Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

自治体セキュリティ強靭化対策のためのシンクライアント入門

2.684 Aufrufe

Veröffentlicht am

自治体セキュリティ強靭化対策ソリューションとして、シンクライアントや仮想デスクトップの導入を検討している方々のための基礎知識

  • Login to see the comments

自治体セキュリティ強靭化対策のためのシンクライアント入門

  1. 1. 株式会社きっとエイエスピー 代表取締役社長 松田 利夫 だれでも分かる シンクライアントと仮想デスクトップ入門 総務省「セキュリティ強靭性向上対策モデル」 各系完全分離と外部参照無害化対策実現のために 株式会社きっとエイエスピー著作(禁無断転用) 1 一般社団法人コンピュータソフトウェア協会 セキュリティ委員会 自治体セキュリティ強靭化対策研究会 主査
  2. 2. パソコンのセキュリティ問題が多様化し、一台 一台のパソコンを個別に管理することでは十分 な対策を施すことができなくなってきました パソコンのセキュリティ対策 株式会社きっとエイエスピー著作(禁無断転用) 2
  3. 3. 情報漏洩や外部攻撃からパソコンを守ることは情報技術専門家でも困難 メールやブラウザーを使えば、外部からの攻撃や内部データの 漏洩につながります。 ネットワークでつながっている他のパソコンから攻撃されたり、 USBからウィルスが侵入することも考えなければなりません。 株式会社きっとエイエスピー著作(禁無断転用) 3
  4. 4. メールやブラウザーを使わなければより安全になる? しかし、今どき、メールやブラウザーを使わないで仕事をす るということは考え難いですよね。 株式会社きっとエイエスピー著作(禁無断転用) 4
  5. 5. メールやブラウザーを別のパソコン経由で使えば安全? メールやブラウザーは、攻撃され、汚染されても業務には影響 のでないパソコンで利用することにすればどうでしょう。 でも、パソコンからの情報漏洩の問題は残ります。 株式会社きっとエイエスピー著作(禁無断転用) 5
  6. 6. アプリケーションやデータは外部接続のない別のパソコンへ メールやブラウザーは、攻撃され、汚染されても業務には影響 のでないパソコンで利用しましょう。 アプリケーションやデータは、外部 接続のできない、またUSBなどの外 部機器もつながらないパソコンで利 用しましょう。 パソコンには何も残っていないの で、情報漏洩も外部攻撃も心配す る必要はなくなります。 株式会社きっとエイエスピー著作(禁無断転用) 6
  7. 7. シンクライアントと仮想デスクトップ たくさんのパソコンの中身を サーバで集約管理するという考え方 株式会社きっとエイエスピー著作(禁無断転用) 7
  8. 8. シンクライアント、仮想デスクトップという考え方 たくさんのパソコンの中 に入っているアプリケー ションやデータを、サー バの中にすべて納めて集 約管理するという考え方 パソコン サーバ 株式会社きっとエイエスピー著作(禁無断転用) 8
  9. 9. パソコンの中身をそっくりそのままサーバへ移し替える 仮想デスクトップ(VDI: Virtual Desktop Infrastructure) 株式会社きっとエイエスピー著作(禁無断転用) 9
  10. 10. パソコンのアプリケーションとデータだけをサーバへ移し替える シンクライアント(SBC: Server Based Computing) 10株式会社きっとエイエスピー著作(禁無断転用)
  11. 11. 「仮想デスクトップ」と「シンクライアント」 少しだけ専門的な説明をさせてください 株式会社きっとエイエスピー著作(禁無断転用) 11
  12. 12. シンクライアントと仮想デスクトップ シンクライアント マイクロソフトRDSまたはGraphOn社GO-Global for Windows サーバ側基本ソフト WindowsサーバOS WindowsデスクトップOS 導入基盤 物理 仮想 物理 仮想 複数ユーザ登録 可 複数ユーザ同時利用 可 不可 デスクトップ表示 可(この場合を「デスクトップ仮想化」と呼ぶ人々もいます。) アプリ単独表示 可(この場合を「アプリケーション仮想化」と呼ぶ人々もいます。) アプリケーション WindowsデスクトップOS用アプリケーションで 適正な動作をしないものがある WindowsデスクトップOS用アプリケーションは ほぼそのまま利用できる 同じバージョンをすべてのユーザで共有、実行 権はユーザ毎に設定可 WindowsデスクトップOS毎に個別バージョンを インストール可 諸ライセンス費用 低 中 高 極高 技術的難易度 高 高 低 低 運用管理コスト 中 低 極高 高 一般的呼称 SBC(Server Based Computing) リモートデスクトップ 仮想デスクトップ 株式会社きっとエイエスピー著作(禁無断転用) 12
  13. 13. > 仮想デスクトップとシンクライアントに必要な計算資源 仮想デスクトップ シンクライアント +( )× ユーザ当り必要な計算資源は多い + × ユーザ当り必要な計算資源は少ない 株式会社きっとエイエスピー著作(禁無断転用) 13
  14. 14. ESXiサーバ上のデスクトップ仮想機械のサイジング オペレーティングシステム Windows 7 32bit 64bit RAMサイズ 推奨2GB 最小4GB 仮想CPU数 推奨2 最小2 システムディスク容量 24GB 32GB ユーザデータ領域容量 5GB以上 5GB以上 注)Server and Storage Sizing Guide for Windows 7 Desktop in a Virtual Desktop Infrastructureより抜粋 参考)Windows10上でPowerpointを実行した場合に消費される資源 仮想デスクトップとシンクライアントに必要な計算資源 株式会社きっとエイエスピー著作(禁無断転用) 14
  15. 15. デスクトップとは、机上、卓上を意味する英語であるが、一般的には、マルチウィンドウ のオペレーティングシステムにおいて背景となっている表示画面のことである。オペレー ティングシステムの表示画面におけるデスクトップは、本来の意味である「机の上」の暗 喩(メタファー)として考えられており、よく利用する書類や文房具を机上に並べておく ように、アプリケーションやドキュメントへアクセスするためのアイコンを並べておくこ とができる。各アプリケーションを操作するためのウィンドウは、デスクトップ画面の上 に重なるようにして表示される。(BINARY-T用語辞典より抜粋) ユーザ管理 デバイス管理(キーボード、マウス、プリンター、スキャナー、ネットワーク、他) セキュリティ管理 コンピュータ上のディスク領域やファイル・ディレクトリへのアクセス権の管理 アプリケーションやデータファイルへのアクセス権の管理 操作性向上支援 アプリケーションやデータファイルへのアクセスの簡便化 アプリケーション導入時操作の簡便化 データファイル・コピー、移動、削除操作の簡便化 デスクトップの役割 何故デスクトップを利用するのか考えてみましょう? パソコン上のハードウェア資源、ソフトウェア資源およびユーザの管理用 株式会社きっとエイエスピー著作(禁無断転用) 15
