病院内に存在する様々なクライアントPCの仮想化、モバイルデバイスの

医療情報部門様向け限定セミナー2014
「医療機関に必要な仮想化/クラウド技術の最新動向」
病院内に存在する様々なクライアントPCの
仮想化、モバイルデバイスの管理
ヴイエムウェア株式会社
© 2014 VMware Inc. All rights reserved.
仮想デスクトップとは？
画面イメージだけを転送し
データはデータセンター側で保護
アクセス端末
データセンター
マシンルーム
病院様におけるVDI利用メリットとROI課題
主たる目的/付随効果/運用負担の軽減
院内端末
個人PC
自宅PC
医療情報を正確に見ることができるのか？
端末復旧手順迅速化・簡素化
端末ライフサイクルの
長期化
情報漏洩対策
遠隔医療・災対
USBキー端末盗難・紛失防止
自宅・出張先から利用
端末数の削減
ヘルプデスク費削減
1端末で複数のNWへ接続
権限移譲および簡略化
セキュリティの確実性
シングルイメージ化
パッチ・ウィルス対策の保証
アプリ要件によるイメージ乱立防止
運用コスト削減
病院
自宅
出張先
仮想デスクトップ
VDI基盤
費用対効果が見込めるかどうか?
3
ロケーションとデバイスの自由を与えるVDI
院内
病室
会議室
自宅
目的・用途に応じた
端末を選択
 どの端末からも院内のアプリケーションを利用
 物理PCと同じ使い勝手
動画再生、電子カルテ、マルチモニター、USB デバイス等
高画質に優れた画面転送プロトコル - PC over IP 動画・電子カルテといった高画質用途に利用可能
音声・動画で最適なUDPの採用
元々ワークステーションをリモートから利用するために生まれたプロト
コルのため、動画やCADといった画面遷移の激しいものも問題なく
表示可能です。動画フォーマットに特に影響されず、電子カルテや
ゲームの開発環境といった現場でも採用されているプロトコルです。
動画
CAD
電子カルテ
TCPは最小の遅延でデータ転送をするためのプロトコルで、音声や
動画といったことを想定されたプロトコルではありません。
PCoIPは、TCPを採用する他のプロトコルとは異なり、音声・動画
用途で採用されているUDPを利用することで、遅延と画質を最
適な状態にすることが可能です。
画面転送方式の
不得意分野をカバー
5
机上の2端末から、1端末から複数のVDIへ接続する形へ
1端末で分離されたネットワークへ接続
物理PC構成の場合
A系NW
仮想デスクトップ構成の場合
B系NW
A系NW
B系NW
A系NW
専用VDI
A系NW
専用端末
B系NW
専用端末
B系NW
専用VDI
ユーザー端末
（1台）
6
© 2014 VMware Inc. All rights reserved
VDIによるパッチ管理とアプリ配布を簡素化
SP1
SP1
SP2
SP1
SP2
ユーザーに「負荷」をかけずに
全員「同時」に、「確実」に、セキュリティ保護
アプリケーションの仮想化のメリット
アプリケーションをパッケージ（EXE）化し、最新のOSでも動作させる技術
レガシーアプリケーションの延命
最新のOSでの動作が保証されないアプリケーションを高額な改修なし
に動作させる（Windows7への移行）
アプリケーションの競合回避
複数のアプリケーションが同一クライアントにインストールされても、各々
が独立した環境で動くため、動作が保証される
バージョン違いを同一環境で動作
複数のバージョンが同時に存在できないアプリケーションを同時に起動さ
せることが出来る（バージョン差異の確認）
アプリケーションの配布
8
まるでiPhoneのようなアプリケーション配布の仕組み
管理者のデフォルトアプリとユーザーが選択するアプリ
世間一般のiPhoneの場合
AppStoreから
各自がアプリを選択して
iPhoneにインストールする
VMware Horizon Workspaceの場合
Horizon Workspaceから
ユーザー各自がアプリを選択して
それぞれのPCにインストールする
Horizon
Workspace
AppStore
iPhone
PC
9
シングルイメージ化
アプリ要件の違いによるイメージ乱立防止
非効率なイメージ運用
シングルイメージ運用
バラバラなアプリケーション要求に対して
それぞれイメージを作成・運用
OSとアプリケーションを切り離し、共通イメージ上に
必要アプリをWEBポータル経由で各自が取得
専用
WEBポータル
グループA
イメージ
グループB
イメージ
グループC
イメージ
グループA
グループB
グループC
共通イメージ
10
Horizon6におけるVMwareのVDIソリューション
仮想デスクトップ・サーバーVDI・ターミナルサービスデスクトップ・ターミナルサービスアプリケーション
仮想デスクトップ
Win7/Win8/WindowsServer
NEW!!
