VPNと普通のパソコンで作る!簡単なシンクライアント

キュービストのこと,思わずシェアしたくなる話
2017.10.31

 当社では情報セキュリティを守るため、パソコンなどの持ち出しを原則禁止にしています。そのため外に出ることの多い営業担当者は、直帰できるのにパソコンを使うためにわざわざ会社に戻ったり、外出先で空いた時間を有効活用できなかったりと、この持ち出し禁止ルールのために効率の悪い働き方をしなければなりませんでした。
 そもそもパソコンの持ち出しを禁止しているのは、そこに保存されている大切な情報を守るためです。大切な情報だけを会社内に置いたままパソコンだけ持ち出せればいいのですが、そんな魔法のようなことができるのでしょうか?


 実は「VPN」(「ぶい・ぴー・えぬ」と読みます)という仕組みを使えば、なんとこの魔法のようなことができてしまうのです! そこで今回は、VPN を使った簡単なシンクライアントの作り方とキュービストでの運用方法をご紹介します。
 それではまず初めに「VPN」や「シンクライアント」というこの聞きなれない言葉について、簡単にご説明いたします。
 

VPNとは?

 VPN とは「Virtual Private Network」の略称で、暗号化技術などを使ってインターネット上に「仮想的な専用線」を実現するための仕組みです。

 仮想ではない「専用線(Private Network)」は、銀行のATM(現金自動預け払い機)など、通信の盗聴や改ざんを絶対に防がなければならない環境で使われています。
 しかし「専用」というだけあって、とても高価な回線です。利用料金は線の太さと長さによって決まるのですが、場合によっては月額が数千万円以上になることもあります。情報セキュリティのためとはいえ、当社では専用線にそこまでの費用をかけることはできません。

 その問題を解決するのが、この「VPN(仮想的な専用線)」なのです(インターネット上に構築されるのでインターネットVPNとも呼ばれます)。VPN は特別な費用をかけずに専用線と同等のセキュリティを確保することができるのです。
 

シンクライアントとは?

 シンクライアントとは、クライアント端末ではマウス操作やキー入力、画面表示など最小限の処理を行い、サーバ側でソフトウェアの実行やデータの保存などを行う仕組みのことです。
 また、シンクライアントの「シン(thin)= 細身の、薄い」の意味から「最小限の機能を持ったクライアント端末」として、以前はハードディスクを内蔵しない専用の端末が使われていましたが、最近では普通のノートパソコン(こちらは多機能であることから「ファット(太った)クライアント」と呼ばれます)が使われることが多くなりました。

 「サーバ」といわれると上の図のように大がかりな装置を想像するかもしれませんが、シンクライアントのサーバは、会社内でいつも使っているパソコンでもかまいません。社外に持ち出したクライアント端末から「VPN(仮想的な専用線)」を使って、会社内でいつも使っているパソコンを操作すれば、通信のセキュリティを確保した上で「大切な情報は会社内に置いたままパソコンを持ち出すこと」ができてしまうのです。
 

簡単なシンクライアントの作り方

〈構成図〉

 当社では1人1台パソコンが貸与されています。営業担当者が会社内で使うパソコンはそのままにして、社外への持ち出し用に薄くて軽いノートパソコンを新たに用意しました(これをシンクライアントの端末として使いますので、以下「クライアント端末」と表記します)。

〈ルータのVPNサーバ機能を設定する〉

 企業向けのルータであればほとんどの機種に「VPNサーバ機能」が付いていますので、これを利用します。設定のポイントとして、VPNの設定方法には「PPTP」と「IPsec」の2つがあるのですが「IPsec」を使うことをオススメいたします。

 以前、当社では「PPTP」を使って VPNサーバを設定していたのですが、会社外に持ち出したクライアント端末のインターネット接続に使っていた iPhone を iOS10 にアップデートしたとたんに、VPN接続が一切できなくなってしまいました。
 これは iPhone の販売元のアップルが PPTP を使ったVPN接続を推奨しないため iOS10 から PPTP を削除したのが原因でした、大あわてで VPNサーバを IPsec で設定しなおしたのは言うまでもありません。

