「業務時間内だけ仮想デスクトップに接続させる」をやってみた

特集

ゼロトラストの“そこが知りたい”を
エンジニアが試して解説!

IIJでは、ゼロトラスト実現のベストプラクティスを「デザインパターン」として公開しています。中でもご要望の多いパターンを、エンジニアが実際に試してみる本企画。今回は「指定時間のみ仮想デスクトップ接続を許可」を取り上げます。詳しい解説も聞きました。

◇実験と解説
鈴木 亮平=IIJ ネットワーク本部 エンタープライズサービス部 デジタルワークプレース推進課

目次
  1. テレワークの時間コントロールで「働き過ぎ」をストップ
  2. 実験の準備
  3. 設定してみる
  4. 動作を確認
  5. まとめと解説
AVDサービス+
ゼロトラストのガイドブック
2冊セットで
ダウンロード(無料)

テレワークの時間コントロールで「働き過ぎ」をストップ

今回やってみるのは「指定時間のみ仮想デスクトップ接続を許可」ですね。

ここ数年のテレワークの広がりとともに、よく聞かれるようになったのが「社員の業務管理が難しい」という声です。「きちんと仕事をしているか」もそうですが、実は「働き過ぎていないか」を気にする企業が増えてきました。

テレワークによって、業務時間の管理が不明瞭になっているんですね。

オフィスに出社している前提なら、ノー残業デーを設けたり、定時以降はPCをシャットダウンしたり、といった対策ができます。テレワークにおける業務時間の管理は、新たな仕組みとして検討する必要がありますね。

具体的にはどんな仕組みでしょうか?

テレワークを仮想デスクトップで行っている場合、業務時間外は接続できないようにする制御が考えられます。そこで今回は、「指定した時間のみ仮想デスクトップへの通信を許可する」という方法を試してみます。

実験の準備

今回は、IIJの2つのサービスを組み合わせて利用します。

  • IIJ仮想デスクトップサービス/Citrix Cloud for Azure Virtual Desktopは、クラウド型の仮想デスクトップサービスです。
  • IIJフレックスモビリティサービス/ZTNA(以下、フレックスモビリティ)は、PCにクライアントソフトをインストールして利用するリモートアクセスサービスです。

フレックスモビリティでは、接続のポリシールールとして時刻の設定ができます。この機能を利用して、指定した時間帯のみ仮想デスクトップへの通信を許可してみましょう。

設定してみる

まず、フレックスモビリティで通信を許可する時間や曜日を設定します。

月曜日から金曜日の午前7時から午後4時までを許可するポリシーにしました。

動作を確認

実際に、指定時間内と指定時間外に接続してみます。フレックスモビリティに接続した上で仮想デスクトップに接続します。許可された時間内であれば、仮想デスクトップに接続することができました。

まとめと解説

利用時間のコントロールは、仮想デスクトップサービス単体では実現できないのでしょうか?

仮想デスクトップはユーザーからの接続要求があれば、自動的に起動して空いているマシンにセッションを割り当てます。時刻によって細かく制御することはできません。

利用時間を細かく制御することで、労務管理以外にも効果がありますか?

休日や深夜など、確実に接続がないと分かっている時間の通信を止めておくことで、外部からの不正アクセスを防止することができます。特に、社員のテレワーク端末から仮想デスクトップ経由で社内システムへアクセスできるような場合には、セキュリティ強化の点でも効果的ですね。

指定時間外に緊急でユーザーを接続させることもできますか?

はい。フレックスモビリティでは、ポリシーをグループ単位またはユーザー単位で適用でき、ユーザー単位の方が優先されます。緊急用のポリシーを該当ユーザーに適用すれば、時間制限を解除できます。設定は当然管理者が行う必要があるので、受付窓口や業務フローを用意しておく必要がありますね。

今回は2つのサービスを組み合わせてテレワーク時間のコントロールを実現しました。サービスを組み合わせるメリットはなんですか?

例えば仮想デスクトップには、仮想デスクトップの中でのセキュリティ機能は十分に備わっています。ただ、そこに接続するまでのネットワークや認証などは、別の製品を組み合わせないと要件を満たせない場合もあります。今回は2つのサービスを組み合わせることで、柔軟に要件に対応できたケースだと思います。