セキュリティに配慮した設計（セキュアバイデザイン）| ホワイトペーパーセキュリティに配慮した設計（セキュアバイデザイン） XenAppとXenDesktopで実現するデータ保護、アクセス制御、その他のクリティカルなセキュリティタスクを劇的に簡素化 www.citrix.co.jp セキュリティに配慮した設計（セキュアバイデザイン） | ホワイトペーパーアプリケーション/デスクトップ仮想化に関する議論は、コスト削減、IT 業務の簡素化、社員にとっての利便性の向上などがそのメリットとして取り上げられます。これらの要因は極めて重要ではあるものの、IT プロフェッショナルは、ワークスペースの仮想化が情報セキュリティに関してもたらす非常に大きな影響を見逃すべきではありません。実際、アプリケーション/デスクトップ仮想化は、データ保護、アクセス制御、ユーザープロビジョニング、コンプライアンスなどの主要なセキュリティ機能に関して大きなメリットをもたらします。また、アプリケーション/デスクトップ仮想化を導入することで、管理者は、自社の従業員、請負業者、ビジネスパートナーのアプリケーションデータの利用および共有に関して非常にきめ細かな制御を行えるようになります。この文書では、Citrix XenApp および Citrix XenDesktop の各ソリューションを導入することで、ミッションクリティカルな情報の保護に必要となる作業をどれほど削減できるかを検証します。また、高速かつシンプルで柔軟なリモートアクセスをユーザーに提供することで、いかにビジネスの生産性を向上できるかについても説明します。 IT セキュリティの要求の増大企業の IT 部門は、重要な新しいビジネス計画をサポートし、エンドユーザーのコンピューティングエクスペリエンスを改善するよう常に求められています。その一方で、 IT 部門は、限られた予算で情報セキュリティを改善しなければならないという要求にも直面しています。これらの要求の多くには、物理的な境界や地理的な境界に関係なく、コンピューティングリソースをより簡単に利用できるようにしたいという要求が含まれています。例えば、従業員は以下のことを要求しています。  デスクトップ PC、ノート PC、タブレット、スマートフォンを使って、一貫したユーザーエクスペリエンスで、どこからでも仕事ができること  BYOD プログラムを通じて、個人所有のデバイスを会社の環境内で利用できること  パフォーマンスを制限し生産性を妨げるような柔軟性のない IT セキュリティ制御から自由になること  企業データにアクセスし、オンデマンドでアプリケーションを自分自身でプロビジョニングできること同時に、最近はデータ漏えいが新聞で取り上げられているほか、IT ニュースの Web サイトではサイバー犯罪に関する記事や、ゼロデイ攻撃、新しいタイプのマルウェア、ひそかに計画されるターゲット攻撃を広めるハッカーに関する記事が大きく取り上げられています。 www.citrix.co.jp 2 セキュリティに配慮した設計（セキュアバイデザイン） | ホワイトペーパー人々の働き方に対する意識変化と、新しいコンシューマーテクノロジーによって、従業員の生産性と IT セキュリティを両立させる旧式の方法は廃れようとしています。IT 管理者は、企業情報を保護するための決まりきった定義やプロセスでは困難な新たなトレンドに直面しています。このようなトレンドの例を以下に示します。  2014 年以降、ナレッジワーカーは職場で平均 3 台のデバイスをネットワークに接続して使用することが予想されます。  従業員は、自分個人が所有するデバイスを会社に持ち込もうとしています。これは、企業のセキュリティ要件を強制的に実施することを困難または不可能にします。  IT 部門は、従業員、請負業者、ビジネスパートナーが、世界中のあらゆる場所（リモートオフィス、自宅、ホテルの部屋、キオスクなどを含む）から自社の企業情報にアクセスできるようにする必要があります。セキュリティの再設計または「セキュアバイデザイン」ソリューションの選択これらのトレンドが、セキュリティやリモートアクセスに対する現在のアプローチに真っ向から対立するものであることは明らかです。IT 部門が、より洗練された脅威と、それらの脅威から防御すべきエンドポイント数の増大に直面した状態で、リソースへのより簡単なアクセスを提供することは不可能です。また、これら一連の課題は、エンドポイントの台数の増加だけでなく、多様性の増大にも関係しています。各種の脅威に対する防御と様々なアクセスポリシーの適用を行うためには、デバイスのタイプ（デスクトップ PC、ノート PC、タブレット、スマートフォンなど）ごとに異なるセキュリティ製品が必要となります。