コラムセキュリティー対策

2026年03月05日 掲載

リモートワークの常識にどう対応？難攻不落なセキュリティ基盤の築き方

自宅、コワーキングスペース、サテライトオフィス等、場所にとらわれずに働く「リモートワーク」や、オフィスワークとリモートワークを組み合わせる「ハイブリッドワーク」が、当たり前の時代になりました。
しかし、さまざまな場所で働く社員の端末管理は想像以上に困難です。社外持ち出し端末の紛失や盗難に遭った場合、「どうやってデータを守るのか」「最新のセキュリティ対策は施されているのか」―――さらにBYOD※1の場合、企業としてどこまで管理に踏み込めるのかも不透明です。
働き方改革が進む一方で、企業が抱えるセキュリティリスクは確実に高まっています。情報漏えいを「事故」にしないためのセキュアなインフラ設計は、企業にとって喫緊の課題となっています。

• ※1「Bring Your Own Device」の略で、社員が個人で所有する端末やスマートフォンを仕事用途で使う、会社に持ち込むことを指します。（個人端末の業務利用）

見えない端末、管理できない脅威──リモートワーク時代の2つの課題

【課題1】一律のセキュリティポリシーを適用できない

リモートワークやハイブリッドワークでは、本来なら会社の管理下にある同一ネットワーク上で完結していた業務が、各所に散らばって行われます。この「散らばった端末」を一元管理することは、非常に困難です。

どのようなネットワークやアプリを使っているのか。それは安全なのか。セキュリティパッチは更新されているのか──。これらを常時把握できていなければ、インシデント発生時に即座に対応できず、企業の信頼を大きく損なうことになります。

オフィス内では防げていた脅威にも、無防備にさらされるリスクが高まります。マルウェア感染、不正アクセス、情報漏えい、そして端末の紛失・盗難。企業が守るべき情報セキュリティーの3要素であるCIA＜機密性（Confidentiality）・完全性（Integrity）・可用性（Availability）＞が、担保されない状態に陥ってしまうのです。

【課題2】「セキュアFAT」でも、物理的にデータが残る構造リスク

一般的な端末（FAT端末）の「使い勝手の良さ」と、シンクライアントの「セキュリティーの高さ」を掛け合わせた「セキュアFAT」。いいとこ取りのソリューションとして注目されていますが、実は完璧ではありません。

セキュアFATは、データを細かく分割して「端末本体」と「サーバー」に分けて管理します。端末単体ではデータを復元できないため、紛失しても中身を読み取られる心配はありません。つまり、パズルのピースが足りない状態なので、データの復元は不可能というわけです。

しかし、WindowsのOSそのものや、Excel等のアプリケーションは端末内に残っています。これらは機密データではないため、利便性のために残されているのです。問題は、保存処理中の強制終了等で一時ファイルが残るリスクです。
多くの製品では「書き込み禁止設定」や「暗号化」を組み合わせて対策していますが、リスクをゼロにすることは難しいのが実情です。そのため、内部統制を厳格にしたい組織や、データの持ち出しを完全に禁止したい業界では、より強固なセキュリティ対策が求められています。

仮想デスクトップ（DaaS）なら、端末にデータを「一切残さない」

【解決策1】サーバー上で一元管理、画面だけを転送する仕組み

この課題を根本から解決するのが、仮想デスクトップ（DaaS：Desktop as a Service）という仕組みです。サーバー上にクライアントOS（アプリケーション含む）を配置し、ユーザーはそこへアクセスして操作します。手元の端末は、あくまで「映像を映すモニター」にすぎません。実際の作業は全てサーバー上で行われ、画面だけが転送されます。

この仕組みなら、パソコンだけでなく、タブレット端末やスマートフォンからでも、同じデスクトップ環境を利用できます。そしてもっとも重要なのは、全てのデータがデータセンターのサーバーに保存され、デバイスには一切残らないという点です。

万一、端末を紛失したり盗難されたりしても、データが外部に漏れることはありません。

【解決策2】ログアウトのたびにリフレッシュされる「インスタントクローン方式」

仮想デスクトップの強みのひとつに、「ゴールドイメージ」※2による管理のしやすさがあります。

• ※2 マスターOS、マスターイメージとも呼ばれます。

ゴールドイメージとは、洋服を作る際に1枚の型紙から複数の服を作るように、管理画面からゴールドイメージをコピーするだけで全く同じ環境の仮想デスクトップを作成できます。これは仮想デスクトップの展開方式「インスタントクローン方式」によるものです。

コピーされた仮想デスクトップは、もちろん全てゴールドイメージに紐付けられています。そのため、セキュリティーの脆弱性が見つかった際は、ゴールドイメージにパッチを当てるだけで、コピーされた全ての仮想デスクトップに自動的に反映されます。

「インスタントクローン方式」なら、日々の業務環境も常にクリーンに保たれます。ゴールドイメージの作業をしなくても、ログオフ→ログインをするだけで、仮想デスクトップは自動的にリフレッシュされます。これにより、前回の作業で発生した不要なファイルやキャッシュが残らず、セキュアな状態が維持されます。