 また、IPsec は PPTP と比べてより高度なセキュリティを確保できますので、特別な理由がない場合は「IPsec」使うのが良いでしょう。

〈会社内のパソコンの設定〉

 会社内のパソコンには、クライアント端末から操作できるように「リモートデスクトップ」で接続できるように設定します。

 

 もし可能であれば、パーソナルファイアウォール機能などを使って、特定のクライアント端末からのみリモートデスクトップ接続ができるように設定すると、よりセキュリティを高められます。

〈クライアント端末の設定〉

 社外に持ち出すクライアント端末は、最小限の機能しか必要ありませんのでアンチウィルスソフト以外はなにもソフトをインストールしません。また、クライアント端末には次の設定を行います。

  • ・VPNの接続設定
  • ・リモートデスクトップの接続設定
  • ・データを保存できないようにするための設定

 
 ここでのポイントは「データを保存できないようにするための設定」です。
 専用のシンクライアント端末であればハードディスクを内蔵してないので、そもそもデータを保存することができません。しかし、今回のように普通のノートパソコンをシンクライアント端末として使う場合は、機密情報などのデータを保存して会社外に持ち出してしまう可能性がありますので、簡単にデータを保存できないように設定する必要があります。

 また、通常のノートパソコンを持ち出す場合のセキュリティ対策「内蔵ハードディスクを暗号化する」「二要素認証使う」「BIOSパスワードを設定する」といった設定も有効です。
 

操作手順書の作成

 社外に持ち出したクライアント端末から会社内のパソコンに接続するには、次のような少し複雑な操作が必要です。

  • ・会社から貸与されているスマートフォンを使ってインターネットに接続
  • ・VPNサーバへ接続
  • ・会社内のパソコンにリモートデスクトップ接続

 
 どれもパソコンで一般的に行う操作ではありませんし、実際にクライアント端末を使う方はITの専門家ではありませんので、できるだけわかりやすい操作手順書を作成することが必要です。


 

注意事項の説明

 クライアント端末を利用する方へ操作説明を行うとともに、次のような利用上の注意事項を説明します。(IT管理課はパソコンやネットワークを管理する部署です)

  • ・万が一、紛失した際は、即座にIT管理課まで連絡する
  • ・クライアント端末にはデータを保存しない
  • ・クライアント端末と一緒に、ログインパスワードを保管しない
  • ・常に携帯し目を離さないようにする
  • ・覗き見などに注意する
  • ・公衆無線LANなどには接続しない
  • ・半年に一度IT管理課にてメンテナンスする

 
 社外に持ち出すクライアント端末にはデータは保存されていませんが、通常のノートパソコンを持ち出す場合と同じように、盗難や紛失、覗き見などには十分注意することが必要です。
 この注意事項の中で特に重要なのが冒頭の「万が一、紛失した際は、即座にIT管理課まで連絡する」です。もしクライアント端末を紛失してしまった場合は、即座にVPNサーバへの接続を遮断することで、会社内への接続を一切できないようにします。
 

運用してみてわかったこと

 当社では2012年からこの簡単なシンクライアントを運用しているのですが、そこでわかったことをふたつほど紹介します。

〈操作説明を繰り返していねいに行う〉

 上にも書きましたが、クライアント端末から会社内のパソコンにVPN接続して操作するといった作業はなかなか大変です。はじめはクライアント端末の電源を切ろうとしたら、間違って会社内のパソコンの電源を切ってしまった……なんてこともありました。クライアント端末を利用する人が慣れるまでは、繰り返していねいに説明することが大切です。

〈管理の手間はそんなに増えない〉

 パソコンを管理する立場としては、シンクライアントを使う人の数だけクライアント端末が増えるため、その管理の手間が増えることが心配でした。しかし、クライアント端末にはデータが一切保存されていないため、故障したとしても代替のクライアント端末を用意するだけで済みますし設定も簡単です。
 現在10台近くのシンクライアント端末を運用していますが、心配したほど手間は増えていません。
 

おしまいに

 少し大変な面もあるシンクライアントですが、これもキュービストの情報セキュリティ目的「客様からお預かりしたすべての情報の保護と漏洩防止」を実現するためには、欠かすことのできない仕組みです。
 これからもこの情報セキュリティ目的を達成するために、有効なセキュリティ対策を導入していきたいと思います。

関連記事

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です