1. ホーム >
  2. FUJITSU PCセキュリティラボ >
  3. セキュリティ道場 番外編

FUJITSU PC Security Lab.

富士通がお勧めする Windows.
セキュリティ道場 番外編

今更聞けないシンクライアントの仕組みと落とし穴

記事の要約

  • 本格化するシンクライアントの普及。運用管理コストの削減やワークスタイル変革に有効なシンクライアントを脅かす、意外な“盲点”。
  • 端末にはデータが存在せず、紛失や盗難時でも機密情報流出の危険性は少ないものの、端末からサーバーへのログイン時のID/パスワード認証に、大きなリスクが潜在。
  • PC機能がサーバーに集約するシンクライアントだからこそ重要な、認証セキュリティ。安全な仮想環境での作業には、手のひら静脈認証による“なりすまし”の防止が最適。

全文を読む

 PCの機能をホストサーバー側に持たせ、手元の端末からネットワーク越しに利用する「シンクライアント」の普及が本格化しています。利用者が直接操作する端末にはデータが存在しないため、情報漏えい対策としても注目されていますが、実はセキュリティ対策として見落としがちな“盲点”があるのです。セキュリティ道場の弟子と一緒に、シンクライアントの仕組みや認証セキュリティ強化の重要性を考えてみましょう。

最近シンクライアントってよく聞きますけど、本当に便利そうですね!
そうじゃな。確かに便利じゃ。
社外にいる時も業務システムにアクセスできるし効率がいいとか。機密情報でも安心して扱えると聞きました。
よし。まずはシンクライアントの仕組みについて教えてやろう。

そもそもシンクライアントとは

 利用者が操作する端末(クライアント)に必要最小限の機能だけを用意し、アプリケーションの稼働やデータの保存といった大部分の処理をサーバー側で実行するシステムのことです。シンクライアントの“シン”は“薄い”という意味の英語です。シンクライアントに対し、豊富な機能を備えた一般的なPCを「ファット(厚いという意)クライアント」と呼ぶこともあります。
 シンクライアントで利用する端末は、PC画面を表示するディスプレイ、PCを操作するキーボード/マウス、ネットワークに接続するためのインターフェイスなど、限られた機能しか備えていません。その端末をネットワークに接続し、離れた場所にあるPC機能を持ったサーバーを遠隔操作します。端末のディスプレイには、サーバー側で動いている画面がそのまま転送されてくる仕組みになっています。

シンクライアントの仕組み

 シンクライアントにはいくつものメリットがあります。まずは、情報漏えいリスクが低減されます。大部分の処理はサーバー側で行われ、手元の端末にはデータが存在しません。そのため、端末を紛失したり盗難の被害に遭ったりしても、機密情報が流出する危険性は少なくなるのです。
 ほかにも、すべてのPCをサーバー側で一括管理することによる運用管理コストの削減や、社外から安全にいつもの作業環境にアクセスできるため、直行直帰や在宅勤務などワークスタイル変革の実現、さらに一般的なPCに比べて省電力で故障率も低い、といったさまざまなメリットをもたらします。
 調査会社IDC Japanが2015年6月に発表した「国内クライアント仮想化市場予測」によると、2014年の法人向けクライアントの仮想化率は25.7%、2019年には48.1%に達するそうです。このレポートにあるクライアント仮想化率は、そのままシンクライアントの利用率と考えることができます。今後はワークスタイル変革を進めたいという企業の気運が高まるのに加え、シンクライアント関連技術の向上など促進要因も増え、さらに需要が拡大すると見られています。
 現時点ではすべての企業に広がっているわけではありませんが、情報漏えいリスクの低減などセキュリティ対策のメリットが大きいため、銀行・証券・保険など金融機関を中心に積極的に導入されています。

〈シンクライアントのポイント〉

シンクライアント端末には必要最小限の機能のみ。サーバー側で処理を実行
端末にデータを残さないから、情報漏えいリスクが低減
さらに、運用管理コストの削減や、ワークスタイル変革も実現
ボクたちが直接操作する端末にはデータがないから、情報漏えいリスクも少なくなるってわけですね!他にも色々メリットがあるし、道場にも早く入れましょうよ〜。
安心するのはまだ早いぞ!システムへの入口となる認証セキュリティが十分でないと、サーバー側でどんなにセキュリティ対策をしても、問題が起きるかもしれんというのは知っておるか?
え・・・そうなんですか?
そうなんじゃよ。では、どんな認証の仕組みを用意すればよいじゃろうか。便利で、しかも安心して使える仕組みを考えてみようかの。

シンクライアントにおけるセキュリティの落とし穴

 シンクライアントは、一般的なPCに比べて情報漏えいリスクが低いですが、セキュリティ対策が万全というわけではありません。シンクライアントに限ったことではありませんが、クライアント端末からサーバーへ接続する際の認証にも対策を施していないとリスクが残ってしまうのです
 特に問題があるのは、サーバーへ接続し仮想デスクトップにログインする際に、IDとパスワードだけで認証が行われている場合です。もし、リスト型攻撃などによってIDとパスワードが盗まれてしまったら、別の端末からでも不正アクセスを許すおそれがあります。たとえ端末上にデータが残らないシンクライアントを導入していたとしても、悪意のある第三者がサーバーにアクセスしてしまえば元も子もありません。