求められている解決策は、より多くの管理を必要とするセキュリティ製品のレイヤをもう 1 つ追加することではありません。真の解決策は、データ保護、アクセス制御、プロビジョニング、セキュアリモートアクセスなどの基本的なセキュリティ機能を劇的に簡素化できるアーキテクチャーを備えた「セキュリティに配慮した設計（セキュアバイデザイン）」を特徴とするコンピューティングモデルへと移行することで、解決することができます。 XenApp と XenDesktop XenApp はアプリケーション配信ソリューションの 1 つであり、これを使うと、 ® Windows アプリケーションを仮想化した上で、それらをデータセンター内で一元管理することにより、あらゆるデバイスを通じてあらゆる場所のユーザーにそれらの仮想アプリケーションを配信できるようになります。XenApp では、アプリケーションはデータセンター内で実行され、ユーザーはあらゆる場所からそれらのアプリケーションにセキュアにアクセスできます。アプリケーションやデータを堅牢なデータセンター内で保護された状態に保ち、しかもそれらのアプリケーションやデータを同じデータセンター内にあるバックエンドデータベースとしてホスティングすることにより、遠く離れた場所からアクセスする場合でも、より優れたアプリケーション性能を発揮できます。 www.citrix.co.jp 3 セキュリティに配慮した設計（セキュアバイデザイン） | ホワイトペーパー XenApp はアプリケーションのアクセスと性能に関するメリットを非常に多くもたらしますが、中央での一元化されたアプリケーション配備がもたらすセキュリティ上のメリットは多くの場合見過ごされがちです。XenApp が提供する本質的にセキュアなアーキテクチャーは、拡張的なセキュリティ機能やアドオンのセキュリティ製品を使用する必要なしに、データセンターの外部に公開されるデータ量を劇的に減らすことを可能にします。XenApp の基本原則は、すべてのアプリケーション、データ、情報をデータセンター内でセキュアに保ちつつ、画面アップデート、マウス操作、キーストロークなどの情報だけをネットワーク経由でユーザーのエンドポイントデバイスへと送信することです。 XenApp は機密性の高い企業情報をデータセンター内で保護された状態に保ちますが、その一方で、社員は XenApp インフラストラクチャーにセキュアにアクセスする必要があります。ユーザーは、XenApp を通じてパブリッシュされたアプリケーションに Citrix Receiver を通じてアクセスします。Citrix Receiver は、iOS、Mac®、Andriod®、 Windows などの OS を搭載したあらゆるタイプのデバイス上にインストール可能な軽量型のクライアントであり、これを導入することで、IT 管理者は、あらゆるタイプの個人所有デバイスや会社支給のデバイスからのセキュアなアプリケーションアクセスを実現できると同時に、IT 部門が指定したセキュリティ手順やセキュリティプロセスが強制的に実施されることを保証できます。Citrix Receiver が XenApp と常時通信することにより、デバイスの機能、利用可能なネットワーク接続、特定のアプリケーション関連タスクに基づいて、ユーザー向けの最適なアプリケーション配信方法を特定することが簡単になります。あらゆる場所にいるユーザーが Citrix Receiver をダウンロードするだけで、XenApp によりパブリッシュされたアプリケーションにセキュアにアクセスできるようになるため、IT 部門は、自社のセキュリティ水準を低下させることなく、社員の要求に応えることが容易になります。 XenDesktop には、 XenApp の持つセキュリティ機能のすべてが組み込まれています。 XenDesktop は、オンデマンドアクセスを提供する堅牢な Windows デスクトップ/アプリケーション仮想化プラットフォームです。企業は XenDesktop を使用することで、 XenApp の持つ本質的にセキュアな設計を、完全なデスクトップワークスペースへと拡張できます。これにより、アプリケーション、データ、デスクトップのエンドツーエンドの機能セットをデータセンター内で保護できます。XenDesktop を導入することで、ユーザーがどんなに遠く離れていようとも、またはどんなに信頼できないリモートデバイスが使われていようとも、「セキュリティに配慮した設計（セキュアバイデザイン）」の仮想デスクトップを提供できます。 NetScaler Gateway NetScaler Gateway を導入すると、XenApp および XenDesktop の配備環境をさらに強化できます。