ターミナルサービス
デスクトップ
NEW!!
ターミナルサービス
アプリケーション
WindowsServer
Terminal Service Session
WindowsServer
Terminal Service Session
Terminal Service Session
Terminal Service Session
Terminal Service Session
Windows Server
Terminal Service Session
Windows Server
アクセス端末
11
© 2014 VMware Inc. All rights reserved
統合ワークスペース「アプリケーションカタログ」
リモート
アプリケーション
SaaS
アプリケーション
（即配布・オンラインのみ）
同時実行数の制御
ThinApp
アプリケーション
（ダウンロード・オフラインも可）
12
複数拠点のメンテナンスフリー化とライフサイクルの長期化
物理PCの場合
故障場所が点在
仮想デスクトップの場合
端末の交換のみ
端末故障時はリストアではなく
端末交換のみで、障害対応が容易
仮想デスクトップ
集約されたVDIを管理するのみ
シンクライアントは交換するだけ
2回に1度の端末調達によるコスト削減
初期調達
PC
シンクライアント
5年後
調達なし
PC
10年後
PC
シンクライアント
13
壊れにくいシンクラで、初年度保守のみ・予備機運用でコスト削減
© 2014 VMware Inc. All rights reserved
VLAN間のみを保証するセキュリティのリスク
• VDIセキュリティの現状
– 部門ごとのvlanで部門間のセキュリティは担保
通常の通信
– 部門内の仮想デスクトップ間通信は可能
発生してはいけない通信
– ネットワークとは切り離せない仮想デスクトップ環境
ウィルス/マルウェア等
• 現状のVDIセキュリティにおけるリスク
– 部内でのウィルス拡散
– 悪意を持った内部犯行者がいた場合、他のデスクトップへのアクセスが可能
– ウィルスが発見された仮想デスクトップもネットワークへ継続接続
院内システム
ネットワーク
VMware
VMware
VMware
仮想デスクトップ間のセキュリティ強化
• 新しいVDIセキュリティ
– 仮想デスクトップごとにFWサービスを提供
– ウィルススキャンと連動するセキュリティルール
• 新しいセキュリティの効果
通常の通信
発生してはいけない通信
ウィルス/マルウェア等
– 仮想デスクトップ間通信をFWでブロック
– ウィルスが発見された仮想デスクトップには、別セキュリティルールを自動適用
• 例 : すべての通信を遮断
– すべてのFWでログ取得が可能なため、トレーサビリティの強化が可能
院内システム
ネットワーク
VMware
VMware
VMware
自動化された検疫ネットワークの実現
脆弱システムを修正するまで隔離
セキュリティグループ = 隔離ゾーン
メンバー = {Tag = ‘ANTI_VIRUS.VirusFound’, L2 Isolated Network}
セキュリティグループ = 仮想Desktop 層
ポリシーの定義
標準的なデスクトップ
仮想マシンポリシー
 アンチウイルス：スキャン
隔離仮想マシンポリシー
 ファイアウォール：すべてブロック
（セキュリティツールを除く）
 アンチウイルス：スキャンと修正
16
VDIのコスト観点における問題点
VDI基盤コスト・VDAライセンス・ストレージ性能とコストの両立
VDAライセンス
端末以外の
VDI基盤コスト増大
1,000円/月
6年：72,000円
サーバー・ストレージ
ストレージ性能とコストの両立
PCの数＝ディスク数／一斉ログオン負荷
17
統合率によるVDI基盤の最適化
端末以外のVDI基盤コスト増大
18
VDA(Virtual Desktop Access)不要の仕組み
サーバーVDI／ターミナルサービスデスクトップ・アプリケーション
VDA不要
ターミナルサービス
デスクトップ
仮想デスクトップ
VDA不要
Win7/Win8/WindowsServer
VDA不要
ターミナルサービス
アプリケーション
WindowsServer
1つのサーバーOSにセッションとして接続
性能は互いに影響するが
コストパフォーマンスが良い
WindowsServer
サーバーOS上のアプリケーションウィンドウを
端末に画面転送する
Terminal Service Session
Terminal Service Session
Terminal Service Session
Terminal Service Session
Terminal Service Session
Windows Server
Terminal Service Session
Windows Server
アクセス端末
19
© 2014 VMware Inc. All rights reserved
用途に応じた使い分けによるコスト増大の防止
VDAライセンスとインフラコストの低減
サーバーOSでも動作するような
Officeなどの事務系アプリ用PC
※ThinAppで仮想化できるアプリ
VDI（Win7）
1,000VM
事務系サーバーVDI
（WindowsServer）
550VM
事務系ターミナルサービス
（WindowsServer）
400VM
CAD用VDI（Win7）
50VM
クライアントOSでしか
動作しないものはWin7/8を選択
VDA 1,000円/月 → 6年：72,000円
20
© 2014 VMware Inc. All rights reserved
最も高コストになりがちなVDI用ストレージの解決策
Virtual SAN
内蔵ディスクで構成するため、保守費も含め、
共有ストレージに比べて非常に安価
1ノードのサイジングをすれば
追加も非常に容易
ハイパーバイザー上で
各サーバーの
内蔵SSD+HDDを
束ねて共有ストレージ化
サーバーを追加すれば
コンピューティング性能と
ストレージ性能がUP!!