  16. 16. 仮想デスクトップによる複数デスクトップ配信イメージ 仮想デスクトップ配信サーバ 複数の異なる環境のデスクトップを表示すると、業務手順が煩雑になりませんか? ユ ー ザ 毎 に 分 離 さ れ た 個 別 環 境 の 運 用 管 理 を 重 視 す る 場 合 に は 、 仮 想 デ ス ク ト ッ プ が 有 利 。 個 人 作 業 重 視 の 場 合 に 最 適 株式会社きっとエイエスピー著作(禁無断転用) 16
  17. 17. シンクライアントによるアプリケーション配信イメージ アプリケーション配信サーバ 業務手順に沿ったプリケーション操作では、こちらが望ましいのではありませんか? 業 務 手 順 に 則 っ た ア プ リ ケ ー シ ョ ン 操 作 手 順 を 重 視 す る 場 合 に は 、 シ ン ク ラ イ ア ン ト に よ る ア プ リ ケ ー シ ョ ン 配 信 の 方 が 有 利 。 業 務 用 ア プ リ ケ ー シ ョ ン の 操 作 性 を 重 視 す る 場 合 に 最 適 株式会社きっとエイエスピー著作(禁無断転用) 17
  18. 18. 情報システム・セキュリティ強靭化対策に シンクライアント技術が選ばれる理由 株式会社きっとエイエスピー著作(禁無断転用) 18
  19. 19. 一般に、セキュリティを強化すると業務生産性は低下する 情報システムセキュリティ 業 務 生 産 性 高 低 弱 強 業務生産性の低下を最小限に止め セキュリティ強度を高めるバラン スのよい情報システム強靭化対策 業 務 生 産 性 の 低 下 「セキュリティ」と「業務生産性」は相反要因 株式会社きっとエイエスピー著作(禁無断転用) 19
  20. 20. 1. 現行業務プロセス、ワークフローの変更はできるだけしない 2. 既存情報システム資産はハードウェアもソフトウェアもできるだけそのま ま活用する 3. 既存情報システムのソフトウェアの書き換え等の開発作業を必要としない もの 4. 既存情報システムの再構築、再インストールは必要最小限に止める 5. 導入、運用、管理が複雑で、カスタマイズが必要なソリューションは、将 来の情報システム構成変更の際などにコスト圧迫要因になるので注意 6. 将来の情報システム更改に備えて、導入、撤去、他ソリューションとの入 れ替えが容易に行えるもの 7. 物理基盤、仮想基盤、クラウド基盤、どこでも変わらず利用可能なもの 上記の各項目は、セキュリティ・ソリューションの導入・運用・管理コストを抑 制する上で大変需要です。セキュリティ・ソリューションは、単体の機能や価格 だけを基準に選択判断をすると危険です。必ず、その導入・運用・管理コストと 共に、既存情報システムへのコスト面での影響度もご確認ください。 セキュリティ強靭化ソリューション選択の際の留意点 株式会社きっとエイエスピー著作(禁無断転用) 20
  21. 21. シンクライアントなら 簡単に変更できる画面表示形式 株式会社きっとエイエスピー著作(禁無断転用) 21
  22. 22. クライアント端末Windows7のデスクトップ画面 まだGO-Globalは動いていません GO-Globalによってクライアント端末に表示された Windows Server 2012デスクトップ画面 GO-Globalによってクライアント端末に表示された このユーザが利用可能なアプリケーションメニュー GO-Globalによってサーバ側で起動されたアプリケーション をクライアント端末側で実行されているように表示 クライアント側起動オプションで変わる用途に応じた表示形式 株式会社きっとエイエスピー著作(禁無断転用) 22
  23. 23. シンクライアントについて もう少し詳しく たくさんのパソコンの中にある アプリケーションとデータを サーバで集約管理するという考え方 株式会社きっとエイエスピー著作(禁無断転用) 23
  24. 24. ファットクライアント(太った端末)とサーバ(ホスト) ファットクライアント 株式会社きっとエイエスピー著作(禁無断転用) 24
  25. 25. シンクライアント(痩せた端末)とアプリケーションホスト(サーバ) シンクライアント アプリケーションホスト 株式会社きっとエイエスピー著作(禁無断転用) 25
  26. 26. 端末(クライアント)側 サーバ(ホスト)側 端末側資源とサーバ側資源を組み合せて仮想的なコンピュータを形成 あたかも一つのコンピュータを使っているような操作感 株式会社きっとエイエスピー著作(禁無断転用) 26
  27. 27. シンクライアント(痩せた端末)にはいろいろなデバイスが使えます アプリケーションホスト 旧いWindows 新しいWindows Mac OS X Linux iPad, iPhone Android 株式会社きっとエイエスピー著作(禁無断転用) 27
  28. 28. 情報システム・セキュリティ強靭化対策 シンクライアント・システム構成例 株式会社きっとエイエスピー著作(禁無断転用) 28
  29. 29. シンクライアント導入前の標準的な小規模情報システム構成 プリンター サーバ アプリサーバ データベース サーバ ファイルサーバ インターネット パソコンにインストールされたアプリケーション群 業 務 業 務 株式会社きっとエイエスピー著作(禁無断転用) 29
  30. 30. シンクライアント導入による外部攻撃防御対策 プリンター サーバ ファイルサーバ インターネット参照アプリケーション(ブラウザや メールクライアント等)をシンクライアントサーバ 上で実行するサンドボックス的方法 GO-Global for Windowsアプリサーバ データベース サーバ 業 務 業 務 インターネット 株式会社きっとエイエスピー著作(禁無断転用) 30
  31. 31. シンクライアント導入による内部情報漏洩防止対策 プリンター サーバ ファイルサーバ インターネット GO-Global for Windows インターネットを参照 しないすべてのアプリ ケーションをシンクラ イアント化 アプリサーバ データベース サーバ 業 務 業 務 株式会社きっとエイエスピー著作(禁無断転用) 31
