が求められる一方、外出先や自宅のPCでも通常通りの業務を行いたいという需要も高まっています。そんな中、注目されているのがPCに差し込むだけでモバイルオフィスが構築できる、USB挿入タイプのシンクライアントです。

シンクラアント専用機を購入する必要がなく、既存のPCをそのまま利用できるので、導入時のコストを削減することが可能です。既存のPCは、USBを外した状態起動すれば、普通のPCとして使用できます。シンクライアントとリッチクライアントの併用、段階的なシンクライアントへの移行も可能です。

シンクライアントソフトを直接起動する「ブートモード」とWindowsが起動されている状態で、自動的に起動する「バーチャルモード」の2つのモードを業界で始めた搭載した、利用PCを選ばない製品も登場しており、利便性は高まるばかりです。

USB型シンクライアントを利用すれば、出張時に重いPCを持ち歩く必要はありませんし、外出先で資料やメールを確認したくなっても、出先のPCで簡単・安全に対応することができます。さらに、ネットワークが接続できないオフライン環境でも、PDFファイルを格納しプレゼンテーションや資料の表示を可能とする秘匿エリアが用意されているサービスもあります。

また、在宅勤務や帰宅後に自室のPCで仕事をしたい場合でも、会社から自宅へデータを持ち出す必要がないので、情報漏洩の心配がありません。万が一自宅のPCがウイルス感染していても、仕事に支障をきたしません。最近の製品は指紋認証機能が搭載されていますし、USBメモリ内のファイルが流出したとしても、ファイルは暗号化されているから心配いりません。

これらの利用状況は、社内利用、持ち出し利用にかかわらずすべて自動記録され、管理者の設定した電子メールアドレスに自動送信することもできるため、内部統制の有効性を示す業務監査ログとしても活用できます。

シンクライアントはコールセンターなどの人材の流動性が高い職場に最適です

システム導入のメリットは、TCO(総所有コスト)の低さ、セキュリティの高さなどですが、こういったメリットが最大限に生かせる業務や部署が、特にシンクライアントに適しています。

最初に思い浮かぶのが、人材の流動性が高く、不特定多数の人が操作することの多い職場です。コールセンターや受付などがこれにあたります。TCOの低さとセキュリティの高さの2点がクライアントに求められる部署だからです。

コールセンターでは、発信元電話番号を基に、自動的にPCや専用端末の画面に登録してある顧客情報を表示するCRM(顧客情報管理)システムを、オペレーターが使うのが一般的です。CRMシステムが表示するデータには、個人情報が含まれることも多く、慎重な取り扱いが求められます。

店舗端末も、シンクライアントに適した分野です。多くの店舗を展開する小売・サービス業などの場合、各店舗に設置したPCを、本部の情報システム部門だけで管理するのは困難です。また、人材の流動性が高い職場であり、セキュリティ・ポリシーを徹底させるのは難しくなります。店舗端末をシンクライアントに替えることにより、本部側での集中管理が容易になります。

社内の機密データを取り扱う部署もシンクライアントに適しています。従業員の人事情報を管理する人事システムや、会計システムなどにアクセスできる部署は、セキュリティの観点から見て、シンクライアント導入によるメリットが大きいといえます。

OSやアプリをネットワーク経由で起動させるネットワークブート方式

ネットワークブート方式は、ブート・サーバーとハードディスクを内蔵しないディスクレス・PCで構成し、クライアントを使用するためのOSやアプリケーションを、ネットワーク経由で起動させる方式です。

コンピュータの電源を入れてOSが起動するまでの処置のことをブートといいますが、この処理をネットワーク経由で実行するわけです。PCの機能を表示部、演算部、記憶部に分割して考えると、ネットワークブート方式は、表示部と演算部を備えたディスクレス・PCでアプリケーションを処理し、いわゆる記憶部だけを、サーバー側へ再配置した形をとります。

通常PCは、OSやアプリケーション、作成したデータを内蔵ハードディスクに記憶しており、ハードディスクのプログラムを読み込んでOSを起動します。一方、ネットワークブート方式ではOSをサーバーからダウンロードし、PCの本体に搭載したメモリーに読み込んで起動します。ハードディスクを搭載していないディスクレス・PCを使用するのが一般的ですが、ハードディスクを内蔵する一部のPCでも、ネットワークからブートするように設定すれば、この方式で用いることができます。

ディスクレス・PCの電源を切ると、ダウンロードした環境がクリアされます。ハードディスクを持たない以外は普通のPCと同じですので、画面転送方式のシンクライアントが苦手とする動画ストリーミングや3D画像処理も実行できます。したがって、大学や図書館など、不特定多数の人がPCを共有する場所での用途に向いています。