VSAN
VSANVSAN
SSD
HDD
SSD
HDD
SSD
HDD
SSD
HDD
SSD
HDD
ログオン時などのピーク性能は、
HDDだと本数が多くなるため、SSDで吸収
SSD
HDD
SSDがRead/Wirte
キャッシュとなり
高性能を提供
© 2014 VMware Inc. All rights reserved
21
クライアント管理を成功に導くポイント –コスト観点-
VDIを導入しないリスクの考慮（災害・パンデミック／情報漏洩／コンプライアンス）
統合率向上による
仮想基盤コスト削減
1サーバーあたり
平均80VDI/サーバー
VDIのコスト障壁を解消
サーバーVDI
ターミナルサービス形式の使い分け
VDAライセンス削減
事務端末
150VDI/サーバー
VDIによって変えられるコストの削減
ヘルプデスク運用の簡略化による
内蔵ディスク＋SSDを利用した
常駐コストの削減
Virtual SAN
端末調達頻度・予備機・初年度保守
性能と価格の両立
端末調達コストの削減
22
モバイルデバイスの導入と課題
モバイルデバイス管理ソリューションの必要性
23
モバイルデバイスで実現している例とその課題
利便性と相反する潜在的な問題
ペーパーレス会議
紛失対策
印刷コスト削減
パスワードロック未適用
簡易パスワードポリシー
リモートロック不可
個人利用防止
Youtubeの視聴
ゲームアプリ利用
カメラの私的利用
証跡監査
通話・データ通信利用状況
位置情報
個人アプリ利用状況
モビリティ
ノートPCよりも軽く
病室でのデータ参照・記録
資産管理
セキュリティ遵守状況
端末設定（Wi-Fi/VPN等）
24
© 2014 VMware Inc. All rights reserved
AirWatchによるモバイルデバイスの統合管理
中央一括型モバイルデバイス管理
イントラネット用 VPN有
外部アクセス用 VPN無
アプリケーション配信
VPNいらずの
イントラ用ブラウザ
セキュアなデータ管理
25
© 2014 VMware Inc. All rights reserved
モバイルデバイスのセキュリティ統制のしくみ
パスコード／一括設定／制限
• パスコード
– ロック必須／複雑性（文字数・記号等）
– 自動ロック／変更頻度／許容失敗数
• 一括設定
– Wi-Fi／VPN／Eメール
– アプリケーションの配信
• 制限
– カメラ／スクリーンキャプチャ／アプリ購入
– YouTube／iCloud
– WEBフィルタリング（ホワイトリスト／ブラックリスト）
– Jailbreakの検知
26
© 2014 VMware Inc. All rights reserved
モバイルデバイスのセキュリティ統制のしくみ
リモート操作
リモート操作の種類
用途
デバイスロック
一時的に第三者に情報を見られないようにする
デバイスの検索
位置情報の検索
工場出荷状態への初期化
恒久的に情報を閲覧できなくする
企業情報の消去
退職・異動などの別用途に変更する場合
メッセージの送信
全体へのメッセージ
デバイスのブラックリスト化
デバイスが再登録されることを防止
•
27
© 2014 VMware Inc. All rights reserved
モバイルデバイスのセキュリティ統制のしくみ
証跡監査・資産管理
デバイスのセキュリティ準拠状況
ダッシュボード
デバイスごとのイベントログ
アプリケーションインストール・デバイスロック等
28
© 2014 VMware Inc. All rights reserved
Thank You

Download Report