  32. 32. 基幹業務系・オフィス業務系・外部接続系の完全分離 プリンター サーバ ファイルサーバ GO-Global for Windows 業務アプリケー ションサーバ 業務データ ベーサーバ インターネット GO-Global for WindowsGO-Global for Windows すべてのアプリケーションをサーバ側に移し替えても その操作はこれまでと変わりません 業 務 業 務 株式会社きっとエイエスピー著作(禁無断転用) 32
  33. 33. シンクライアント サーバ シンクライアント サーバ ファイル サーバ ウェブアプリケー ションサーバ データベース サーバ http, smtp シンクライアント用プロトコル nfs, lpr, http シンクライアント・サーバはネットワークを分離する道具 ネットワーク・セグメン ト毎に使われる通信プロ トコルの種類を制限する ことにより、セキュリ ティ強度を高めることが できる。 データベースサーバ、ファイルサーバ、 アプリケーションサーバなどは、すべ てシンクライアントサーバの裏側に隠 すことにより、外部からの攻撃を防ぐ ことができます。 ネ ッ ト ワ ー ク プ リ ン タ ー も シ ン ク ラ イ ア ン ト サ ー バ の 裏 側 に 隠 す こ と に よ り 外 部 か ら の 攻 撃 を 受 け な く な り ま す 外 部 か ら の 攻 撃 は す べ て シ ン ク ラ イ ア ン ト ・ サ ー バ 内 に 止 ま り ま す 。 攻 撃 が 内 部 ま で 及 ぶ こ と は あ り ま せ ん 。 インターネット 株式会社きっとエイエスピー著作(禁無断転用) 33
  34. 34. その他、シンクライアント導入事例 株式会社きっとエイエスピー著作(禁無断転用) 34
  35. 35. サポートを打ち切られたバージョンのウェブ・ブラウザー ブラウザーの特定バージョンに依存するWebアプリケーションをお使いの皆さまは、こ の方針変更に戸惑っておられることと思います。でも大丈夫です。シンクライアント・ サーバ中にサポート対象から外された、ご利用になりたいバージョンのInternet Explorer をホスティングしてご利用ください。Internet Explorerのセキュリティ更新プログラムが 提供されなくても、シンクライアント・サーバの中に閉じ込めて、外部接続を遮断して 利用されるならば、脆弱性の攻撃を受けたり、内部情報が漏えいすることはありません。 Windows OS ごとに異なるサポート継続バージョンへ移行を 2016 年 1 月 12 日(米国時間)を過ぎると Microsoft 社が提供するウェブブラウザ「Internet Explorer」(以後、IE) のサポート対象が“各 Windows OS で利用可能な最新版のみ”にポリシーが変更されます。サポート対象外となる IE は、セキュリティ更新プログラムが提供されなくなるため、新たな脆弱性が発見されても解消することができませ ん。脆弱性が見つかり攻撃者がそれを悪用すると、ウイルス感染により「ブラウザを正常に利用できなくなる」ほ か「情報が漏えいする」などの被害に遭うおそれがあり、早急なバージョンアップが求められます。 情報処理推進機構ウェブサイトより マイクロソフト社によるInternet Explorerのサポート方針の変更 シンクライアント技術をご利用になれば、サポートを打ち切られた 旧バージョンのInternet Explorerを引き続き安全にご利用頂けます。 株式会社きっとエイエスピー著作(禁無断転用) 35
  36. 36. 異なるソフトウェア・ベンダーによって開発されたJavaアプリケーションをいろいろとご利 用の皆さまは、それぞれのアプリケーションが依存するJavaのバージョンおよびそのアップ デートに対応するため大変ご苦労されていることと存じます。ソフトウェア・ベンダーの皆 さまにおかれましても、次々と提供されるアップデートに逐次対応するコストにお悩みでは ないでしょうか?お客さまは、セキュリティ対策上それぞれのアップデートに対して早急な 対応をソフトウェア・ベンダーの皆さまに求められます。Javaアプリケーションをシンクラ イアント・サーバ上でホスティングすることで、この問題を回避することができます。 Javaのアップデートにより生じるアプリ障害回避 株式会社きっとエイエスピー著作(禁無断転用) 36 Javaアプリケーションのバージョン依存問題の回避 Javaアップデートによるアプリケーション障害の回避
  37. 37. 先ずは、導入費用に大きく影響する ライセンス管理体系を正しく理解 株式会社きっとエイエスピー著作(禁無断転用) 37 ここで、シンクライアントの 導入費用について考えてみましょう
  38. 38. RDライセンスサーバ RDセッションホスト 登録ユーザ数ライセンス、接続デバイス数ライセンス および同時アクセス・ユーザ数ライセンス管理方式について 接続 接続 接続 接続 接続 接続 接続 接続 接続 接続 同時アクセス・ユーザ数 登録ユーザ数 接続デバイス数 株式会社きっとエイエスピー著作(禁無断転用) 38 ライセンス管理方式の理解
  39. 39. RDライセンスサーバ 利用者が複数のサーバを利用するため登録ユーザ数が増える場合 RDセッションホスト RDセッションホスト登録ユーザ数 登録ユーザ数 接続デバイス数 株式会社きっとエイエスピー著作(禁無断転用) 39 接続デバイス数ライセンス管理方式が有利な場合
  40. 40. RDライセンスサーバ RDセッションホスト RDセッションホスト 利用者それぞれが複数の接続デバイスを利用される場合 登録ユーザ数 登録ユーザ数 接続デバイス数 株式会社きっとエイエスピー著作(禁無断転用) 40 登録ユーザ数ライセンス管理方式が有利な場合
  41. 41. GO-Globalライセンスサーバ GO-Globalサーバ GO-Globalサーバ 登録ユーザ数増や登録端末数増の影響を受けません 接続 接続 接続 接続 接続 接続 接続 接続 接続 接続 同時アクセス・ユーザ数を 自由に配分可能 登録ユーザ数ライセンスなし 登録ユーザ数ライセンスなし 接続デバイス数ライセンスなし 株式会社きっとエイエスピー著作(禁無断転用) 41 同時接続ユーザ数ライセンス管理方式
