「全部VDIにするしかない？」と悩んだときの、もう1つの現実解 ― 端末内分離という選択

昨今業務システムのクラウド化やリモートワークが当たり前になり、端末が扱う情報量も増えました。攻撃の入口もWeb、メール、端末へと広がり、情シスの立場では“どこまで端末を守るべきか”の判断が難しくなっています。

こうした状況で、よく候補となるのがVDIやDaaSなどの仮想デスクトップです。強いセキュリティを実現しやすい一方で、現場からは「導入・運用コストが重い」、「システム負荷や操作性が気になる」といった声も出やすく、検討が止まってしまうケースも少なくありません。
そこで活用できるのがIIJセキュア端末分離ソリューション with SolitonやIIJファイル中継ソリューション with Solitonです。今回は端末分離に関する課題の整理と現実解を紹介します。

目次

1. 守りたいのは“全部”ではなく「危ない入口」と「持ち出し経路」
2. VDIやDaaSは、強力な分だけ障壁がある
3. 現実解：今ある端末に“分離された業務環境”を足す
4. 「IIJセキュア端末分離ソリューション with Soliton」の“2つの方法”
5. 「IIJファイル中継ソリューション with Soliton」で社内/社外ファイルの持ち込み/持ち出しも制限
6. IIJ×ソリトンの「共創」による効果

守りたいのは“全部”ではなく「危ない入口」と「持ち出し経路」

端末分離を検討するお客様の相談を聞いていると、実は「すべての業務を隔離したい」というより、次のような“困りごと”が発端になっているケースが多く見られます。

• Webアクセスが日常化する中で、フィッシングや不審サイトのリスクが現実的になった
• 業務でWeb会議やWebアプリを使うが、端末側にデータが残ってしまうのが怖い
• 委託先/出向者/拠点/リモートワーク/BYODなど、端末統制が難しい環境でも“守りたいデータ”がある

つまり、やりたいことは「操作端末と動作環境の完全分離」ではなく、「“危ない入口（主にWeb）”と“持ち出し経路（ファイル・コピー・貼り付け等）”を、現場の操作性を大きく落とさずに抑えたい」ということです。

VDIやDaaSは、強力な分だけ障壁がある

VDIやDaaSは「端末を安全にする」方向では強力です。ただ、強力であるほど、導入・運用の障壁も上がりがちです。

• 構成が大きくなり、費用・運用が読みにくい
• 画面転送方式のため、Web会議など大容量通信時のパフォーマンス低下が懸念される
• 端末/ネットワーク/運用の変更範囲が広くなり、情報システム部門の調整コストが膨らむ

もちろんVDIが“正解”なケースもあります。一方で「そこまで大掛かりにしなくても、Webアクセスやファイル持ち出しといったリスクを抑えられないか」というニーズが増えているのも事実です。

現実解：今ある端末に“分離された業務環境”を足す

そこで選択肢になるのが、端末内に隔離領域や専用ブラウザを用意して、業務アプリやWebアクセスを分離するアプローチです。

ポイントは、

• 端末はそのまま使える
• ユーザの操作感をなるべく変えない
• “危ない入口”を分け、データの出入口を制御する

という発想です。

IIJセキュア端末分離ソリューション with Solitonはまさにこの考え方で、インターネット分離環境をワンストップで提供するソリューションです。インフラやネットワーク運用もIIJが担います。VDIやDaaSの導入が難しいケースでも、別方式でのセキュリティ強化を検討する際の選択肢になります。

「IIJセキュア端末分離ソリューション with Soliton」の“2つの方法”

IIJセキュア端末分離ソリューション with Solitonでは、用途に合わせて大きく2タイプから選べます。

IIJセキュア端末分離ソリューション with Soliton構成イメージ

①セキュアワークスペース「Type W」：アプリ実行環境を端末内で分離

ソリトンシステムズ社のSoliton SecureWorkspaceをエンジンとして搭載し、1台の端末（OS）上に隔離領域を生成し、その中でブラウザ、Officeアプリ、Web会議などを“普段通りの操作感”で利用できるようにする方式です。