簡単に設定変更を全ての仮想デスクトップに適用できるため、運用管理の負荷軽減にもつながります。

実例に学ぶ──自治体Aが実現した「どこでも安心」な働き方

二要素認証で高いセキュリティレベルを維持

実際に仮想デスクトップ（DaaS）を導入した自治体Aの事例を見てみましょう。この自治体では、リモートワーク時でもセキュアに業務を行うことが課題でした。

仮想デスクトップへは、専用の接続アプリからアクセスします。この際に必要なのが、IDとパスワードです。どの端末からであっても、IDとパスワードが同じであれば同じ環境にアクセスできるため、個人所有の端末でもセキュリティーはある程度保てます。

もう一段階セキュリティレベルを上げるために採用しているのが、ログイン時の二要素認証です。二要素認証の方法としては、ワンタイムパスワード等があります。万一、端末を紛失したり盗難に遭い、接続アプリがインストールされたままだとしても、IDとパスワードだけでなく、ワンタイムパスワードがなければアクセスできないため、高いセキュリティレベルの維持が可能になりました。

人事異動でも、権限や環境を瞬時に切替え

自治体Aでは、人事異動が多くあります。従来なら、端末の再セットアップや手動でのアプリケーション追加・削除が必要でしたが、仮想デスクトップなら、管理画面から該当ユーザーに別のゴールドイメージを割り当てるだけ。数分で新しい部署の業務環境が整います。

これにより、企業が求めるセキュリティレベルと、現場が求める使用感を両立することが可能になったのです。

部署ごとに異なる制限を、柔軟に設定可能

自治体Aでは、部署ごとに業務内容が異なるため、運用管理に時間・手間がかかっていました。
そこで活躍したのがインスタントクローン方式です。B部署とC部署で、それぞれ別のゴールドイメージを作成し、異なる制限を付与しました。これにより、企業が求めるセキュリティレベルと、現場が求める使用感を両立することが可能になったのです。

たとえば、B部署には外部とのファイル共有を許可し、C部署は人事部門もあるため、より厳格な制限をかける──といった柔軟な運用が実現しました。

「AQStage 仮想デスクトップ」が選ばれる3つの理由

理由1：セキュリティ機能の充実

NTTビジネスソリューションズが提供するクラウド型仮想デスクトップサービス「AQStage 仮想デスクトップ」は、「インスタントクローン方式」を採用しています。

先ほど紹介した自治体Aの事例以外にも、さまざまな使い方ができます。業務内容に合わせて自由にスペックを変更できます。たとえば、端末1台あたりのメモリ容量を増やしたり、全体のCPUの性能を上げるという調整も可能ですし、グラフィック処理が多い部署には高性能な環境を、一般的な事務作業が中心の部署には標準的な環境を──といった使い分けができます。

さらに、堅牢な国内データセンターでサービスを提供しており、外部審査機関による認証（ISO 27001, ISO 27017）も取得済み。セキュリティーが確実に担保されています。

理由2：24時間365日の運用サポート

有人監視センターによる24時間365日の監視体制を敷いており、深夜の障害にも迅速に対応可能です。
さらに、あらゆるお問い合わせに一つの窓口で対応する、一元的なサポート窓口を設けています。「この件はA社、あの件はB社」といった煩わしさがなく、全て一か所で解決できる安心感があります。

理由3：専門家による運用代行サービス

NTTビジネスソリューションズでは、セキュリティ対策の商材を提供するだけでなく、専門家としてお客さまに成り代わって運用する等、オペレーション業務まで幅広くサポートしています。

情報システム部門の人員が限られている企業や、セキュリティーの専門知識を持つ人材が不足している企業にとって、大きな安心材料となるはずです。

まとめ　セキュリティガバナンスの効いた業務環境を

仮想デスクトップとは、端的にいうと「デスクトップのイメージを手元の端末に転送する」技術です。手元の端末内にあるデータにアクセスするのではなく、離れた場所にあるサーバー上に仮想マシン（端末）を生成し、その仮想マシンのデスクトップ画面を、インターネットを通じて手元の端末に表示させ、操作可能とします。

編集したり操作したりするデータは、あくまで離れた場所にあるサーバー内に保存されているため、手元の端末内には存在しません。手元の端末はただの投映用モニターのようなものなので、万一紛失したり盗難に遭っても、データが外部に漏れることはありません。

リモートワーク、ハイブリッドワークの時代、企業のセキュリティ対策への取り組み姿勢は、取引企業や投資家にとっても重要な判断基準になります。企業としてのセキュリティ対策は、インシデントが発生した際に、対外的に説明責任を果たせるかどうかです。

セキュリティーを担保し、快適に働く環境づくりは、これからの働き方に欠かせません。新しい働き方を実現するためのセキュアな環境や、企業のDXを進める上で考慮すべきセキュリティ対策を、「AQStage 仮想デスクトップ」が実現します。

クラウド型仮想デスクトップサービス「AQStage 仮想デスクトップ」へのお問い合わせ
詳しくはこちら：https://www.nttbizsol.jp/service/daas/

あわせて読みたいナレッジ

関連製品

• 

  AQStage 仮想デスクトップ