今回は、情報漏洩対策として注目されているシンクライアント技術の一つであるSCCの仕組みと、シンクライアント導入時の検討項目について紹介する。
ストレージセントリックコンピューティング
ストレージセントリックコンピューティング(SCC:Storage-centric Computing)は、サーバ側にディスクを用意するが、実際のアプリケーションの実行はクライアント側で行う方式である。つまり、ハードディスクはサーバ側にあり、アプリケーションを実行するために必要なCPUやメモリなどのリソースはクライアントのものを利用する。
SCCでは、図1のように、シンクライアント(SBC型のようにCPUやメモリなどのリソースは従来のPCと同様に備える必要があるため、シンクライアントとは呼ばれず、ディスクレスクライアントと呼ばれることもある)の起動時に、サーバに保存されているOSイメージをダウンロードして起動する。ネットワークブートは、ネットワークカードに搭載されているPXE(Preboot eXecution Environment)機能を利用するため、クライアントにはOSやアプリケーションは必要なく、ディスクが搭載されていない通常のPCでも構わない。
図2にPXEブートの仕組みを示す。PXEブートでは、最初にネットワークカードのROMに格納されたPXEクライアントによってDHCP要求が行われる。この時、クライアントのIPアドレスなどと同時に、PXEサーバのIPアドレスが通知される。すると、PXEクライアントは、PXEサーバに対してPXE要求を送信し、NBP(Network Bootstrap Program)と呼ばれる、OSイメージを取得して起動するためのプログラムのファイル名を取得する。そして、TFTPを使用してこのNBPをダウンロードし、実行する。すると、実行されたNBPは、ディスクイメージが格納されているサーバからディスクイメージをダウンロードしてOSを起動する。
SCCでは、ディスクイメージを共有して使用することもできるし、ユーザごとに別々にディスクイメージを作成しておくこともできる。ただし、OSやアプリケーションは、クライアント側で動作するため、クライアントのハードウェアが異なる場合は、機種ごとに別のディスクイメージを用意しておく必要がある。
SBCとSCCの比較
以上、SBCとSCCのそれぞれの仕組みについて説明したが、その違いをまとめると表のようになる。
シンクライアント導入時の検討項目
以下にシンクライアントを導入する場合に検討しておくべき項目を紹介する。
・使用するアプリケーションのリストアップ
現在、業務で使用しているアプリケーションを調査し、サーバ側で用意しておくべきアプリケーションをリストアップしておく必要がある。特に、ブラウザやメーラなどのアプリケーションはユーザ毎に異なる場合があるが、すべてをサポートすることはできないため、ユーザに十分説明をしてアプリケーションを統一する必要があるだろう。
・OSおよびアプリケーションのライセンスの確認
OSやアプリケーションを複数のユーザで共有して使用する場合には、ライセンス形態について確認しておく必要がある。アプリケーションを使用しないユーザも含めて全ユーザ数分のライセンスが必要な場合や、アプリケーションを使用するユーザ数分だけでよい場合がある。
・アプリケーションの事前動作検証
場合によっては、動作しないアプリケーションが存在する。このため、業務で利用しているアプリケーションが導入を検討しているシンクライアントで動作するのかどうかを事前に検証しておく必要がある。特に、ソフトフォンや電子会議アプリケーションなどの音声や動画を双方向でやり取りする必要のあるアプリケーションを使用する場合は、シンクライアント側から音声や動画を送信できる機能があるかどうかを確認しておく必要がある。
・利用帯域の調査とネットワーク設計
シンクライアントでは、ネットワーク帯域を大量に消費する場合がある。特に、SCCの場合は、シンクライアントの起動時にOSやアプリケーションをネットワーク経由でダウンロードする必要があるため、朝の業務開始時などのアクセスが集中する時間帯には大量のネットワーク帯域が消費する。SBCの場合も、画面を頻繁に変更するようなアプリケーションを使用する場合は、大量にネットワーク帯域を消費する。これらのことを考慮した上でネットワーク設計を行う必要がある。
モバイル環境でのシンクライアントの利用
シンクライアントは、情報漏洩対策の切り札とも言われているが、実は情報漏洩の原因となることの多い、モバイルでの利用には対応が進んでいない。
モバイルでシンクライアントを利用するためには、まず、シンクライアントが自力で何らかの通信手段を使ってインターネットに接続し、さらにVPNで社内ネットワークにアクセスして、サーバまでのアクセスパスを確保しなければならない。このためには、シンクライアントのROMに、携帯電話やPHSなどでインターネットにアクセスするための、ドライバソフトウェアやアクセス用ソフトウェア、そして、社内にVPNを構築するためのVPNソフトウェアを搭載しなければならない。
以上、2回に渡ってシンクライアントの仕組みについて説明した。シンクライアントを導入したからと言って情報漏洩対策が万全になるわけではない。シンクライアントができることとできないことをきちんと理解し、他の対策とあわせて導入することが大切である。