  42. 42. 同時接続ライセンス管理方式はユーザに優しく使いやすい 同一ライセンス管理サーバを参照する GO-Globalサーバ群へ、同一クライア ントから同一ユーザ名でアクセスする 場合、 この図のように異なるGO-Globalサー バに対し、同時に複数セッションを 張っていても、同時アクセス・アカウ ントは1ユーザ分と解釈されます。 ライセンス管理サーバ GO-Globalサーバ GO-Globalサーバ GO-Globalサーバ ライセンス参照 ライセンス参照 ライセンス参照 競合他社製品に比べて、大変お得に導入できる理由がここにあります! デバイスで縛るライセン スもありません。だから、 お一人お一人何端末でも 自由にご利用頂けます。 これもお得な理由です。 サーバ側同時アクセスユーザ数だけで課金するライセンス管理体系 株式会社きっとエイエスピー著作(禁無断転用) 42
  43. 43. ライセンス管理機能を補う 利用予約管理機能 株式会社きっとエイエスピー著作(禁無断転用) 43
  44. 44. 利用予約管理機能 ユーザ名 利用開始時間 利用終了時間 アプリケーション 山田太郎 2016年7月4日9時00分 2016年7月4日10時00分 ワープロ 鈴木花子 2016年7月4日9時00分 2016年7月4日10時30分 表計算 立川一郎 2016年7月4日10時40分 2016年7月4日11時40分 画像編集 日野史郎 2016年7月4日13時00分 2016年7月4日14時30分 表計算 豊田雄太 2016年7月4日15時30分 2016年7月4日17時00分 出席管理 GO-Global for Windowsホストへの同時アクセスユーザ数による管理は、ライセンス管理 コスト面では大変お得なのですが、どうしても何方かが使えないということが起きる 恐れがあります。そのような事態を回避する方法として、GO-Global for Windowsには、 ユーザ個々の利用時間の予約管理をするためのプログラム・インターフェイスをご用 意致しました。これをご利用頂ければ、個々のニーズに合った利用スケジュール管理 プログラムを簡単に作成して頂けます。 あっ、使えない! 株式会社きっとエイエスピー著作(禁無断転用) 44
  45. 45. 導入費用に影響の大きい システム・サーバ構成の理解も大切です 株式会社きっとエイエスピー著作(禁無断転用) 45
  46. 46. Windows Server 2012 R2による マイクロソフトRemote Desktop Servicesのシステム構成 RD Web Access RD Connection Broker RD Gateway RDP Client Active Directory & Network Policy Server RD Session Host RD Session Host ご利用になるアプリケーションはすべ てこのサーバ内で実行されますので、 サーバサイジングで一番重要なのはこ の部分になります。 この部分の機能を提供できるものはマ イクロソフトRDSとGraphOn社GO-Global だけです。 マイクロソフト以外のベ ンダー各社はこの部分に それぞれ工夫を凝らした 製品を出していますが、 GO-Global以外のどの製品 も 必 ず 本 図 右 側 の RD Session Hostを必要としま す。 マイクロソフトRemote Desktop Servicesを構 成する上でActive Directoryが必須です 機能増強により製品強化を進めるマイクロソフトRDS 株式会社きっとエイエスピー著作(禁無断転用) 46
  47. 47. リモート デスクトップ サービスは、いくつかの役割サービスから構成される、サーバーの役割です。Windows Server 2008 R2 におけるリモート デスクトップ サービスは、次の役割サービスから構成されます。 • RD セッション ホスト: リモート デスクトップ セッション ホスト (RD セッション ホスト) サーバー (以前のターミナル サー バー) を使用すると、Windows ベースのプログラムや完全な Windows デスクトップをサーバーでホストできます。ユー ザーは RD セッション ホスト サーバーに接続して、プログラムを実行したり、ファイルを保存したり、そのサーバー上の ネットワーク リソースを使用したりできます。 • RD Web アクセス: リモート デスクトップ Web アクセス (RD Web アクセス) (以前の TS Web アクセス) を使用すると、 Windows 7 を実行しているコンピューターのスタート メニューや Web ブラウザーを利用して、RemoteApp とデスクトップ 接続にアクセスできます。RemoteApp とデスクトップ接続によって、RemoteApp プログラムのカスタマイズされたビュー と仮想デスクトップがユーザーに提供されます。 • RD ライセンス: リモート デスクトップ ライセンス (RD ライセンス) (以前の TS ライセンス) は、個々のデバイスまたはユー ザーが RD セッション ホスト サーバーに接続するために必要な、リモート デスクトップ サービス クライアント アクセス ライセンス (RDS CAL) を管理します。リモート デスクトップ ライセンス サーバーで RDS CAL のインストール、発行、およ び可用性の追跡を行う場合に、RD ライセンスを使用します。 • RD ゲートウェイ: リモート デスクトップ ゲートウェイ (RD ゲートウェイ) (以前のTS ゲートウェイ) を使用すると、承認済 みリモート ユーザーは、インターネットで接続された任意のデバイスから企業内部ネットワーク上のリソースに接続でき ます。 • RD 接続ブローカー: リモート デスクトップ接続ブローカー (RD 接続ブローカー) (以前の TS セッション ブローカー) は、負 荷分散された RD セッション ホスト サーバー ファーム内におけるセッションの負荷分散とセッションへの再接続をサポー トします。また、RemoteApp とデスクトップ接続を使用して、RemoteApp プログラムおよび仮想デスクトップのアクセス をユーザーに提供するために、RD 接続ブローカーも使用されます。 • RD 仮想化ホスト: リモート デスクトップ仮想化ホスト (RD 仮想化ホスト) を Hyper-V と統合することにより、仮想マシンを ホストして、仮想マシンを仮想デスクトップとしてユーザーに提供します。また、組織内の各ユーザーに個別の仮想デス クトップを割り当てたり、仮想デスクトップのプールに対する共有アクセスをユーザーに提供することができます。 リモート デスクトップ サービスの役割サービス 株式会社きっとエイエスピー著作(禁無断転用) 47