どれだけ城(業務システム)を城壁(仮想化)で囲っても、門(本人認証)に不安があれば、
システム全体のセキュリティは万全ではない。仮想環境における認証セキュリティ強化はとても重要。

 本人認証には、「自分しか知らないこと」「自分しか持っていないもの」「唯一無二の存在である自分自身」という3つの要素があります。このうち、IDとパスワードのような「自分しか知らない(はずの)こと」は、ひとたび盗まれてしまえば、情報を窃取しようとする攻撃者の“なりすまし”が可能になります。IDカードのように「自分が持っているもの」を併用すれば、認証の安全性は高まりますが、それも紛失・盗難・貸し借りによる“なりすまし”を防ぎきることはできません。
 また、IDとパスワードには別の問題もあります。セキュリティ対策を名目に複雑なパスワードの設定や定期的な変更などパスワード運用を厳格化することで、パスワードのメモ書きや、下一桁だけを変えるだけのパスワード更新など、かえって情報漏えいリスクを高めることにも繋がるのです。
 認証の中で最も安全なのは「自分自身」―― つまり、生体認証です。生体認証は利用者の身体の一部を使うため、“なりすまし”はほぼ不可能と言えます。生体認証には、指紋、静脈、顔、虹彩、声などさまざまな部位が使われますが、最も多いのは指紋認証です。また最近では、経年変化がなく認証精度が極めて高い静脈認証が注目され始めています。
 認証の問題を解決するには、手のひら静脈認証をはじめとする生体認証を導入することが望ましいと言えます。さらに、生体認証と他の認証方式を併用する多要素認証の仕組みを導入すれば、より万全なセキュリティ対策に近づきます。こうした対策は、PC機能がサーバーに集約されているシンクライアントではなおさら必要と言えます

〈シンクライアントのポイント〉

たとえ端末上にデータが無くても、仮想環境へのログイン認証を突破されるおそれあり
最も安全性が高いのは、利用者の身体の一部を使う生体認証
PC機能がサーバーに集約されているシンクライアントでは、なおさら認証セキュリティの強化が重要
なるほど、生体認証がシンクライアントの安全性をさらに高めるわけですね。ちなみに、実際にシンクライアントに生体認証を導入した事例ってありますか?
興味が湧いてきたのじゃな、よろしい!では、とっておきの事例を教えてやろうかの。

 ワークスタイル変革と災害対策・事業継続の観点からシンクライアントを導入した製造業K社の事例をご紹介します。K社では以前から生体認証の安全性に注目していたものの、大きなセキュリティインシデントが発生していなかったこともあり、生体認証の本格的な導入検討はしておらず、IDとパスワードだけでシンクライアントを運用していました。
 そんな折、営業マンが業務用ノートPC(クライアント端末)を紛失。その営業マンは頻繁に変更されるパスワードを覚え切れず、画面の横にIDとパスワードをメモ書きした付箋を貼っていました。紛失が発覚してすぐ、K社のIT部門は端末からのアクセスを遮断する措置をとったため事なきを得ましたが、何者かが営業マンのIDとパスワードを使ってログインしようとした痕跡が見つかったそうです。
 危機感を覚えたK社では、本人以外のアクセスを許さない生体認証の導入を本格的に検討しました。最適なソリューションを探したところ、シンクライアントに対応し、さらに仮想環境上でも生体認証が使える富士通の手のひら静脈認証のソリューションが見つかりました。
 生体認証の運用を開始したことにより、K社では利用者にIDとパスワードを管理させることがなくなり、パスワードのメモ書きも無くなりました。また、確実な本人認証ができることから安全性が向上しました。さらに利用者側も、手をかざすだけでPCや業務システムのログインが簡単スムーズになったと、利便性に大いに満足しているとのことです。
シンクライアントは利便性が高いのですが、セキュリティが万全とは言えません。
 入口であるクライアント端末の認証セキュリティを強化することで更なる安全な作業環境を実現することができました。

便利なシンクライアントをより安全に使うには、生体認証の仕組みと組み合わせるのが一番というわけですね!
シンクライアントは、システムへの入口となる認証の仕組みを強化する必要がある。そのためには、生体認証、特に静脈認証が有力ということじゃな。
さすが師匠! 勉強になりました!

富士通パートナー及び当社担当営業とお取引があるお客様は直接担当者へお問い合わせ
ください。
電話でもご注文・ご相談を承りますので、右記窓口までご連絡ください。

富士通購入相談窓口

0120-996-186受付時間 9時〜19時

Intel Inside® 飛躍的な生産性を

  • インテル® Core™ i7 vPro™ プロセッサー
  • インテル® Core™ i5 vPro™ プロセッサー
  • インテル® Atom™ プロセッサー

Intel、インテル、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Intel Atom、Intel Atom Inside、Intel Core、Core Inside、Intel vPro、vPro Inside、Celeron、Celeron Inside、
Itanium、Itanium Inside、Pentium、Pentium Inside、Xeon、Xeon Phi、Xeon Inside、Ultrabook は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です。