NetScaler Gateway は、きめ細かいアプリケーションレベルおよびデバイスレベルのポリシーとアクション制御を提供する、セキュアなアプリケーション /デスクトップ/データアクセスソリューションです。NetScaler Gateway を使うと、 XenApp および XenDesktop インフラストラクチャーへのリモートアクセスを保護できるほか、パブリッシュ済みのアプリケーションやデスクトップに任意のタイプのデバイスからアクセスするためのセキュアな単一アクセスポイントをユーザーに提供できます。NetScaler Gateway は、セキュアな Citrix ICA プロキシテクノロジーを使用してデータを暗号化することにより、リモートデバイスからの完全な VPN トンネルを確立する必要なしに、セキュアなリモートアクセスを保証します。 www.citrix.co.jp 4 セキュリティに配慮した設計（セキュアバイデザイン） | ホワイトペーパー NetScaler Gateway は HDX SmartAccess テクノロジーを利用することにより、アクセスを制御しユーザーに許可されているアクションを制限するための単一管理点を IT 管理者に提供します。HDX SmartAccess テクノロジーを使うと、IT 管理者は、あらゆる状況においてセキュリティとユーザーの利便性との間での適正なバランスを取ることができます。これを行うには、管理者は、ユーザー、デバイス、場所に基づいて的確なポリシーの集合を定義する必要があります。例えば、管理者は、LAN 経由では幅広い種類のアプリケーションとデータにアクセスできるが、自宅からタブレットを使用する場合にはそれらのリソースのサブセットにしかアクセスできず、公衆ネットワーク経由でスマートフォンを使用する場合にはさらに小さいリソースのサブセットにしかアクセスできないようなユーザーのグループを定義できます。同様に、あらゆる状況下で小さいリソースのサブセットにしかアクセスできないような信頼性の低いユーザーのグループを定義することもできます。さらに管理者は、セキュアでない環境においてユーザーが実行できる各種操作（データのコピー/メール送信/印刷、機密ファイルのリムーバブルメディアへの保存など）を制限することもできます。例えば、公衆キオスクを使用する場合、ユーザーがデータの表示しか行えないように制限できます。また、エンドポイントのセキュリティ状態に基づいてアクセスを制限することも可能です。HDX SmartAccess テクノロジーにはエンドポイント分析ソフトウェアが含まれており、このソフトウェアがリモートコンピューターをスキャンすることで、アンチウイルスソフトウェア、クライアントファイアウォール、ハードウェアドライブ暗号化ユーティリティなどの各種セキュリティツールがエンドポイント上に存在しているか、実行されているか、最新バージョンであるかなどを判定します。これらの要件を満たさない場合、そのユーザーは限定的なアプリケーションとデータの集合にしかアクセスできないように設定されるか、またはそれらのセキュリティ上の不備を修復できる専用のサイトへとリダイレクトされます。これらのポリシーは、ユーザーがデバイス間の移動、アプリケーション間の移動、場所の移動を行う時点で動的に適用されます。管理者は、プライバシーやデータのセキュアな保存に関するルールを設定することによりコンプライアンスを実現できます。これは、規制により影響を受ける企業にとって極めて重要です。例えば、一部のヨーロッパ諸国では、居住者に関するデータは自国内に保管しなければならないという規制があります。HDX SmartAccess テクノロジーを使用すると、企業は、データが自国内に配置されている仮想環境内に存在することを立証できるほか、ユーザーが国外にいる場合やモバイルデバイスを使用する場合には同データに一切アクセスできないようにするポリシーを作成できます。「セキュアバイデザイン」がもたらすメリット XenApp と XenDesktop が持つアーキテクチャーと機能を NetScaler Gateway と組み合わせることで、より信頼性の高い管理しやすいセキュリティを実現できます。本質的にセキュアバイデザインであるソリューションを選択するだけで、エンドポイント上のデータ保護という最も厄介な問題のいくつかを解消できます。または、解消はできないまでも、そのような問題の複雑性を劇的に減らすことができます。 www.citrix.co.jp 5 セキュリティに配慮した設計（セキュアバイデザイン） | ホワイトペーパーデータ保護セキュアバイデザイン型のソリューションを導入すると、機密データをデータセンター内で一元管理し、ネットワーク/ホストセキュリティ製品の完全なセットにより同データを保護できます。