IT管理者は今、リモート環境から安全かつ快適にSaaSを利用できる環境をユーザーに提供し、運用することが求められています。そのために不可欠なゼロトラストセキュリティを実現する「VMware Workspace ONE®」を中心としたソリューションを紹介します。
コロナ禍によって社会情勢の変化が急速に進んだことで、リモートワークの導入が半ば強制的に進むとともに、デジタル活用の機運が高まりました。「リモートワークのためにクラウドを活用したい」、「リモート環境のセキュリティを高めたい」といった課題を多くの企業が抱えています。
PCやスマートフォンなどを社外へ持ち出すことが増えた結果、「信頼せず、常に検証する」というゼロトラストセキュリティの考え方に基づいた対策が急務となっています。では、このゼロトラストセキュリティをどう実現すれば良いのでしょうか。米国国立標準技術研究所(NIST)では、理想的なゼロトラストセキュリティの実装として「7つの基本原則」を示しています。
ゼロトラストセキュリティに必要な7つの基本原則
ゼロトラストセキュリティでは、「エンドポイント」を常に監視しています。そのためには、「認証基盤」、「デバイス状態の確認」、「多要素認証」などが必要です。例えば、ゼロトラストセキュリティの考え方に基づけば、同じユーザーであっても、アクセスするデバイスの種類や状態が異なる場合には、同じ取り扱いをしてはなりません。認証に必要な情報を一元管理する認証基盤を用いて、ユーザーに複数の認証情報を組み合わせてアクセスしてもらうことで、安全性を担保しています。
ゼロトラストセキュリティを実現する上で有効なのがVMware Workspace ONE(以下、Workspace ONE)です。「端末管理」、「認証基盤」、「管理者サポート」などの機能を有しており、デバイスや場所を問わずアクセス可能なデジタルワークスペースの実現に寄与します。
具体的には、デバイスに対してアプリ/プロファイル/ポリシーの配布や、OSアップデートなどのパッチ管理が行えます。また、Active Directory、Azure AD、Oktaなど、ID連携やポリシーによるアクセス制御、SAML認証によるシングルサインオン(SSO)でクラウドアプリとの連携も可能です。
Workspace ONEで管轄しているアプリと管轄外のアプリの接続を、管理者が制御できる「VMware Workspace ONE Tunnel」というクライアントVPNのような機能も提供されています。拠点間のネットワーク最適化やWAN運用の簡素化には「VMware SD-WAN™」をあわせて活用すると良いでしょう。
Workspace ONEによってゼロトラストセキュリティを実現
ここからは、Workspace ONEとウィザースのサービスを併用することで、IT管理者のお悩みを解決したユースケースを3つ紹介します。
端末管理の効率化とセキュリティ向上の例
持ち出し端末のセキュリティ対策を強化し、Workspace ONEを導入した例です。このユースケースにおけるポイントは、管理者以外の従業員でもリモートロック/ワイプができるようになったことです。
また、ウィザースのサービス「VMware Workspace Gate® Directory」との連携で、条件付きアクセスを実現しました。利用ポリシーに準じているか、つまりルールに違反していないかをチェックし、クリアしていればクラウドサービスにログインできるというものです。強力な認証によってゼロトラストセキュリティ構築を進めた事例です。
トラフィック軽減と保守管理からの解放を実現した例
Workspace ONE導入の際に、社内のシステムと連携するには、別途ゲートウェイサーバーを立てる必要がありますが、運用管理の手間から社内の設備投資はしたくないという要望には、ウィザースの「Workspace Gate Cloud Deployment」が役立ちます。これはイントラネットとの連携に必要なゲートウェイサーバーの機能をSaaSでご提供するもので、この事例では、同サービスを活用することで、面倒なサーバー運用保守の負荷を解消しました。
迅速なPCの導入・設置を実現した例
これは、ウィザースの「Workspace Gate Lifecycle Management」を利用した事例です。
プロビジョニングによってPC導入・設置工数を9割削減できただけでなく、システム担当者が不在の拠点でもスムーズな導入とデータ移行を実現。在宅の従業員へもPCを配送したことで、すぐにご利用いただけるようになりました。
システムは「導入したら終わり」ではありません。テレワークの普及や個人情報の保護、生産性向上などの観点からデバイス管理は非常に重要で、システムの運用管理を継続して実施する必要があります。IT管理者の負担を軽減しつつライフサイクル管理を行う際は、Workspace ONEに関連するウィザースのWorkspace Gateシリーズや運用支援サービスが有効です。
ゼロトラストセキュリティとライフサイクル管理
ここでは、企業にありがちな3つの悩みを挙げながら、Workspace Gateシリーズが提供するソリューションを紹介します。
現場担当者は「システムごとに覚えるパスワードが多すぎる」、「パスワードを忘れてしまった」という悩みを抱えがちです。一方のIT管理者には、「簡単に実現できるSSOでパスワード関連の悩み相談を減らしたい」、「アクセスを簡単に制御したい」といった課題がしばしば見られます。
こうした課題に役立つ認証基盤が「Workspace Gate Directory」です。これによってユーザーがシステムにアクセスする手順として、まずWorkspace ONEでデバイスの信頼性を確認し、次にクラウド認証基盤との連携によってIDの信頼性を確認します。この2つのステップを踏むことで初めてクラウドアプリに認証を行います。
