仮想デスクトップ

デスクトップ仮想化（Virtual Desktop Infrastructure / VDI）は、在宅勤務やリモートワーク推進の潮流に乗って、製造業など従来ではあまり使われてこなかった業界にも、採用されるケースが増えています。

仮想デスクトップの運用は、ほとんどのケースで社外からのアクセスがあることを前提とするため、IDとパスワードだけの認証では不正アクセスによる情報漏えいのリスクを抱えることになります。

そのため、別の要素での認証を追加することが推奨されますが、電子証明書認証であればユーザの負担なくセキュアな仮想環境を実現できます。

電子証明書認証は正しく運用できれば非常にセキュアな認証方式と言えますが、クライアント証明書の配布や管理に問題があると、たちまち信頼性は失われてしまいます。

クライアント証明書の不正コピーや、管理側が意図しない端末への証明書のインポートなどを防ぐ機能が認証局には求められます。

Gléasは、1枚の電子証明書に対して、ユーザ用ウェブ画面での証明書インポートを1回に制限するインポートワンス機能があります。

デバイスにインポートされた電子証明書の秘密鍵はエクスポート不可となっているため、別の端末に証明書をコピーすることはできません。

また、あらかじめ登録された端末にだけ証明書のインポートを許可する機能があります。ウェブブラウザを使った証明書配布形式の場合、証明書がデバイスの証明書ストアに直接インポートされ、ファイル形式でデバイスに残らないため、別の端末へのコピーを防ぎます。詳しくは機能のページをご覧ください。

仮想デスクトップ環境では、ユーザが利用するデバイスを固定されないケースもあります。その場合、クライアント証明書をUSBトークンなどのスマートカードに格納し、証明書とパスワードによる二要素でユーザを認証する運用が推奨されます。

GléasはGemalto社のeTokenシリーズをはじめとするスマートカード（USBトークン）へ、電子証明書を格納する機能があります。

また、ゲートウェイサーバでのIDの詐称を防ぐため、パスワード認証時のIDをクライアント証明書から抽出している事例があります。この運用であれば仮にパスワードが漏洩しても、本人のクライアント証明書を持たなければ仮想デスクトップにログインできません。

Gléasとの連携を確認した仮想デスクトップシステムは下記のとおりです。