ユニアデックスがMicrosoft 365のゼロトラストセキュリティ基盤上にAVDを構築。自社のハイブリッドワーク環境は、展開するマネージド仮想デスクトップサービスに還元

セキュリティと利便性を両立するハイブリッドワーク基盤の構築

コロナ禍で急速に普及したリモートワークは、出社と組み合わせたハイブリッドワークとなって、いまでは多様な働き方の 1 つとして定着しています。IT インフラの専門家として、あらゆる産業の根幹を支えることで、企業や社会の発展に貢献してきたユニアデックスでは、重点を置くテーマとしてハイブリッドワーク基盤の整備に取り組んでいます。

その基盤整備にあたっての課題の 1 つは、セキュリティと利便性を両立することです。利用者やデバイス、ネットワーク、アプリケーションなどから求められるアクセス権を常に検証し、IT 業務環境全体を統合的に管理するゼロトラスト セキュリティモデルはその有効な解決策となります。

しかし、実際に業務で導入する際には、参照するベストプラクティスやこれまでとは異なるセキュリティや管理手法の考え方を採り入れる必要があります。これらのハードルを乗り越えるアプローチが、BIPROGY グループの豊富な知見やノウハウの「一切合切」を詰め込んだサービス「GASSAI（がっさい）」です。

GASSAI は、BIPROGY グループが日本国内で 60 年以上に渡り、累計約 5,000 社のお客様支援を通じて培った経験や技術力、ノウハウの集大成です。同グループの一員であるユニアデックスは、コンサルティングから設計、構築、セキュリティ、運用、保守まで、GASSAI を活用した企業変革をトータルで手がけています。

そのサービスメニューの 1 つに、BIPROGYが提供するマネージド仮想デスクトップサービス「楽DaaS」があります。「楽DaaS」は、Microsoft Azure上で構築されたセキュアで快適な仮想デスクトップ環境を、運用・保守まで含めてワンストップで提供するフルマネージド型サービスです。これにより、初期コストや人的資源の負担を抑えつつ、仮想デスクトップ環境を実現することができます。 

ユニアデックス自身に、ハイブリッドワークにおけるセキュリティと利便性の両立という課題認識があり、その解決のために、ゼロトラスト セキュリティモデルに基づいて IT 環境の安全性を確保すること、利用者である社員に VDI (仮想デスクトップ) 展開すること、そして、その ID やデバイスをクラウドで管理することの 3 つの要素を重要項目として洗い出し、それぞれを連携させることを決定しました。

これは「お客様が何に悩み、つまずくのか。打開するためのポイントは何か」を、身を持って体験することにもつながります。

IT インフラの専門家が自社のためのハイブリッドワーク基盤を構築することと、その構築過程をお客様に寄り添うパートナーとして、提案に反映すること、この 2 つを意識して、プロジェクトが始まりました。

Microsoft 365 のゼロトラスト セキュリティ基盤上に Azure Virtual Desktop を導入

同社では、エンジニアが現場に出向いて、ネットワーク機器を設定するような社外業務が日常的です。

「3 年ほど前に導入したオンプレミス VDI は特定メンバーを対象としていました。社外に PC を持ち出して業務を行う際に、情報漏えいリスクを回避するためです」と、同社 情報システム部 DWP推進室 室長 内ヶ島暢之氏は振り返り、こう続けます。

「時間の経過とともに、Windows OS の更新管理、Microsoft Teams の利用拡大、従業員の各種活動の活発化など、クライアント側に求められるリソースが大きくなっていたことで、パフォーマンスの低下が目立つようになりました。とくに朝 9 時の始業時には、従業員が一斉に業務を開始するため、PC が起動しづらくなるといった苦情が多く寄せられ、ハードウェアが老朽化していたこともあって、コロナ禍が落ち着いた頃から、新しい VDI 基盤の検討に入りました」

