Chromebookと仮想デスクトップで実現するゼロトラスト・境界型両対応のワークスタイル

SIMスロット搭載Chromebook

最初に、Chromebookのネットワーク接続について整理しておきたいと思います。Chromebook一般にWi-FiとSIMスロット搭載モデルがあります。

Wi-Fiモデルではオフィスや自宅回線、あるいはスマートフォンのテザリングでインターネットに接続して利用します。

企業によっては、セキュリティ設定が不十分なフリーWi-Fiを利用することを禁じています。法人向けのChromebookにはSIMスロットを搭載するモデルもあり、Dynabook Chromebook C1はその一つです。データ契約SIMがあれば、オフィスではWi-Fi、外出時はLTEで通信することが可能であり、テザリングのような接続操作も不要です。

なお、Chromebook C1はGIGAスクール構想の標準仕様モデルに対応し、性能、稼働時間、筐体の耐久性に優れ、企業利用にも適しています。LTE対応前提で設計されていることからCPUもミドルハイクラス向けと言えるQualcommのSnapdragon7cを搭載し、低価格帯の機種とは思えないほど動作も軽快です。11.6型の解像度1366×768タッチパネル液晶搭載のコンバーチブル型モデルとなっています。テントスタイルなら向かい合った相手にプレゼンテーション画面を見せながら操作することもできます。

閉域網内の仮想デスクトップ接続

前回のコラムでは、Google社のChromeリモートデスクトップによる仮想デスクトップ接続をご紹介しました。Google IDの認証がインターネット上で行われ、デスクトップのストリーミング通信（画面転送）も直接通信できない環境ではインターネット上の中継サーバを経由します。

今回は、仮想デスクトップと業務システムを禁止、または必要最低限の管理通信に制限されている閉域網の内部にある仮想デスクトップへ接続する方式について説明します。

Microsoft RDゲートウェイによる仮想デスクトップ接続

Cloud Remote Desktop(以下、Cloud RD)では、SSL暗号化で閉域網内にMSRDP通信を中継するMicrosoft社のRDゲートウェイ接続に対応しています。

接続元端末からは443/tcpでRDゲートウェイに接続し、RDゲートウェイが仮想デスクトップに接続します。接続クライアントはChromebookではAndroidアプリのMicrosoft RDP(インストール後はRD Clientと表示)を使用します。

クライアントがRDゲートウェイを利用する構成する場合は「Add Gateway」からRDゲートウェイのサーバ名（またはIPアドレス）、認証用のユーザアカウントを追加します。

なお、WindowsではRDゲートウェイ接続には、OS標準のリモートデスクトップ接続を使用します。「詳細設定」からRDゲートウェイを利用するように設定ができます。

RDゲートウェイの認証方式は、標準ではIDパスワードが利用されます。アカウントロックポリシーにより設定回数のパスワード試行でアカウントがロックされます。

Microsoft Authenticator等を用いたMFAを構成したい場合にはMicrosoft Azureで提供するAzure AD Premiumと組み合わせることが必要となります。ただし、この場合は一部の認証情報がインターネットを経由することになります。

RDゲートウェイ接続は、MSRDPの通信のみを中継するため、Chromebook等の接続端末が仮想デスクトップにのみ接続することを許可し、閉域網の中の他のサーバ等には通信させたくない場合に適しています。

また、RDゲートウェイは、企業内のWindowsドメインに参加が可能であるため、すでにFAT PC向けにActive Directoryを構成している場合は、RDゲートウェイのIDと仮想デスクトップのID管理を統合することができます。この場合でも、アカウントロックポリシーを有効にすることが推奨されます。

VPNによるネットワーク接続

VPN接続を利用すれば、Chromebook等の接続元端末から仮想デスクトップに加え、企業ネットワークやクラウド占有環境内の各サーバ等にアクセスが可能です。仮想デスクトップでWindowsアプリケーションを利用しながらも、システムによってはChromebookのChromeブラウザから直接接続したいといったユースケースで有効です。

ChromebookではChrome OS標準でOpenVPN、L2TP、IPSecの各VPN方式に対応し、さらに内蔵するGoogle PlayのAndroid機能でPPTP VPNに対応、また各VPNベンダのChromeアプリ、Androidアプリも利用することが可能です。クラウド側のVPN Gatewayで対応する場合は、原則OpenVPNを利用するとよいでしょう。