ただし、ブート時に必ずOSとアプリケーションのディスクイメージをロードするため、かなりのネットワーク領域を消費することになります。同時にブートするディスクレス・PCの台数、ディスクアクセスの頻度に依存しますが、基本的にギガビットイーサネット環境を用意する必要があります。

サーバーベース方式では、複数のシンクライアントがサーバーの資源を共有します

サーバーベース(SBC)方式は、基本的にサーバーとシンクライアントで構成し、複数のシンクライアントがサーバーの資源を共有する形態をとります。サーバーとシンクライアントとは「1対多」の接続となります。SBC方式の場合、アプリケーションやデータはサーバーで動作します。

サーバーベース方式では、従来PCにインストールしていたアプリケーションをサーバーにインストールします。対象となるのは、Word・Excelなどのオフィス・ソフトやWebブラウザだけでなく、ERPパッケージ(統合基幹業務システム)をはじめとした業務システムの操作に使うクライアント・ソフトなどです。これをシンクライアントから操作します。

業務システムの場合、シンクライアントに入力した命令を、クライアント・ソフトをインストールしたSBCサーバー上で実行し、業務システムを管理する別サーバーとの間で情報をやりとして、処理が完結します。

完結した結果の画面をSBCサーバーがシンクライアントに送信します。このように処理は3階層になっています。

サーバーベース方式では、複数のシンクライアントがサーバーの資源を共有します。これを一般に「マルチユーザー」環境といいます。マルチユーザー環境のベースとなるのは、マイクロソフトがWindows NT server4.0以降のサーバー用OSで提供している「ターミナルサービス」という機能です。

仮想PC方式は、専用ソフトでサーバー上に仮想的に複数のPCを形成します

仮想PC方式は、サーバーベース方式と同様に、サーバーとシンクライアントで構成するシンクライアント・システムです。基本的に複数のシンクライアントが、サーバーの資源を共有する点もサーバーベース方式と同じです。

ただ仮想PC方式は、サーバーベース方式のように複数のクライアントがサーバーの資源を単純に共有するのではなく、専用のソフトを使ってサーバー上に仮想的に複数のPCを形成し、仮想PC上でアプリケーションを動作させます。このPCをシンクライアントから操作します。仮想PCを形成するソフトを仮想化ソフトといいます。

仮想PC方式の場合、サーバーとシンクライアントは「1対多」の接続となりますが、個々の仮想PCとシンクライアントは「1対1」で接続します。そして、仮想マシンの演算結果のビットマップ・ディスプレイ情報だけをシンクライアントに転送します。

仮想PCを生成するソフトとしては、ブイエムウェアのVMwareが代表的です。仮想化ソフトとしては、インテルやAMDのCPUを搭載したサーバー上に直接実装するものと、WindowsサーバーOS上に実装するものの2種類があります。このソフトが作成した仮想PC上で、WindowsXPなどのPCOSとアプリケーションを起動します。

仮想化によって1台のサーバーを論理上複数のサーバーに見立てて運用し、それぞれの仮想サーバー上でアプリケーションを動かすことにより、物理的にはサーバーを集約しながら、個別のアプリケーションに1台のサーバーを用意したのと同様の運用が可能になります。

これにより、従来は処理能力を余らせていたサーバーのCPU使用率を上げることができます。例えば1台のサーバーに3台の仮想サーバーを生成すれば、3台のサーバーで稼動していた複数のアプリケーションを、ほとんど運用形態を変えずに1台のサーバーに集約することができます。

仮想化技術を使いこなすことによって、仮想PC方式でも冗長構成が可能になります。仮想化技術を使えば、複数の物理サーバーを1台の仮想サーバーとして扱うことができるので、あるサーバーに負荷が集中した場合には、物理サーバー間で仮想マシンを動的に稼動させればいいのです。複数の物理サーバーを仮想化している場合には、1台が障害を起こしても、エンドユーザーが作業を続けることができます。

ブレードPC方式は、既存のPCのアプリケーション資産がそのまま継承できます

ブレードPC方式では、ユーザーは表示部にシンクライアントを使用し、演算部は、ブレードPCという板状のPCがデータセンターのシステムラックに集約されています。シンクライアントとブレードPCとの間は、ビットマップの画面情報を送信する画面転送方式を採用します。