次世代 VDI の選択では、オンプレミスか？クラウドか？が最初の選択となったとのこと。

「オンプレミスの場合、固定資産として投資するため、5 年後を想定したスペックで購入することになります。変化の激しい時代にあって予想は難しいと判断しました。また、「所有」ではなく、「利用」すると思考を切り替えることによって、リソースの増減に柔軟に対応できることから、クラウドを選択することに決定しました」 (内ヶ島氏)

2024 年 5 月から、同社では導入検討を開始します。

「現実的な 3 種類ほどの選択肢から、Azure Virtual Desktop (以下、AVD) に決めた理由の 1 つは、すでに活用していた Microsoft 365 E3 ライセンスを有効活用することで、導入費用を抑えられることです。AVD では、ここに含まれる Windows Enterprise エディションが利用できるので、必要なコストは Azure の利用料だけに抑えられます」と同社 クラウドサービス本部 クラウドソリューション二部 サービス開発室 松田智氏は話し、採用の決め手について続けます。

「当社は、Microsoft 365 E3 を活用して、すでにゼロトラスト セキュリティ基盤を構築していました。他社の VDIを新たに導入する場合、セキュリティの設計を最初からやり直さなければなりません。AVD なら、既存のセキュリティ基盤上で、セキュリティポリシーを運用することで安全性の高いシステムが構築でき、かつ、スムーズに導入できます。当社では、在宅でも仕事がしやすい環境が求められるため、BYOD (Bring Your Own Device；従業員が自身で所有するデバイスを業務で使用する形態) を許可しています。自宅の PC から、AVD 経由で業務ができる点もポイントとなりました」

松田氏は、今回の仕組みにおける先進性について、次のように付け加えます。

「当社では、物理PCやモバイルデバイスの管理において、 クラウド型の ID/アクセス管理『Microsoft Entra ID』(以下、Entra ID)とデバイス管理『Microsoft Intune』(以下、Intune)を利用し、クラウドネイティブなエンドポイント管理を実現していました。AVD でも、この管理方式を採用しました。 一般的に、VDI 環境を構築する場合、AD (Active Directory) を利用したドメイン参加で運用します。今回は、AD にはアクセスせずに、Entra ID に直接参加するようにしました。クラウドのメリットを活かした SSO、多要素認証、管理者の負荷軽減を活かすためです。オンプレミスによる ID、アクセス管理から、クラウドベースの管理にシフトすることは、ゼロトラスト セキュリティ基盤の構築に意義があると考えています。さらに Intune にデバイス管理を集約することで、コンプライアンスポリシーやアプリケーション、Windows アップデートをクラウドから配信できるようになり、管理性と柔軟性を両立することができました。このように DaaS として、クラウドネイティブな管理・運用を実現している点が先進的であると考えています」

SSO でユーザーの利便性を向上

2024 年 8 月、同社は AVD による PoC (Proof of Concept：概念実証) を開始します。「当社の業務で利用しているアプリケーションの動作確認、社内 LAN との接続性などを検証しましたが、特に大きな問題はありませんでした。仮想環境に最適化された『Microsoft Teams on AVD』のパフォーマンスも良好でした」 (松田氏)

2025 年 4 月、同社は AVD を全社導入し、次世代ハイブリッドワーク基盤のもと約 4,000 台で運用を開始しました。利用者である、従業員の利便性向上について、クラウドサービス本部 クラウドソリューション二部 サービス開発室 室長 高山拡氏は次のように話します。

「従来のオンプレミス VDI では、都度、パスワードを入力する必要がありました。Entra ID 構成になったことで、SSO を利用可能にし、一度のログインで、複数のアプリケーションが利用できるようになったことは、日常業務で利便性を感じるメリットです」システムエンジニアが多い同社では、AVD の導入に伴って、利用者に管理者権限を付与しています。オンプレミス VDI では付与していなかった管理者権限を、利用者からの要望により、物理 PC と同じ運用に合わせました。その理由について内ヶ島氏は説明します。