  48. 48. Windows Server 2012 R2による 前頁マイクロソフトRemote Desktop Servicesシステム構成と同等の GraphOn社GO-Global for Windowsのシステム構成 GO-Global Client GO-Global Sever GO-Global Server ご利用になるアプリケーションはすべ てこのサーバ内で実行されますので、 サーバサイジングで一番重要なのはこ の部分になります。 この部分は前頁のRD Session Hostに該当 する部分です。 サーバサイジングの考え方 前図とこの図を見比べて頂ければお分かり頂けると思いますが、サーバサ イジングで最も注意しなければならないのは、本図右側のGO-Global Server 部分です。このGO-Global Severを1台にして100同時アクセスユーザを収納す ることは技術的に可能ですが、そのためのサーバは物理サーバだけで極め て高額になってしまいます。それに加えてサーバ仮想化製品等をご利用に なれば更に費用が掛かることになります。(念のため、GO-Global Serverを 各種仮想基盤上でご利用になることは可能です。) 導入費用を下げるためには、50ユーザ収納可能な仕様の物理サーバの費 用や、25ユーザ収容可能な仕様の物理サーバの費用を比べて、構築費用 も含めた総費用の最適化が必要になります。 また、稼働率90%のサーバ2台並列運用時は99%、3台並列運用時は99.9%、 4台並列運用時は99.99%まで稼働率が向上しますので、この点にも御留意の 上、可用性の高い最適なサーバ構成をご検討ください。 GO-Global for Windowsサーバの仕様は、 同時アクセス1ユーザ当たり、 CPUは1スレッド、メモリは1GBが目安 画面配信性能向上に拘り続けるGO-Global for Windows 株式会社きっとエイエスピー著作(禁無断転用) 48
  49. 49. ADサーバ RDSサーバ RDSサーバ ロード バランサー NAT GO-Globalサーバ +ロードバランサー GO-Globalサーバ +ロードバランサー NAT 名前付きユーザ200、同時アクセスユーザ100の場合の構築例 Remote Desktop Serviceによる構築例 GO-Global for Windowsによる構築例 GO-Global for Windows 100同時アクセスユーザライセンス Remote Desktop Service Client Access License 200名前付きユーザライセンス システム構成が簡単だから、構築・導入作業も簡単 株式会社きっとエイエスピー著作(禁無断転用) 49
  50. 50. GO-Global for Windows導入概算費用 (初期導入費用+5年間保守費) 他社競合製品との比較は、ラインセンス単価だけでなく、サー バ・ハードウェアやNASの価格、そして構築作業費用等初期導入費 用、および5年間保守費すべての経費を含めた総額で行って頂けれ ば、その費用差の大きさをご理解頂けます。 株式会社きっとエイエスピー著作(禁無断転用) 50 シンクライアント、仮想デスクトップ導入費用 市場相場価格参考資料
  51. 51. Network Attached StorageGO-Global for Windows サーバクライアント端末 下図構成例の初期導入構築費+5年間保守費込の概算費用は 約1,250万円 本概算費用は、一つの例です。お選びになるサーバやNASの仕様、製造元の違いによって変動します。 バックアップ用NAS サーバ当り同時アクセス50ユーザ接続端末台数無制限 GO-Global for Windows同時アクセス100ユーザ導入費用 株式会社きっとエイエスピー著作(禁無断転用) 51 サーバ+ストレージ GO-Global for Windowsサーバ5年間 間オンサイト保守費込み CPU Xeon E5-2650 v4 2.20GHz 1P/12C×2個 2式 メモリ 8GB×8個 HDD 300GB 15krpm SC2.5型 12G SAS(RAID 1)×2個 基本ソフトウェア Microsoft Windows Server 2012 R2 Standard Edition Microsoft Windows Server CAL 5ユーザ×10個 Network Attached Storage HPE StoreEasy 1450 3.5型 4TB SATAモデル相当品 2式 シンクライアント GO-Global for Windowsライセンスパッケージ(5ユーザ単位)5年間保守費込使用許諾権 20パッケージ GO-Global for Windows拡張機能パッケージ(サーバ単位)5年間保守費込使用許諾権 2パッケージ 初期導入構築作業 GO-Global for Windowsサーバ Micorosoft Windows Server構築 2式 ネットワーク設定 Network Attached Storage接続設定 GO-Global for Windows導入・設定 GO-Global for Windows拡張機能パッケージ導入・設定 セキュリティ基本設定 Network Attached Storage 導入設定 2式
  52. 52. GO-Global for Windows同時アクセス300ユーザ導入費用 次頁構成例の初期導入構築費+5年間保守費込の概算費用は 約3,800万円 本概算費用は、一つの例です。お選びになるサーバやNASの仕様、製造元の違いによって変動します。 ソフトウェア・ライセンス費用(同時アクセス1 0 0 ユーザ+5 年間保守費) 数量 G O -G lob alfor W in d ow s 3 0 0 ライセンス 拡張機能パッケージ 7 サーバ 数量 6 1 1 2 ハードウェア機器(サーバO S ライセンス込み)概算参考価格(H P ウェブ価格) 数量 C P U X eon E 5 -2 6 5 0 v4 2 .2 0 G H z 1 P /1 2 C ×2 メモリ 8G B ×8 H D D 3 0 0 G B 1 5 krp m S C 2 .5 型 1 2 G S A S (R A ID 1 )×2 個 W in d ow s S erver 2 0 1 2 R 2 5 ユーザC A L付 W in d ow s S erver C A L 5 ユーザC A L×9 C P U X eon E 3 -1 2 6 0 L v5 2 .9 0 G H z 1 P /4 C ×1 メモリ 8G B ×4 H D D 3 0 0 G B 1 5 krp m S C 2 .5 型 1 2 G S A S (R A ID 1 )×2 個 基本ソフトウェア X eon E 3 -1 2 6 0 L v5 2 .9 0 G H z 1 P /4 C ×1 N etw ork A ttach ed S torage 2 N etw ork A ttach ed S torage ライセンス管理サーバ 振分け管理・監視サーバ S toreE asy 1 6 5 0 相当 2 製品名 製品名 初期導入時構築・設定作業費 作業名 初期導入時構築・設定作業費(一時費用) 基本ソフトウェア 6G O -G lob alfor W in d ow sサーバ ライセンス+5 年間保守費 ライセンス+5 年間保守費 G O -G lob alfor W in d ow sサーバ ライセンス管理サーバ 振分け管理・監視サーバ 株式会社きっとエイエスピー著作(禁無断転用) 52