最大の特徴は、ブレードPC部分には通常のPCと同じコンポーネントを用いていることです。OSやアプリケーション、各種ドライバなどすべてが通常のPCと同じものを使用するため、PCからシンクライアント・システムへ移行する際に、既存のアプリケーション資産をそのまま継承できます。

アプリケーションの動作検証などの作業がほぼ省略できるため、運用開始までの期間が短くて済むというメリットにつながります。

ブレードPC方式は1台のPCを物理的に分離させた仕組みであり、シンクライアントとブレードPCは「1対1」で接続されます。

そのため、ユーザーはブレードPCのリソースを占有することができ、ほかのユーザーからの影響は全く受けることがありません。障害の際にも、影響を受けるのは1ユーザーに限定されます。問題の箇所が明快なので原因究明や対処も容易です。

や仮想PC方式と比較した場合、共有型でないために、同時に使用するユーザーの数だけ、必ずブレードPCを用意しなければならないというデメリットもあります。それでも通常のPCと比較すると、はるかに効率的に利用することができます。

ブレードPC方式は、表示部のシンクライアントと、演算部のブレードPC、そして記憶部をストレージに分けて運用しているので、通常全員分のブレードPCを用意する必要はありません。最大の同時利用者数を見積もって、その数だけブレードPCを用意すればよいのです。

管理の対象となるハードウェアが増えるため、管理工数もそれに伴い増えるといわれることもあるが、実際にはそれを補う管理ツールがあるので、効率的な作業が可能です。この管理ツールの操作性の良し悪しが、運用工数低減に大きく影響します。

シンクライアントの導入手順① 調査企画:解決すべき課題を絞る

まず、シンクライアント導入の目的を明確にする必要があります。経営課題解決のために導入するわけですから、問題意識を持っているCEOやCIOへのヒアリングは重要です。

目的は売り上げ拡大か、生産性向上か、コスト削減か、セキュリティ対策か、特に解決すべき課題を絞っておくことができれば、より最適な設計が可能になります。

そして、それぞれの狙いには具体的な数字に表現できる目標を持ちましょう。その目標数字があるとIT環境の現状分析の範囲とシンクライアント化の影響度を予測することが可能となるからです。

重視したいのは利用者側に立った影響です。昔は1種類の専用端末しかありませんでしたが、現在は多様な端末を扱う利用者が増えています。応答速度を含めて快適な環境を提供しなければなりません。

小さくて静かな端末であるが、スピードが遅くては意味がありませんので、エコロジー対応というシンクライアントのメリットを失わないように、ネットワークやサーバーにまで調査範囲を拡げる必要があります。

それを経て、おおよその投資金額、シンクライアント導入効果も見えてくるでしょう。ただし、セキュリティ対策の場合は投資効果というよりも、どのレベルまで対策を高めるかという判断になります。これはトップ判断となるわけですが、拠り所となるのは自社のセキュリティポリシーやネットワークポリシーとなります。

いずれにしても、シンクライアントはサーバーベースのシステムですから、端末だけですむ問題なく、ネットワークやサーバーを含めて広範囲な調査企画が不可欠です。

導入手順② 設計:最適な端末を選択後、新システム構築までの移行内容を把握する

システムの規模や予算が具体的な目標数字として明確になったら、設計作業に入ります。まず、対象業務と利用者の範囲から業務要件を定め、この分野にはどのシンクライアント端末が望ましいかを選択します。要はシンクライアントの利用をどのように生かすかに尽きます。

最適なシンクライアントを選択した後に、現端末のスペックやリース残などの状況、LANやWANのネットワークの現況、そしてサーバーの能力などから、新システム構築までの移行内容を把握していきます。

古いPCでシンクライアントとして使えそうなものは再利用するとか、サーバーの負荷分散を図って信頼性を高めるためのサーバー投資をするかとか、このあたりは経験による知識がものをいいますので、経験豊富なSI(シンテムインテグレータ)ベンダーにアドバイスを受けるのがよいでしょう。

特に留意したいのは、導入時点だけでなく長期的な視点に立った設定を考えることです。投資の関係ですぐには無理であっても、段階を踏んで拡張する計画を作っておくだけで、将来のシステム手直しを最小にできるようにしておくわけです。

例えば、取引会社とのEDI(電子データ交換)を中心にしたエクストラネットの拡大、営業社員向けのモバイル利用の定常化、マルチメディア・コンテンツの採用などが具体化しそうであれば、そうした課題への対応も含めておきます。この段階は導入効果と投資のバランスをとる重要なステップです。