このようなセキュリティ製品には、次世代ファイアウォール（NGFW）、侵入防御システム（IPS）、ホスト上のアンチマルウェア/アンチスパイウェアツールなどが含まれます。これらの防御は、通常、エンドポイント上に配備されるローカルファイアウォール製品やアンチウイルス製品よりも強力かつ効果的であり、アップデートも非常に簡単です。 XenApp および XenDesktop 環境では、データがネットワークを介して転送されることは決してなく、データ転送の許可を有効にした場合でも、そのデータはすべて暗号化されます。知的財産や機密情報は、傍受、中間者攻撃（man-in-the-middle）、およびその他の「移動中のデータ」に対する脅威から防御された状態に維持されます。また、XenApp と XenDesktop を使用してアプリケーション/デスクトップ仮想化を行うと、データ保護の運用上の側面も簡素化できます。データベースやファイルを中央で一元管理できる場合、それらが分散デバイス上に存在していた場合に比べて、モニタリングやバックアップが格段に簡単になります。さらに、ハードウェア/ソフトウェア障害、事故、人的ミスを原因とするデータ消失から社員を護ることができるほか、大規模な機能停止や災害が発生した場合でもデータをより迅速に復旧できます。アクセス制御エンドポイント上に存在するアプリケーションやデータへのアクセスを制御することは極めて困難です。その理由は、それらのローカル制御を実施するために利用できるツールが、デバイスの種類（ノート PC、タブレット、スマートフォン）ごとに大きく異なっているためです。また、ほとんどの組織が様々なユースケースをサポートするために複数のアクセスポイントと複数の認証手順を保有しているという事実が、事態をより一層複雑にします。例えば、オフィス内にある PC から接続する社員、自宅のタブレットからインターネット経由で接続する社員、空港からスマートフォンを使って接続する契約社員のそれぞれに対応するために、3 つの異なるゲートウェイと 3 つの異なる認証手順が必要となることがあります。 XenApp と XenDesktop を導入すると、管理者は一連のツールを使用することで、ユーザーが存在する場所や使用するデバイスにかかわらず、すべてのユーザーに適用されるアクセス制御ポリシーの単一セットを作成できます。また、Windows アプリケーションやレガシーアプリケーションに多要素認証機能（トークン、スマートカード、 RADIUS、Kerberos、生体認証など）を追加することもできます。これらと同じアクセス制御方式と認証方式を使用して、XenApp/XenDesktop により配信されるすべてのリソースへのアクセスを管理できるほか、セルフサービス式の企業アップストアを提供できます。企業アップストアを通じて、ユーザーは Windows アプリケーションやアプリケーションのアップデートに対して高速にオンデマンドでアクセスできるようになります。企業アップストアを提供することにより、IT 部門はコンシューマー型の柔軟性をユーザーに提供できると同時に、個々の社員にアプリケーションを提供するタスクから運用/サポートスタッフを解放できます。また、企業による承認済みおよび検証済みのアプリケーションにユーザーが快適にアクセスできるようになると、ユーザーが Web 上の不審なアップストアや感染サイトからウイ www.citrix.co.jp 6 セキュリティに配慮した設計（セキュアバイデザイン） | ホワイトペーパールスに感染したアプリケーションをダウンロードする可能性を減らせるため、結果としてセキュリティを強化できます。プロビジョニングとプロビジョニング解除従業員のプロビジョニングとプロビジョニング解除は、IT 管理者にとって厄介な仕事です。特に、社員や契約社員が退職する際に、彼らに与えていたアプリケーションやデータへのアクセスを打ち切ることは非常に重要でありかつ困難です。例えば、契約社員が自分の仕事の完了後何か月間も企業アプリケーションへのアクセスを保持していたという話や、解雇された社員が顧客リストや知的財産を外部に持ち出していたという話がよくあります。XenApp と XenDesktop を導入すると、数回クリックするだけで新しいユーザーにアプリケーションへのアクセスを提供できるほか、退職した社員や契約社員によるアプリケーションやデータへのアクセスを無効化することがほんの数秒で実行できます。退職した社員が個人所有のノート PC やモバイルデバイスを仕事で使用していた場合でも、企業の機密データは彼らのデバイス上にではなく、彼らには手の届かないデータセンター内に保存されているため安心です。