特集

アプリケーションラッピング方式って何だ?!

前回“働き方改革、ニューノーマル時代のセキュリティ対策(2)テレワークで社内データにリモートアクセスするには”ではテレワーク時に外部から社内にリモートアクセスする方法を事例を紹介しました。

その中で「テレワークセキュリティガイドライン 第4版」のP.9に掲載されている「表 1 テレワークの6種類のパターン」(下図)も紹介しました。

皆さん、この6種類を正しく理解されているでしょうか?リモートデスクトップ方式、仮想デスクトップ方式などについては理解している方は多いと思いますが、アプリケーションラッピング方式について「何となくは理解しているけど・・・」という方もいらっしゃるかも知れません。

今回は「アプリケーションラッピング方式」について解説したいと思います。

 

テレワークの6種類のパターン

20200918-3-01.png

※「テレワークセキュリティガイドライン 第4版」に記載される「アプリケーションラッピング方式」の説明

 

パターン⑤ - アプリケーションラッピング方式

テレワーク端末内に「コンテナ」と呼ばれる、ローカルの環境とは独立した仮想的な環境を設けて、その中でテレワーク業務用のアプリケーションを動作させる方式です。コンテナ内で動作するアプリケーション(文書作成、インターネットブラウザ等)からローカル環境にアクセスすることができないため、テレワーク端末内に電子データを残さない利用が可能です。一方、コンテナ内で動作させるOSやアプリケーションはローカルPCにインストールされたものを利用しますので、インターネットの速度の影響を受けにくい 利点もあります。

 

20200918-3-02.png『テレワークセキュリティガイドライン 第4版 図7 アプリケーションラッピング方式』より

アプリケーションラッピング方式 ~ ローカルの環境とは独立した仮想的な環境

アプリケーションラッピング方式では、まずテレワーク端末上で動作するコンテナなどの仮想環境を実現し、アプリケーションやドキュメントをラッピングするアプリケーション「以下、ラッピングAPP(*1)」が必要となります。

このラッピングAPPを経由して起動した、アプリケーション、ドキュメントは仮想環境上ラッピングされた状態で動作します。ファイルの操作感はいつも通りで変わりません。

ラッピングされた状態のアプリケーションを終了、ドキュメントを閉じると仮想環境も削除されます。

(*1)APP:Appication Softwareの略

 

20200918-3-03.png

 

アプリケーションラッピング方式のセキュリティ機能特徴

 

1.仮想環境内からデータを取り出すことはできません。

テレワーク端末に重要情報を保存せずに、業務アプリケーションを利用することが出来ます。

20200918-3-04.png

 

2.万一、パソコン本体にウイルス感染しても、仮想環境内には影響を与えません。

業務アプリケーション、重要情報(電子データ)を外部の脅威から守ることが出来ます。

20200918-3-05.png

 

3.仮想環境内でウイルスに感染したとしてもパソコン本体に影響は与えません。

インターネットの脅威もブラウザを仮想環境で利用(インターネット分離)すれば、ウイルス、マルウエアからパソコンを守ります。

20200918-3-06.png

アプリケーションラッピング方式を利用したテレワークの例

スタンドアロン型とゲートウエイ型

仮想環境を作成するタイプの製品には、スタンドアロン型とゲートウエイ型があります。

OSの機能や、元々パソコンにプリインストールされている、Microsoft社の「Windows Sandbox」や日本HP社の「HP Sure Click」は、スタンドアロン型で外部の脅威からパソコンを守ります。

モバイル環境から社内にリモートアクセスするテレワークでは、ゲートウエイ型を利用し「ユーザ認証」やユーザ毎の「アクセス制御」などのセキュリティ機能もあり、管理者も安心して使えるのではないでしょうか?

 

ゲートウエイ型の構成例

20200918-3-07.png

アプリケーションラッピング、ゲートウエイ型の特徴

  • テレワーク用パソコンで「ラッピングAPP」を起動する。
  • その際、セキュリティゲートウエイでのユーザ認証が必要となる。
  • ユーザ認証と同時に、リモートアクセス可能なアプリケーション、ファイルの権限が付与される。
  • 製品によっては、デスクトップにランチャが出現し、アクセス可能なアプリケーション、ファイルが一覧で表示される。
  • 社内のアプリケーション、ファイルを利用開始すると仮想環境で起動する。
  • アプリケーション、ファイルの操作は通常と変わらず。
  • 仮想環境から、パソコンへのデータの保存はできない。
  • 社内のアプリケーション、ファイルの利用を終了すると、仮想環境が破棄される。(データ等は残らない)

 

20200918-3-08.png

1.    ユーザ認証

社内にアクセスする(ゲートウエイを経由する)際は、ユーザ認証が必須

2.    暗号化通信

ゲートウエイ、クライアント間は暗号化通信

3.    アクセス制御

ユーザ毎に利用可能なリソースを定義できるアクセス制御が可能

 

アプリケーションラッピング方式まとめ

アプリケーションラッピング方式を実現する製品は、その他の仮想化技術である「VDIによるデスクトップの仮想化」「RDSによるサーバ(アプリケーション)の仮想化」などと比較して、安価なコストで導入が可能といわれています。

 

20200918-3-09.png


テレワークは実施したいけど、安全性と費用面の両方が心配という方、ご検討いかがでしょうか?

また、多要素認証(MFA)との組み合わせで、よりテレワークでの安全を高めることが出来ます。多要素認証(MFA)については「働き方改革、ニューノーマル時代のセキュリティ対策(1)」をご覧ください。 

 

ARCACLAVIS Waysについて

両備システムズの「ARCACLAVIS Ways」は、純国産・自社開発の認証ソリューションです。

1998年より、国産自社開発・販売・保守を継続し、官公庁、自治体、金融など様々なお客様への導入実績があります。 多要素認証(MFA)以外にも、さまざまな認証方法を提供しています。

 

ARCACLAVIS Ways(アルカクラヴィス ウェイズ)製品情報ページ