同サービスのメリットとしては、同じくSSOを実現する「Active Directoryフェデレーションサービス(ADFS)」と比較して、構築・運用コストが約半分になることです。また、IDaaSの構築から運用まで任せられる点もポイントで、手軽にゼロトラストを実現できます。
Workspace ONEで管理しているデバイスからイントラネットへ接続するためには、必ずゲートウェイサーバーを設けなければなりません。しかし、サーバー構築の知識が不足している、運用監視を行うリソースがない、という課題をお持ちの企業も多いでしょう。
そこで役立つのが、ゲートウェイサーバーをクラウド化してワンストップで提供する「Workspace Gate Cloud Deployment」です。企業に代わってゲートウェイサーバーの構築から障害対応、監視、アップグレードまでをパッケージ化したサービスです。Workspace Gateのサポートデスクにて、24時間の障害監視・運用支援を提供しています。
なお、ゲートウェイサーバーはMicrosoft Azure環境上に構築しています。ゲートウェイアプリケーションはWorkspace ONEのライセンスに付帯しています。
Workspace Gate Cloud Deploymentの概念図
リモートワーク環境下におけるPCのキッティング作業に課題を抱える企業は多いでしょう。これを効率化するために、メーカー側でのプロビジョニング実施を検討するものの、新規PCしか対応していないケースもあります。
そこでウィザースでは、企業のPCや代替機をお預かりし、プロビジョニングパッケージの適用と発送を代行するサービス「Workspace Gate Lifecycle Management(LCM)」を提供しています。これによってPC導入工数の大幅な削減が期待できます。
メーカー工場でのプロビジョニングに対応できない新規PCや再利用PCにも対応可能です。余剰PCをLCMサービスセンターにお送りいただくだけで、プロビジョニングを適用して当社がお預かりします。必要に応じて指定先へ配送するほか、要望に応じて代替機の回収も行います。
Workspace Gate Lifecycle Management(LCM)のサービス概念図
Workspace ONEの導入・運用支援に関しては、企業が抱える以下の観点からサービスを提供しています。
Workspace ONEに関して製品知識がない、検証評価の時間がない、ソリューション連携を行いたいがノウハウがなくて難しいという企業に対して、ウィザースでは導入コンサルティングサービスとして、導入アセスメントや設計・構築支援を行っています。環境調査、構成の提案、機能選定などの相談に応じるほか、希望に応じてWorkspace ONEの設計・構築・運用支援をフルカスタマイズします。
実際に構築プロジェクトを進める中で、Workspace ONEの問い合わせを誰に言えば良いかわからない、製品の技術的なサポートがほしいという企業は多いでしょう。こうした課題に対してウィザースでは、プロジェクト推進支援サービスを提供しています。他のベンダー製品との連携や運用設計などように、VMwareの製品サポート窓口で対応できない相談もウィザースが対応します。オプションで、プロジェクトの作業を直接支援することもできます。
Workspace ONE導入後、運用のために人員を割けず、設定変更や動作検証などに苦慮している企業は少なくありません。これに対してウィザースの運用支援サービスは、IT管理者向けに日常的な運用支援を行います。動作検証や再現検証、設定変更代行などの運用作業をサポートデスクが実施します。その他に、障害発生時の再現試験やログの取得、運用に関するアドバイスなどの幅広いサービスを提供します。
Workspace ONE 運用支援サービスの概要
ここまでWorkspace ONEについて紹介してきましたが、VMware関連のソリューションとしてウィザースではほかにも「VMware SD-WAN導入支援サービス」も提供しています。
VMware SD-WANは、ソフトウェアでWANを制御し通信の最適化を実現するソリューションとして近年導入が広がっています。アプリケーション単位またはユーザー単位で通信状態をグラフィカルに可視化し、通信のパフォーマンスを最適化できます。
SD-WAN製品は一般的に導入負荷が少ない点が特徴ですが、VMware SD-WAN導入に伴うPoCの実施や基本設計、導入後の運用などで不安を抱えている企業は多いでしょう。「VMware SD-WAN導入支援サービス」ではIT管理者の負荷を解消する一貫したサポートを提供します。
VMware SD-WANの画面イメージ
ここまで触れたようなWorkspace ONEやVMware SD-WANなどはもちろん、ウィザースではさまざまなソリューションを組み合わせながら、昨今のリモートワークで生じるIT管理者様の業務課題やセキュリティ課題を解消していきます。
リモートワーク環境下で求められる「ゼロトラストセキュリティ」と「通信の最適化およびコストの削減」。コロナ禍終息後もリモートワークを取り入れている企業が存在すること、従業員からのニーズも高まっていることを考えると、今後もこのトレンドは続いていくことでしょう。特に、サイバー攻撃が激化している昨今において、セキュリティ対策は欠かせません。ゼロトラストセキュリティの実現を導入から運用まで伴走するウィザースまで、ぜひご相談ください。
※この記事は、2022年11月15日~16日にVMware主催で開催されたイベント「VMware Explore 2022 JAPAN」での講演を記事化したものです