インシデント対応と災害復旧アプリケーション/デスクトップ仮想化を導入すると、インシデント対応や災害復旧も容易に実現できるようになります。中央で一元管理されるデータの場合、分散システム上に拡散されているデータの場合よりもモニタリングや分析が容易になります。脆弱性はデータセンター内でパッチ当てや修復を行うだけでよく、数百台ものリモート PC やリモートデバイスそれぞれに操作を行う必要はありません。災害復旧を実現する場合、管理者は、2 つのサイト間でアプリケーションやデータをミラーリングする「2 データセンター」構成をセットアップします。1 つのサイトがダウンした場合、ユーザーをもう 1 つのサイトに素早く切り替えることで、データの消失や生産性の低下を防ぐことができます。災害でノート PC やその他のデバイスが破壊されたりして利用できなくなった場合でも、社員は安全な場所にある別のデバイスを使って自分のアプリケーションやデータにアクセスできます。コンプライアンス XenApp と XenDesktop を導入すると、監査や規制のコンプライアンスを容易に実現できます。監査者は、中央で一元管理される完全なオーディットトレールを使用して、いつ誰がどのデータやアプリケーションにアクセスしたかを判断できます。リモートデバイスから拡張的なログを収集する必要はありません。結論この文書では、シトリックスの提供する XenApp および XenDesktop の各ソリューションを使うと、ユーザーに対してより多くの権限と柔軟性を与えることにより、ユーザーがあらゆるデバイスを通じて、どこからでもアプリケーションやデータにセキュアにアクセスできるようになることを紹介しました。また、アプリケーション/ デスクトップ仮想化により、時間のかかる困難な IT セキュリティタスクを簡素化する方法についても説明しました。これらのタスクは、以下のような事項に関連するものです。  データ保護 www.citrix.co.jp 7 セキュリティに配慮した設計（セキュアバイデザイン） | ホワイトペーパー  アクセス制御  ポリシーの実施  プロビジョニングとプロビジョニング解除  インシデント対応と災害復旧  コンプライアンス  セキュアで効率的なリモートアクセス XenApp と XenDesktop の各ソリューションは、どちらもセキュリティに配慮した設計（セキュアバイデザイン）を特徴としているため、これらを使用することで、より優れたセキュリティを提供するために必要となる作業を大幅に減らすことができます。様々なセキュリティに関する改善点が、仮想化アーキテクチャーと中央での一元化されたアプリケーション/デスクトップ配信モデルに初めから備わっています。これは、組織が、複雑な新しいセキュリティツールを実装する必要なしに、信頼性の高いセキュリティ上のメリットをより簡単に享受できることを意味します。詳細については、citrix.co.jp/xenapp および citrix.co.jp/xendesktop をご覧ください。 www.citrix.co.jp 8 9 Citrix について Citrix Systems, Inc.（NASDAQ:CTXS）は、新しい快適なワークスタイルを実現する仮想化、ネットワーキング、クラウドインフラストラクチャのリーディングカンパニーです。多くの企業および組織の IT 部門やサービスプロバイダーが、仮想化、モバイル化されたワークスペースの構築、管理、セキュリティ確保のために、シトリックスのソリューションを利用しています。仮想化、モバイル化されたワークスペースでは、デバイス、ユーザー、利用するネットワークやクラウドを問わず、アプリケーション、デスクトップ、データ、サービスをシームレスに利用することができます。シトリックスは今年、創設 25 周年を迎えますが、今後も革新に取り組み、モバイルワークスタイルにより IT をさらにシンプルにするとともに生産性の向上に貢献していきます。シトリックスの 2013 年度の年間売上高は 29 億ドルで、その製品は世界中の 33 万以上の企業や組織において、1 億人以上の人々に利用されています。シトリックスの詳細については www.citrix.co.jp をご覧ください。 ©2014 Citrix Systems, Inc. All rights reserved. Citrix、Citrix Receiver、ICA、XenApp、XenDesktop、NetScaler Gateway および HDX は、 Citrix Systems, Inc.またはその子会社の登録商標であり、米国の特許商標局およびその他の国に登録されています。その他の商標や登録商標はそれぞれの各社が所有権を有するものです。 E0114/PDF J0214/PDF www.citrix.co.jp