そして、具体的なシンクライアントの構成が明確になった時点で、実証するのが望ましいとされています。検証時にできれば、モデルユーザーを選んで実際に使ってもらいます。設定作業、以降作業の体験、ユーザーの使い勝手の印象、ネットワークやサーバーの能力判定など、学習という点からもこれは欠かせないステップです。

ここで収集したデータに基づき、全体システムの展開がより具体化してきます。通常はこの段階を経て調査企画段階の裏づけを確認し、より詳細な投資計画が決定してトップの決済を経ることになります。

導入手順③ 導入作業:端末側とサーバー側の両方の作業が必要となる

現有システムが稼動しているわけですから、導入作業というより移行作業といったほうがいいかもしれません。まず端末配置を決定し、配線工事を含めた作業計画を作成、工事手配の準備をします。

シンクライアントはPCより小型ですから、新たなスペースを必要ないですが、デスクトップPCからの移行では、これを機会にスペースの縮小を考えることも可能です。共用端末として新規設置の場合は利用者が使いやすい場所の選定が第1といえるでしょう。

また、結果的に個人に配布・設置されたPCの環境をサーバー側に集約・移行し、以後の管理を容易にするためのディレクトリの構築や共有ファイルの設定なども必要です。

設計段階で決められている内容を誰がどのような手順で行い、確認を誰が行なうかまで明確にします。移行対象の台数が多いので、限られた時間に処理ができるかの予測も重要です。

サーバーベースド・コンピューティングですから、端末側だけでなく、サーバー側の作業も併せて必要になります。サーバー停止の影響度が大きくなりますから、安定運用に向けてサーバーの設置条件や運用条件は厳格な対応が要求されます。

このような作業計画が立案され、関係者に徹底された後に導入作業が実施されます。作業そのものは多数のPCが導入される作業とあまり違いはありません。重要なのはサーバーとの関連性のチェックです。特にLANやWANにまで広がる展開の場合はサーバーも複数設置され、設定情報の確認やサーバー間の調整など、これらの作業は専門家でも時間を要します。

導入手順④ 運用:パフォーマンスの測定を行い、設計段階との差を分析

実際にシステムを運用してみると、設計段階では気づかなかった問題も発生してきます。稼動はしていても、十分な応答速度が得られていないといった現象に対して、各セクションでパフォーマンスの測定を行い、設計段階との差を分析していきます。

シンクライアントは即効果を出せるというより、ある程度の実運用を経て、端末、ネットワーク、サーバーのチューンナップを行い、目標とした効果を得ていくというのが一般的です。

このパフォーマンス測定は新システム導入時のみではなく、端末台数が増えたときや新しい業務が付け加わったとき、サーバーやネットワークが改変されたときなどにも必要な作業です。

端末側がシン(thin)ですから、C/Sシステムと比較したら簡便です。人事異動に伴う端末の変更も、パソコンと比べたら時間もかかりません。これはTCO削減の効果といえます。

セキュリティ診断も運用段階になって行ないます。会社トップに対して、報告するという責務からも、定期診断をして定期レポートを作成するべきでしょう。より安全なシステムを構築したから、これで終わりというわけではありません。

現実には情報機器の紛失・盗難、ハードとソフトの障害などが発生してくる可能性があるわけで、そうした中でどのような影響があり、どのような対応をとったかを常に報告すべきでしょう。

そうした観点から言っても、現状把握がより容易なサーバ・ベース・コンピューティング. (SBC)は有利です。運用しやすいということは、別の意味からセキュリティレベルが高く維持できるという結果につながります。

シンクライアント:企業や官公庁のセキュリティ対策、テレワークで注目:関連ページ

ITを取り入れた情報システムに関する統制
ITの統制とは、会社で利用している情報システムや管理している情報に対して起こりうるリスク(情報改ざんや情報漏え […]
COBITはITガバナンスの成熟度を測るフレームワーク
COBITとは、アメリカの情報システムコントロール協会(ISACA)とITガバナンス協会(ITGI)が提唱して […]
ERPは内部統制の強化と業務効率の向上を実現します
企業が内部統制を確立する目的は、「業務の有効性及び効率性」を高め、さらに不正やミスの発生を抑えて「財務報告の信 […]
ITILに沿ったIT運用がなされていれば、SOX法に対応できます
ITILは、ITサービスマネジメントにおける業界の「ベストプラクティス集(成功事例)」を文章化したフレームワー […]
ISO20000はITサービスマネジメントの国際規格
ISO20000とは、イギリス生まれのITILに基づいて開発されたITSMSの国際規格のことで、組織が効果的か […]