  53. 53. DL160 Gen9 DL160 Gen9 DL160 Gen9 DL160 Gen9 DL160 Gen9 DL160 Gen9 DL20 Gen9 StoreEasy 1650 StoreEasy 1650 ライセンス管理サーバ NAS(ユーザファイル) バックアップ用NAS 振分け・管理・監視サーバ拡張機能オプション導入 GO-Global for Windowsサー50同時アクセスユーザ 拡張機能オプション導入 同時アクセス300ユーザ・システム構成図 DL20 Gen9 株式会社きっとエイエスピー著作(禁無断転用) 53
  54. 54. GO-Global for Windows同時アクセス500ユーザ導入費用 次頁構成例の初期導入構築費+5年間保守費込の概算費用は 約6,030万円 本概算費用は、一つの例です。お選びになるサーバやNASの仕様、製造元の違いによって変動します。 ソフトウェア・ライセンス費用(同時アクセス1 0 0 ユーザ+5 年間保守費) 数量 G O -G lob alfor W in d ow s 5 0 0 ライセンス 拡張機能パッケージ 1 1 サーバ 数量 1 0 1 1 2 ハードウェア機器(サーバO S ライセンス込み)概算参考価格(H P ウェブ価格) 数量 C P U X eon E 5 -2 6 5 0 v4 2 .2 0 G H z 1 P /1 2 C ×2 メモリ 8G B ×8 H D D 3 0 0 G B 1 5 krp m S C 2 .5 型 1 2 G S A S (R A ID 1 )×2 個 W in d ow s S erver 2 0 1 2 R 2 5 ユーザC A L付 W in d ow s S erver C A L 5 ユーザC A L×9 C P U X eon E 3 -1 2 6 0 L v5 2 .9 0 G H z 1 P /4 C ×1 メモリ 8G B ×4 H D D 3 0 0 G B 1 5 krp m S C 2 .5 型 1 2 G S A S (R A ID 1 )×2 個 基本ソフトウェア X eon E 3 -1 2 6 0 L v5 2 .9 0 G H z 1 P /4 C ×1 N etw ork A ttach ed S torage 2S toreE asy 1 6 5 0 相当 製品名 G O -G lob alfor W in d ow sサーバ 1 0 基本ソフトウェア ライセンス管理サーバ 2 振分け管理・監視サーバ 作業名 初期導入時構築・設定作業費 G O -G lob alfor W in d ow sサーバ ライセンス管理サーバ 振分け管理・監視サーバ N etw ork A ttach ed S torage 製品名 ライセンス+5 年間保守費 ライセンス+5 年間保守費 初期導入時構築・設定作業費(一時費用) 株式会社きっとエイエスピー著作(禁無断転用) 54
  55. 55. DL20 Gen9 DL160 Gen9 DL160 Gen9 DL160 Gen9 DL160 Gen9 DL160 Gen9 DL160 Gen9 DL20 Gen9 StoreEasy 1650 StoreEasy 1650 ライセンス管理サーバ NAS(ユーザファイル) バックアップ用NAS 振分け・管理・監視サーバ拡張機能オプション導入 GO-Global for Windowsサー50同時アクセスユーザ 拡張機能オプション導入 同時アクセス500ユーザ・システム構成図 DL160 Gen9 DL160 Gen9 DL160 Gen9 DL160 Gen9 株式会社きっとエイエスピー著作(禁無断転用) 55
  56. 56. さらに技術的な理解を深めたい方のために 「仮想デスクトップ」と「シンクライアント」 におけるインターフェイス配信技術の基礎知識 株式会社きっとエイエスピー著作(禁無断転用) 56
  57. 57. シンクライアント誕生の原点 Citrix社は「クライアントサーバ方式」のインターネット利用から 1990年代のインターネットの普及により、企業内のクライアントサーバ方式アプリケーションを社外ある いは支社等の遠隔地から利用したいという需要が市場に見られた。しかしながら、クライアントサーバ方 式アプリケーションでは、LAN環境での利用を前提に開発されておりクライアントとサーバ間のデータ通 信量が多いため、インターネットを経由したWAN環境で実用的に利用することができなかった。そこで、 クライアントサーバ方式アプリケーションのクライアントモジュールをサーバ側で実行し、その描画画面 データをインターネット越しにクライアント端末側へ配信するという方法を考案した。このような技術方 式はスクリーン・スクレイピング(Screen Scraping)方式と呼ばれ、今日のマイクロソフトRemote Desktop Serviceの技術的原点となっている。 GraphOn社は「X-Window System」のインターネット利用から 1990年代には、企業内におけるUNIX環境でのX-Windowアプリケーション利用も広く普及しており、そのX- Windowアプリケーションをインターネット越しに利用したいという需要が顕在化していた。しかしながら、 X-WindowのプロトコルはLAN用に最適化されており、インターネット越しにWAN環境で利用するにはその データ通信量が多いため、実用的に利用することができなかった。そこで、X-Windowアプリケーションを 利用する際にクライアント端末側で実行されるX-Windowサーバ・モジュールをX-Windowアプリケーショ ン・サーバ側で実行し、X-Windowサーバ・モジュールにより実行されるX-Window APIシークエンスを監視 し、そのX-Window APIシークエンスをクライアント端末側に転送して実行するという方法を考案した。こ のような技術方式はAPIラッピング(API Wrapping)方式と呼ばれる。この考え方をマイクロソフトWindows環 境で実装したものが、GraphOn社GO-Global for Windowsの技術的原点である。 株式会社きっとエイエスピー著作(禁無断転用) 57
