ITpro Special
週間WEEKLY ITpro Special ITpro

Cloud Days 2015|Cloud Days 東芝独自開発のBIOSで実現するシンクライアントの安全強化策

INDEXページへ ページトップへ

東芝

東芝独自開発のBIOSで実現する
シンクライアントの安全強化策

情報漏洩対策として、シンクライアントを導入する企業は多い。だが、機器管理の負担やモビリティー面で課題も聞かれる。講演では、東芝独自のBIOSと認証システムで不正利用を防止するシンクライアント「TZCS」や、パッチ管理などクライアントをセキュアかつ効率的に管理する東芝クラウドクライアントマネージャー「TCCM」について解説した。

ストレージやOSを搭載せず
セキュアなゼロクライアント

株式会社東芝
パーソナル&クライアントソリューション社
ビジネスソリューション技師長
中村 憲政 氏

「セキュリティリスク対策としてシンクライアントは効果的なものの、導入した企業のCIOからは課題も聞かれます」と話すのは東芝の中村憲政氏だ。

課題の一つがメンテナンスの負荷だ。シンクライアントも、OSのセキュリティパッチやウイルス対策ソフト、HDD暗号化などの機器管理は通常のPCと同等の負担がかかる。

また、モバイルで利用したいが、盗難・紛失時のリスクが気がかりという悩みも聞かれる。仮想デスクトップ(VDI)サーバーへの接続情報がシンクライアントに搭載したストレージに保存され、端末の紛失・盗難時に接続情報が漏洩し、VDI環境へ不正アクセスされるといった懸念がある。

こうしたシンクライアントの課題を解決するのが、東芝のシンクライアント「TZCS」をベースとするVDI対応シンクライアントソリューションである。東芝が独自開発したBIOSを内蔵するTZCSシンクライアントと、VDIサービスの接続情報を管理するTZCS認証サーバーから構成される。

TZCSシンクライアントは、HDD/SSDなどのストレージを搭載していない、いわゆる「ゼロクライアント」だ。従来のシンクライアントと一線を画す、強固なセキュリティを実現する。主要なVDIサービスに対応し、企業ニーズに応じたシンクライアント環境を構築できる。

TZCSシンクライアントがVDIサーバーへ接続する際のプロセスとセキュリティの仕組みはこうだ。

まず、TZCSシンクライアントの電源をONにするとBIOS-ROMが起動し、BIOSとTZCS認証サーバーを接続する。そして、ネットワーク認証および機器認証(BIOSに保存されたクライアント固有の製造番号を認証)を実施。VDIサーバーへのアクセスに必要な情報やソフトウエアをダウンロードしてメモリー(RAM)に展開した後、VDIサーバーに接続する。

「全ての情報はTZCSシンクライアントのメモリーにのみ格納され、動作する仕組みです。データはVDIサーバー上で管理します。電源をOFFにするとメモリーのデータは全て消去され、VDIサーバーへの接続情報も残りません」と中村氏は説明する。

また、機器認証でVDIサーバーへの接続を許可された端末以外はアクセスできず、なりすましによるサーバーへの不正アクセスを防止する。端末の盗難・紛失時にも、データを保存するストレージが本体にないため、情報漏洩のリスクを低減できる。

TZCSの先進技術を支える
BIOSとハードの一体化

VDIサービスの利用中にも、TZCSシンクライアント内蔵のBIOSとTZCS認証サーバーが定期的に通信してTZCSシンクライアントの利用状況を監視。例えば、TZCSシンクライアントを接続するLANケーブルが抜かれたり、オフィスの無線LANが圏外になったりして通信が遮断された場合、端末が不正に持ち出されたと判断。自ら電源をシャットダウンし、データを消去する。

こうしたTZCSの先進技術を支えるのが独自開発のBIOSである。「一般的なBIOSの機能であるハードウエアとOSをつなぐ役割に加え、東芝独自の三つの機能をBIOSに組み込んでいます」と中村氏は述べる。改ざん検知など、PCをセキュアな状態に維持する「セキュリティエンジン」。PCの通信状況やUSBポートへの外部装置の接続状態などを監視する「本体センシング機能」。OSに依存せずにBIOS自ら通信する「TCP/IP通信機能」の三つだ。

PCの開発・製造は水平分業化が進み、ハード、OS、BIOSなどはバラバラに開発されているのが実情だ。「全世界で主要なBIOSベンダーは4社ありますが、その中でPCベンダーは東芝だけです。BIOSチームとハードのチームが一体となってPCを開発・製造することで強固なセキュリティを担保しています」と中村氏は強調する。

また、一般のシンクライアントは専用モデルで選択肢が少なく、コストが割高になる課題があった。TZCSシンクライアントは、専用モデルの開発ではなく、企業向けPCをベースにストレージやOSを非搭載にしたモデルのため、豊富なバリエーションから用途に合わせて画面サイズやCPUなどを選択できる。

PCのパッチ管理や電力管理を
効率化する「TCCM」

TZCSシンクライアントの導入が進む一方、既存PC(リッチクライアント)を併用するケースも多く見受けられる。そこで、シンクライアントとリッチクライアントとの共存管理をサポートするのが、「東芝クラウドクライアントマネージャー(TCCM)」だ。「セキュリティパッチ管理」「電力管理」「ハードウエア資産管理・ソフトウエアインベントリ管理」などの機能を持つクラウド型PC管理サービスである。

「脆弱性の発見後、ソフトウエアベンダーからセキュリティパッチが公開されますが、いかに早期に適用できるかがリスク回避のカギになります」と中村氏は指摘する。IT管理者はTCCM管理画面上のテンプレートを用い、最短5クリックで適用パッチの選択、配布準備が完了。自律型エージェントによりパッチ適用を迅速に行える。

電力管理は、管理対象のクライアントに搭載されたBIOSが消費電力をリアルタイムに監視。TCCMサーバーで各クライアントの消費電力を正確に把握し、トータルな電力使用量の抑制が可能だ。また、部署ごとに省電力設定ポリシー(ディスプレイの明るさやスリープ時間の変更など)の配信、実行することにより、「ユーザーに過度の負担をかけることなく、省電力化を推進できます」と中村氏はTCCMの特長をアピールした。

東芝は企業のITシステムをこれからもセキュアかつ効率的に支えていく。

お問い合わせ