前回は、Windows7のサポート期限切れをきっかけに自分でもウイルス感染の心配がほとんどないChromebookというものを買ってみた感想と使用感を主に書かせて頂きましたが、今回はChromebookの本領が最も発揮されている分野である’シンクライアント端末’としてChromebookを利用する応用形態について、少し掘り下げていってみたいと思います。
【1】シンクライアント端末とは?
シンクライアントのシンは'Thin'(薄い)という意味です。これに対して、私たちが日常使用しているWindowsのPCはちゃんと高性能なCPUを積まれていて走らせるソフトも自由に選べるので、これらはリッチクライアントとかファットクライアントとか呼ばれています。
このシンクライアントの期限は古く、バブル崩壊前(1990年以前)汎用機やオフィスコンピュータのダム端末(通称'バカ端')も広義では含まれ、バブル崩壊後(1990年以後)ではネットワーク上での高価なWindowsパソコンに代わるオラクルやサンマイクロが発表したコンセプトモデルがそう呼ばれていました。
このトレンドに対してマイクロソフトは自社のサーバ(Windows NT Server 4.0)にマルチユーザ&リモート操作を実現する「ターミナル サービス」の機能を標準で搭載することにより対抗し、Windows XPおよびWindows Vistaには「リモートデスクトップ」が搭載されました。
今日では、主としてこの「リモートデスクトップ」の端末サービスを狭義でのWindowsシンクライアントと呼んでおり、端末サービスの主体が
・サーバーの場合 → サーバーベース方式
・ブレードPCの場合 → ブレードPC方式
・仮想PC方式 → 仮想PC方式(VDI方式)
と呼んで、WindowsOS上で動作するソフトウェアをシンクライント端末で利用しています。
もちろん広義では、Webサーバとブラウザ端末のみの構成もシンクライント端末と呼んでいますが、実務上はこれまでのWindowsOS上で開発されたWindowsソフトウェアを無視できないので、これらのWindowsリモートデスクトップ端末となることが可能なWindowsシンクライアント機能が基幹業務では重要事項となってきます。
【2】 |
なぜ今、シンクライント端末が見直されているか? |
もうお気づきだと思いますが、それは「セキュリティ」が一般のWindowsPCつまりリッチクライアントとかファットクライアントと呼ばれる端末では確保できなくなってきているからです。
Wikipedia 'シンクライアント' によると、
「日本においてシンクライアントへの注目が一気に高まったのは、2005年1月3日の日本経済新聞の一面トップ記事において「日立製作所がパソコン利用を全廃する」との見出しが出されたことによる[1]。記事中では、セキュリティ対策のために、データが保存できない新型端末[注 6]に徐々に移行し、最終的にパソコンの利用を全廃していくと紹介されている。」とあります。
(
Wikipedia 'シンクライアント')
上記Wikipediaによると、日立製作所レベルの大企業では、既に2005年から企業の情報漏えいを防止する手段として、パソコンの使用を減らし、データが保存できない新型端末への移行を行っていたそうです。
今日、官公庁や大企業ばかりではなく学校や中小企業でも個人情報や社内商談、技術情報の漏えいは企業や組織自体の存続を脅かす重要なリスクファクターとなっています。
このような観点から「社員や組織や学校の人が日々操作する端末自体から情報が漏えいする可能性を無くす端末があれば・・」というふうにシンクライアント端末を導入する目的が、
ローコストな端末 → セキュリティに強い端末
というふうに、今日で変わってきています。
【3】 |
なぜChromebook の シンクライアント端末が注目されているのか? |
なぜ、最近Chromebookをセキュリティ保護能力の高いシンクライアント端末として利用しようすることが注目されているかを、WindowsOSを利用する場合と比較して検討してみましょう。
・WindowsOS をシンクライアント端末として利用する場合
Windows8.1 embeddedやWindows10 IoT EnterpriseというWindowsOSを聞いたことはありませんか?、一般の人にはなじみの薄いこれらのOSは主として富士通やNEC等の大手PCメーカーや大手システムインテグレーションベンダーやFA向けPCベンダー向けにリリースされています。
これらは通常のWindows8.1やWindows10にシンクライアント端末やFA専用端末機能を実現するために、「ロックダウン機能」を追加したり、アップデート機能を禁止するようカスタマイズ可能な特殊なWindowsOSとして販売されています。
「ロックダウン機能」とは、ハードディスク等のストレージへの書き込み制限、USBデバイスへのアクセス制限、起動できるアプリの制限、利用者ごとに異なるシェルの利用等のカスタマイズが可能となっている機能です。