  58. 58. 描画命令分転送 GO-Globalの動作方式 シンクライアント技術は、クライアントサーバ型アプリケーションやUNIX系のX-Window アプリケーションをインターネット越しに実用的に使えるようにする目的で開発されました。 通常のシステム GO-Globalサーバが中間サーバとなり、実データがインターネット上 を流れないため、通信量の抑制とセキュリティ向上の効果がある。 SQLや検索データを送出 検索結果データを転送 キーボード・マウス情報送出 SQLや検索 データを送出 検索結果 データを転送 クライアント PGM クライアント PGM クライアントサーバ方式アプリケーションのインターネット利用 株式会社きっとエイエスピー著作(禁無断転用) 58
  59. 59. キーボード・マウス情報送出 描画命令分転送 GO-Globalの動作方式 シンクライアント技術は、1990年代末に増えすぎたパソコンのデスクトップアプリケーション をサーバ側で管理運用することによりTCOを削減する効果が高いということで普及しました。 通常のシステム パソコン側で実行されるアプリケーションと データをパソコン上で利用する。 サーバ側で実行されるアプリケーションとデータを、パソコンやタブレットなどのクライアント端末 から利用する。したがって、アプリケーションを個々のパソコンにインストール必要がなく、更新作 業もサーバ側で行えばよいため広域分散視システムのTCO削減効果が大きい。 デスクトップ・アプリケーションのインターネット利用 株式会社きっとエイエスピー著作(禁無断転用) 59
  60. 60. 物理(仮想)サーバ Windowsサーバ 画面描画領域 キーボード マウス ドライバ Remote Desktop Service アプリケーション 画面描画領域の変 化差分を送信 マウスイベントと キーボード入力 だけを送信 アプリケーション配信サーバ クライアント端末 Remote Desktop Protocol Citrix社考案による「スクリーン・スクレイピング方式」 アプリケーションが 描画する画面領域を 監視する 株式会社きっとエイエスピー著作(禁無断転用) 60 スクリーンスクレイピング方式を採用するマイクロソフトRemote Desktop Serviceは、アプリケーション により描画されるグラフィックスメモリー上の画面情報の変化差分を逐次クライアント端末側に送信し、 それをクライアント端末側スクリーン上に描画する。パラパラ漫画を想像して頂ければ理解しやすい。 パラパラ漫画は、早くめくれば動きが早くなり、ゆっくりめくれば動きが遅くなる。ここで、早くめく るということは、単位時間当たりの画面変化差分の送信頻度を上げることになるため、広い通信帯域を 必要とする。 Microsoft, Citrix, VMware, Ericom等各社は この方式を採用
  61. 61. スクリーンスクレイピング方式では、マウスやキーボードの円滑な操作性を維持するには単位 時間当たりできるだけ頻繁に画面の変化差分を端末側に送らなければならない。このため十分 な通信帯域が取れる場合はできるだけ頻繁に画面の変化差分を送出するよう試みる。従って、 同一通信経路上にユーザが集中したときには著しい操作性の低下を生じる傾向がある。 「スクリーン・スクレイピング方式」をパラパラ漫画に擬えて 株式会社きっとエイエスピー著作(禁無断転用) 61
  62. 62. 物理(仮想)サーバ Windowsサーバ 画面描画 API キーボード マウス ドライバ GO-Global for Windows アプリケーション 画面描画API シークエンス を送信 マウスイベントと キーボード入力 だけを送信 アプリケーション配信サーバ クライアント端末 独自プロトコル Rapid-X アプリケーションが 利用するAPIを監視 株式会社きっとエイエスピー著作(禁無断転用) 62 GraphOn社考案による「APIラッピング方式」 APIラッピング方式を採るGraphOn社GO-Global for Windowsは、アプリケーションにより実行されるAPIシー クエンスを監視し、その中にグラフィックスAPIシークエンスを見出したとき、そのグラフィックスAPIシー クエンスを独自のグラフィックスAPIシークエンスに組み立て直して最適化し、それをクライアント端末側 に送信して、実行し、クライアント端末側ディスプレイ上に画面描画を行う。この方式では画面の描画 データではなく、画面を描画するAPIシークエンスを送信するため、送信データ量を抑制する効果がある。 この方式を採用するのはGraphOn社 GO-Global for Windowsのみ
  63. 63. APIラッピング方式とスクリーンスクレイピング方式の通信特性比較 GraphOn社製GO-Global for Windowsでは、マク ロの負荷が掛かった状況でも、イベントに対す る反応が保持されている。 マイクロソフトRemote Desktop Serviceを利用す る某社製品では、マクロの負荷が掛かった状況 では、ほぼフラットの連続した画面差分の転送 状態となってしまい、画面表示に遅延が発生し たり、ユーザイベントに追従しないといった現 象が見られる。 APIラッピング方式 スクリーン・スクレイピング方式 APIラッピング方式とスクリーンスクレイピング方式の通信特性を比較するために、Microsoft Wordへ連続的に文字を入力するマクロプログラムを使ってそれぞれの通信量の時系列的変化 を観察したものが下記のグラフである。 株式会社きっとエイエスピー著作(禁無断転用) 63
  64. 64. GO-Global for Windowsと組み合せてご利用頂くと さらなる情報セキュリティ強靭化に役立つ 分散ストレージ統合管理ソリューション 文書ファイル暗号化ソリューション 株式会社きっとエイエスピー著作(禁無断転用) 64
  65. 65. 社内ファイルサーバも各種クラウドストレージ群も すべてのファイルストレージをシームレスに統合、一元管理 ハイブリッド分散ファイルシステム 統合管理サーバ パブリッククラウドサービスをご利用になればなるほど、そのサービスプラット フォーム上にデータファイルが分散してしまうことになります。それらクラウドプ ラットフォーム上に分散したデータファイル・ストレージを、安全に、かつ簡単に、 今ご利用の情報システムに手を加えることなく、今ご利用のファイルサーバ群と統合 し、一元管理して頂くためのご提案です。 Unifyle開発元Primadesk社は、Citrix Ready Partnerですので、安心してCitrix製品と組合 わせてご利用頂けます。 株式会社きっとエイエスピー著作(禁無断転用) 65