「エンジニアは様々なツールを利用することで、生産性や競争力を高めていきます。しかし、多くのツールは管理者権限がないと利用できません。従業員の利便性を重視し、管理者権限を付与することにしました。一般企業でも、開発部門や営業部門にのみ管理者権限を与えるといった柔軟な運用にはメリットがあると思います」

VDI をオンプレからクラウドに移行したことで、費用に対する考え方が変わったと内ヶ島氏は説明します。

「とくに固定費と変動費の違いですね。オンプレミスは固定費なので、導入後の費用を減らすことはできません。一方でクラウドは、消費量で変わる変動費なので、利用の仕方を工夫することで費用の最適化が図れます。費用対効果を考慮しながら、最新技術を利用できる点にも優位性があると思います」

AVD はクラウドベースの VDI なので、運用管理者の意識変革も必要になります。

「オンプレミス VDI では、当社がハードウェアのメンテナンスや故障対応をしなければなりませんが、クラウドではその必要はありません。それまでに必要だったリソースを別の業務に回せますし、運用の負荷軽減にもなります。一方で、クラウドを利用した基盤の運用のノウハウの蓄積が求められるので、そうした蓄積は当社が展開するサービス構築に還元しています 」 (内ヶ島氏)

Windows 365と Windows 365 Linkの検証を開始

ユニアデックスでは、AVDの展開後、Windows 365とその専用デバイスである Windows 365 Linkの検証を開始しました。Windows 365も AVDも、どちらもマイクロソフトのデスクトップ仮想化サービスですが、IaaS (Infrastructure as a Service)である AVDに対し、SaaS (Software as a Service)として提供されているのが Windows 365です。

SaaS なので、CPUとメモリ、ストレージを選ぶだけで、すぐに利用を開始でき、月額課金のために費用を算出しやすいメリットがある一方で、要件に合わせたカスタマイズ要件には向いていません。

「この春に Windows 365専用のシンクライアントと言える『Windows 365 Link』が登場したことで、Windows 365の社内での利用やお客様への提案の幅が広がりました。例えば、このデバイスをオフィスに置いておけば、自宅でリモートワークをすることが多い社員が出社したときに、社給デバイスを持ってくる必要がありません。“手ぶら”で出社できますし、デバイスの盗難や紛失のリスクを減らすこともできます。従業員が自由に使えるようになったら、働き方がどのように変わるのかも検証したいと考えています」 (松田氏)

出張が多い高山氏は、Windows 365 Linkをすでに関西支社に送ったと説明します。

「Windows 365 Linkを関西支社に置いて、キーボードとモニターをつなげておけば、立ち寄ったときに本社にいるのと全く同じ環境で仕事ができます。仕事のためのデバイスを持ち運ぶ必要がありません。Windows 365と AVDは、特性が異なるので、用途に応じた使い分けが必要になると思います。」

今回の移行プロジェクトでは、自社のための基盤構築で得た知見やノウハウを、顧客に提案する「楽DaaS」に反映することが当初から意識されました。

「ゼロトラスト セキュリティ、仮想デスクトップ環境、クラウドによるエンドポイント管理、これらを自らが、自らの業務で使うために設計から構築、運用まで行う過程で得られる経験は、「楽DaaS」にも還元されています。今後、私たちが AVDをもっと使いこなしていくことが、「楽DaaS」のサービスメニューの増強にも反映されていきますし、Microsoft 365 E3を導入しているお客様には、実はハイブリッドワークに最適な基盤がすでに揃っていることを伝えて行きたいと思います 」 (高山氏)

次世代 ITインフラの全体最適化を目指すユニアデックス。マイクロソフトでは、エンドユーザーであり、パートナーでもある同社とともに、ゼロトラスト セキュリティを念頭において構築されている Azure Virtual Desktopと Windows 365をご提案して参ります。