端末内で環境を分離することで、サーバや画面転送といった仕組みを必要としません。端末上でアプリが直接動作するため、環境を構築するためのコンポーネントを最低限にでき、ネットワーク負荷を抑えつつスムーズな操作性を維持しやすいです。

また、情報漏えい対策として、以下のような“出入口の統制”を積み上げている点が特長です。

• 特許技術によるデータ流出経路の監視・制御
• ファイル保存、クリップボード、プリント、ネットワーク接続などをカーネルレベルで監視
• ログオフ時に、隔離領域内で作成・編集したデータを自動消去

セキュアワークスペース「Type W」動作イメージ

②セキュアブラウザ「Type B」：Webアクセスを専用ブラウザ上で分離

ソリトンシステムズ社のSoliton SecureBrowserをエンジンとして搭載し、ダウンロード/アップロードや他アプリへの受け渡しを制限した専用ブラウザにより、セキュアな領域でのブラウジングを実現する方式です。

VPN不要で、統一されたセキュリティポリシーのもと、Webアプリ操作やWeb閲覧が可能。セキュアコンテナ技術・各種ポリシー制御・専用ゲートウェイによる出口対策で、漏えいを防止する設計になっています。Web会議の利用にも対応しています。

セキュアブラウザ「Type B」動作イメージ

「IIJファイル中継ソリューション with Soliton」で社内/社外ファイルの持ち込み/持ち出しも制限

「分離された端末間で安全にファイルをやり取りしたい」というニーズは、導入後に必ず出てくる論点です。分離環境では、簡単には「送る」、「受け取る」ができません。通信経路や持ち出し経路を制限している以上、ファイルの移動は“例外”として扱われます。自治体、教育、金融、医療業界といった秘匿性の高い個人情報を取り扱う組織の場合、例外の取り扱いは更に慎重になります。

IIJファイル中継ソリューション with Solitonは、ネットワーク分離環境で「自分から自分へ」ファイルを受け渡しできるソリューションです。ソリトンシステムズ社のFileZenをエンジンとして搭載。安全性が高く、誰でも簡単に扱えるファイル中継環境です。
IIJセキュア端末分離ソリューション with Solitonとの組み合わせはもちろんのこと、既存のVDIなどの分離端末環境でも利用できます。

ファイル中継動作イメージ

IIJファイル中継ソリューション with Solitonでは「日々の業務で安全かつ運用しやすくファイルを受け渡す」という課題の現実解として、以下の機能を提供します。

• 誰が、いつ、どのファイルを持ち込み/持ち出したのか
• ファイルの受け渡し前にチェック（ウイルスチェック、承認など）
• 後から追跡できるように、操作履歴を残す
• Windowsファイルサーバとの連携

IIJ×ソリトンの「共創」による効果

本ソリューションは、IIJとソリトンの長年の協業の延長線上にあります。両社は単なる製品取引を超えて、お客様への価値提供を共同で追求してきました。
（関連記事）共創が生む、新たなセキュリティの形ーIIJ×ソリトン対談

端末分離は、プロダクト単体では完結しづらく、ネットワーク・運用・周辺の設計まで含めて“現場に載せる”必要があります。
IIJセキュア端末分離ソリューション with SolitonやIIJファイル中継ソリューション with Solitonの単体効果に加え、ファイアウォールをフルマネージメントする「IIJマネージドファイアウォールサービス」、クラウド型Webセキュリティ「IIJセキュアWebゲートウェイサービス」、クラウド型メールセキュリティ「IIJセキュアMXサービス」をはじめとするIIJが提供するセキュリティサービスと、ソリトンとの協業で生まれたIIJネットワーク認証ソリューション with Solitonといったソリューションを組み合わせることで、セキュリティ要件の達成と導入、運用をより「現実解」に落とし込みやすくなります。

導入のご検討やご不明点については、お問い合わせフォームまたは担当営業までお気軽にご相談ください。お客様の環境に応じた最適な構成をご提案します。