OpenVPNは安全性、速度の観点で優れ、Chromebookを含む多くのデバイスやOSをサポート、設定も容易です。また、従来のIPSecでネットワーク管理者を悩ませていた「同じIPSecでもベンダ間の相性があるため、お客さま環境でテストが必要」というベンダ間の実装の違いに起因する曖昧なベンダ回答に遭遇するような状況が発生しないメリットがあります。

Chromebookにおける各種VPNの設定はGoogle社のChromebookヘルプが役に立ちます。

また、ソフトバンクから提供しているセキュアモバイルアクセスを利用すれば、インターネット経由せずに企業ネットワークへのセキュアなアクセスを実現することができます。セキュリティポリシー上、企業のセキュリティポリシーでインターネットVPNを許容しない場合、専用線と組み合わせた閉域モバイル接続を検討するとよいでしょう。

ChromebookからAzure Virtual Desktopへの接続

最後に、仮想デスクトップとして、Microsoft社のAzure Virtual Desktop(以下AVD)を利用している場合もChromebookをクライアントとして利用することができます。

以前は、Web接続では日本語の「かな入力」に問題がありましたが、ChromebookはMSRDPによる日本語環境のAVDへの接続に対応しています。

Chromebookでは、AVDへの接続はAndroidアプリのMicrosoft RDPを利用します。RD Clientを起動し、右上の＋からWorkspaceを追加します。ここで登録するURLはAVD共通で「https://rdweb.wvd.microsoft.com/api/arm/feeddiscovery」となります。

管理者より払い出されたAzureのアカウントでログインすることで、ユーザにアサインされたデスクトップがアプリに登録されます。これらのAVDのコントロールプレーンとの通信はインターネットを使用します。表示をよくみると、AVDでも内部的に先述のRDゲートウェイを利用していることがわかります。

その後は、自分用のデスクトップを意味するPCアイコンを選択し、ログオンのためにIDとパスワードで再度認証をおこなうことで、仮想デスクトップに接続されます。

AndroidアプリのMicrosoft RDPその他の操作方法は、Microsoft社より公開されている記事が参考になります。

Microsoft純正アプリケーションであるため、Windows PCからの接続に近い操作感を実現しています。日本語入力はChromebookのIMEを利用します。ChromebookユーザはGoogle Workspace等で利用するChromebookローカルの作業とし日本語入力操作を統一できるメリットはありますが、仮想デスクトップ側のWindowsのMS-IMEのON/OFFを実行してしまうと、二重に起動されている状態で操作が混乱してしまいます。そこで仮想デスクトップ側のWindowsを英語モードにし、ENG英語(米国)USキーボードとしておくことで、誤操作により二重にIMEが動作することを防止できます。仮想デスクトップ側がUSキーボード設定されている場合もChromebookからの入力はキーボードの印字通りの文字が入力されます。

Windows端末からの接続も併用している環境では、再び日本語入力でMicrosoft IMEを有効にして使用します。

また、ChromebookではWindowsキーがありません。検索キーは検索やGoogleアシスタントの呼び出し用のキーとなっています。RD Clientでは、画面左下のキーボードのマークをクリックして表示されるアイコンをクリックすることで、Windowsキーと組み合わせたショートカットが利用できます。

スクリーンショットを取得したい場合は、このWindowsキーのマークをクリックし、キーボードでShift+Sを入力します。OS標準のアプリケーションのSnipping Toolを利用することもできます。また、単純にスタートメニューをキーボード操作だけで開きたい場合は、Ctrl+Escを利用するとよいでしょう。

ハイブリッド環境のスマートシンクライアント

今回はChromebook上でAndroid版のMicrosoft RDP アプリによるRDゲートウェイ経由でのCloud RDやAVD接続、そして、Chrome OS標準機能でのVPN接続による閉域接続についてお話しました。

これらの機能を用いることでChromebookでも問題なく境界型セキュリティを採用しているオンプレミスや仮想プライベートクラウドにも接続が可能であることがおわかりいただけことと思います。

こうした接続機能を活用することで、グループウェアやマルチクラウド上のシステムをChromebookで活用しながら、秘密情報を扱う境界型セキュリティのネットワークへのアクセスを実現できます。二つの領域を使い分ける企業においては、秘密情報がChromebookデバイス上へ持ち出されないように制御することが求められると思います。そこで次の機会に、情報の持ち出し制御についてもご紹介できればと思います。