欠点としては、一般事務用途や営業で使う場合は通常のWindowsライセンスも同時に必要となるので、通常よりも高いライセンス料が必要となってしまいます。
また、カスタマイズ自体が汎用ではなく、特定のユーザー向けにオーダーメイドされる場合が多いので、1端末当たりのOS単価が高額になる場合が一般的です。
・Chromebook をシンクライアント端末として利用する場合
(1) Chromebook 3万円代〜
(2) Chrome Enterpriseライセンス 7,000円/年額 または 21,000円/買切
または 教育機関向け(Chrome for Educationライセンス) 4,200円/買切
(3) インターネットアクセス環境(無線LAN等)
(4) 作業時間(15分)程度
・Chrome EnterpriseやChrome for Educationでできること
(1) 起動モードの設定
・ユーザセッションモード
G-suiteアカウントで通常の業務アプリを使用するモードです。
・公開セッションモード
特定用途のシンクライアントとして利用する場合はこのモードで特定のクライアント仮想環境へのみアクセス許可します(VDI端末化します)。
・KIOSKモード
単一のアプリケーションのみを動作させます(ビデオ会議端末等)
(2) 公開セッションモードでシンクライアント化した場合の制御可能パラメータ
・端末にデータを残さない
・ネットワークは指定のもののみアクセス
・ストレージおよびメディア等の読み書きをさせない。
・印刷をさせない。
・OSのアップデートや変更をさせない。
・リモートアクセス用途以外では利用させない。
・利用するアプリ制限
・利用するURL制限
・ETC
というふうに、通常のシンクライアント端末環境構築に必要な機能が標準でChrome EnterpriseやChrome for Educationにはついているのです。
従来のWindowsOS上のソフトウェアを走らせる必要がなく、新規に作成するWebサーバ上のシステムに移行する環境ならば、各端末の設定のみでそのままシンクライアント端末環境への移行が可能です。
米国の教育機関全体の端末シェアが既に60%以上Chromebookが占めているのも、これで理由がお解り頂けると思います。
つまり比較的ローコストのChromebook端末+上記(Chrome for Education)ライセンス(4,200円/買切)を払うだけで、実に簡単でかつローコストにシンクライアント端末環境を構築できるからなのです。
【4】 |
一般の企業でのChromebookのシンクライアント端末化は、WindowsOSでしか走らないソフトをどうするか?という課題とGoogleのクラウドが海外にあるということが、普及のネックになっています。 |
また、google版のoffice-365であるG-suiteのクラウドサーバは海外にある為、企業によっては、社内ポリシーに抵触する場合もあり、どうしても社内の仮想サーバ(VDI)経由でWindowsアプリをアクセスしなければならない場合があります。
・比較的スムーズに移行できるケース
通常、社内の基幹アプリが既にWEB化してあり、VPN経由クラウドや社内のサーバのWebサーバで運用している場合は、Chrome EnterpriseやChrome for Educationを導入するだけで、社内の端末のシンクライント化はあっというまにローコストで実現します。
・従来から使用しているWindowsソフトの為、移行しにくいケースと解決方法
しかし、長年機関システムにWindowsOS上で動くソフトウェアを多用してきた企業ほど、基幹業務のWebサーバ化のハードルは高く、仮想サーバで動くWindowsアプリをシンクライアント端末でどうしても動かしたいという需要は多くあります。
そんな需要に答えてくれるソフトウェアがありました。
(
Ericom AccessNowなら、Chromebook上でWindowsが利用できる)(株)アシストHPより
このEricom AccessNowというソフトは、Windows「リモートデスクトップ」のプロトコルであるRDPという通信規格をChromeやFirefoxやIE11,EdgeブラウザのHTML5プロトコルに変換する機能を有するので、ブラウザベースで「リモートデスクトップ」の端末機能が使用可能になるソフトです。(但し、Ericom AccessNowのライセンス料は有償です。)
・端末の完全なセキュリティの確保にはシンクライアント化は必須ですが、基幹業務のWEBサーバ化、Webアプリ化が必須となます。
・従来のWindowsソフト資産を引き続きシンクライアント端末上で使用したい場合は、まず従来のWindowsソフト資産を仮想サーバ上で走らせ(VDI化し)、VDI端末をHTML5プロトコルに変換するゲートウェイソフトを介して使用することができます。
・参考事例
NTTデータ、町田市内の公立小中学校にChromebookとシンクライアント環境を導入(IT Leaders HPより)