  66. 66. Office365 を 利 用 す れ ば デ ー タ フ ァ イ ル は OneDrive上に格納され、G-mailにファイルを添 付すればそれはGoogle Drive上にという具合に、 クラウドを利用するとそれに伴って分散してし まうデータファイルの管理が大変になります。 それに加えて、社内のファイルサーバへ社外か らスマートフォンなどのモバイル機器でアクセ スするという要求も高まっています。このよう に情報システムご担当の皆さまのデータスト レージの運用管理負担は増すばかりです。 分散ファイルシステム統合管理Unifyle導入前 分散ファイルシステム統合管理Unifyle導入後 Unfyle: 分散ファイルシステム統合管理サーバ 分散ファイルシステム統合管理サーバUnifyleを 追加導入するだけで、既存のファイル管理サー バ群には一切手を加えず、SharePointサーバ、 NFS、FTPサーバなどはもちろん、OneDrive、 Google Drive、Box、Dropbox、Evernoteなどの クラウドストレージサービスもUnifyleサーバか らの接続設定をするだけで、簡単に統合し、一 元管理できるようになります。 すべてのストレージのユーザ管理も、どのよう なデバイスからのアクセス管理も、すべて Unifyleサーバ経由に一元化されますので、セ キュリティ対策としても有効です。 株式会社きっとエイエスピー著作(禁無断転用) 66
  67. 67. UnifyleをiPhone 6から利用した場合の表示画面例 株式会社きっとエイエスピー著作(禁無断転用) 67
  68. 68. 1. オンプレミスでご利用頂けますので、組織内でご利用のデータファイルは、すべて 組織内運用のファイルサーバ内で管理頂けます。 2. 現行の情報システム、ファイルサーバ、ネットワークに手を加えることなくそのま まご利用頂きながら、Unifyleを追加導入して頂くだけですので、導入が簡単です。 3. Active DirectoryやLDAPによる統合にも対応しています。 4. ユーザの皆さんがどなたもオリジナルのデータファイルを共有し、それに直接アク セスできるようになりますので、データファイルの無駄な複製が減ります。 5. ファイル同期は暗黙には行いません。データファイルをローカルデバイスへコピー することなく、まるでそれがローカルデバイスに有るかの如く取り扱って頂けます。 6. モバイルデバイスからデータファイルを利用する場合でも、そのデータファイルは 必ず元の場所へ書き戻されますので、モバイルデバイスを紛失しても、データファ イルを紛失することにはなりません。 7. 暗号化機能も組み込まれていますので、組織内ファイルサーバ内のデータファイル はもちろん、クラウドストレージ上のデータファイルも安全にご利用頂けます。 8. 認証情報はすべて多重に暗号化されています。 9. トランザクション処理はすべてHTTPSで行われます。 10. その他、SQLインジェクション等のセキュリティ対策も完備しています。 を安心してご利用頂くために 株式会社きっとエイエスピー著作(禁無断転用) 68
  69. 69. 仮想デスクトップ、シンクライアント等と組み合わせて 仮想デスクトップあるいはシンクライアント、そしてファイル暗号化と組合わ せて、高度なセキュリティ対策を短期に、低コストで実現することができます。 株式会社きっとエイエスピー著作(禁無断転用) 69
  70. 70. オフィス・ドキュメントの暗号化を行います。 Word、Excel、Powerpointなどの操作は何も変わりません。 いつもの通り業務を行ってください。 企業の情報セキュリティに最適な 情報漏洩防止ソリューション 業務環境がディジタル化されて文書をディジタル環境へ保存及び共有することで業務 の効率性は高くなりましたが、代わりに情報漏洩事故が非常に増えています。最近で は内部関係者による個人情報漏洩事故やAPT(Advanced Persistent Threat)攻撃のような インテリジェントなサイバーテロなど予測できない多様な脅威も企業内の機密情報を 狙っているため情報漏洩に対する危険性が一段と高まっています。そのため、内部関 係者と外部攻撃による情報漏洩を根本的に防止できるドキュメントDRMソリューショ ンが注目されています。 DocumentSecurityはソフトキャンプ株式会社の製品です。 株式会社きっとエイエスピー著作(禁無断転用) 70
  71. 71. 文書生成・利用・流通・廃棄ライフサイクル管理 株式会社きっとエイエスピー著作(禁無断転用) 71
  72. 72. 文書生成・利用・流通・廃棄ライフサイクル管理 生成 優れたセキュリティ性と多様な機能 • AES128bit暗号化アルゴリズムで強力な 暗号化機能提供 • 個人情報保護法ガイドラインに準拠 • コピー&ペースト、キャプチャ制御、 印刷生業、透かし印刷、デバイス制御 までオール・イン・ワンで提供 利用 業務の利便性と他システム連動も考慮 • 業務内容に合わせた部署/ユーザ別の 詳細な権限制御 • オフライン状況でも利用可能な機能を 提供 • 業務システムやDLPなど他ソリュー ションとの連携でトータルなセキュリ ティ環境をサポート 廃棄 権限や使用状況を一括で管理 • 職位、文書の用途、ユーザ/グループ 別文書使用権限を設定及び管理 • 利用履歴(ログ)を通じて文書使用状況 及び事後監査可能 流通 安全な共有環境提供 • 社内ユーザ間は勿論、外部パートナへ も安全な文書共有機能をサポート • DocumentSecurityがインストールされ ていない取引先へも安全に文書を提供 可能 株式会社きっとエイエスピー著作(禁無断転用) 72
  73. 73. ファイルの移動 DS認証、ログ収集 Storage制御 DocumentSecurityシステム体系概要 株式会社きっとエイエスピー著作(禁無断転用) 73
  74. 74. シンクライアント GraphOn社GO-Global for Windows & 分散ファイルシステム統合管理サーバ Primadesk社Unifyle & 文書ファイル暗号化 ソフトキャンプ社Document Security 製品組み合わせによる セキュリティ強度の高い情報システム構成例 株式会社きっとエイエスピー著作(禁無断転用) 74
  75. 75. 株式会社きっとエイエスピー著作(禁無断転用) 75 情報システム・セキュリティ強靭性向上対策ネットワーク図
  76. 76. ありがとうございました 〒160-0022 東京都新宿区新宿1-3-12 壱丁目参番館2階 電話:03-3350-9300 FAX:03-3356-4450 http://www.kitASP.com/ 株式会社きっとエイエスピー 本資料でご紹介致しました製品にご関心を頂けましたら、ご遠 慮なく下記までお問い合わせください。 株式会社きっとエイエスピー著作(禁無断転用) 76

×