- これからVDI導入を検討したい情報システム部員(社内SE)
- VDIを提案をするITベンダーの営業
- VDIに関する業務に関わり始めた人
VDI(デスクトップ仮想化)を一言で表現すると「物理端末の機能を必要最小限にして、サーバーで処理を行う仕組み」です。手元にあるパソコンやタブレットといった物理端末は、サーバ上で動作しているOSの画面を画像として表示し、キーボードやマウス操作をサーバに送信しているだけであって、実際のデータはサーバ内、もしくはファイルサーバ上に格納されています。
物理端末に業務データを保持しない事から、セキュリティを高める方法の一つとして多くの企業で導入されている仕組み。今回は、VDIの導入方式や失敗しないためのポイントをシェアします。
デスクトップ仮想化(VDI)とは
VDI(Virtual Desktop Infrastructure:仮想デスクトップ基盤)の大まかな仕組みは前途の通りですが、具体的にはサーバー側にOS、アプリケーション、データ領域で構成される仮想PCという環境を準備します。
この仮想PCが今まで物理端末で行っていた処理を肩代わりしてくれます。あとは準備した仮想マシンに対して物理端末から接続すれば、物理端末で動作しているような感覚でサーバ上のOS,アプリケーション、データ領域を利用できるようになります。
仮想PCへのアクセス制御はIT部門の管理者が一元管理できること、物理端末と仮想PC間の通信は画面情報とキー入力などの操作情報のみです。そのため仮想PCと物理端末間のデータ転送量は低く抑えられます。
逆に仮想PCが稼働するサーバと基幹システム間の通信量は従来通りの考慮が必要です。ここは後述のオンプレミス型、クラウド型を選択する際に考慮すべき点です。
VDIとシンクライアントの違いは?
VDI関連ワードとして登場する言葉に「シンクライアント」という言葉ああります。VDI全体を指してシンクライアントシステムと呼んだり、仮想PCの事を指してシンクライアントと呼ぶ人もいます。
いままで数十社にVDIを導入してきましたが、何を指してシンクライアントと呼ぶかは企業によって異なるのが現状です。(情報システム部門長が使っている呼び方で統一されているように感じています。)
そんな実情はさておいて、一般的にシンクライアントと言えば、物理端末のことを指します。ハードディスクは搭載しているけれど、エンドユーザーはローカルディスクを利用できません。エンドユーザーは仮想PCに接続するために必要な最低限の機能のみを利用できます。
一般的にはキッティング(物理端末の設定)時に管理者(もしくは代行者)がOS、社内環境に接続するためのVPN接続用ソフトウェア、仮想PCに接続するためのクライアントソフトウェアをインストールした後、ハードディスクをロックして書き込み不可の状態にしたものを配布しています。
シンクライアントと一緒に検討に上がるたんまつとして、ゼロクライアントと呼ばれる物理端末があります。エンドユーザーから見ればどちらも変わりはないのですが、ゼロクライアントはOSやハードディスクを搭載せず、内部メモリに最低限のソフトウェア(仮想PCに接続するためのクライアントソフトウェア)のみプレインストールされているのが特徴です。
企業に合わせたカスタマイズに柔軟に対応できないこと、シンクライアントよりも物理端末の価格が高い傾向があることから、ゼロクライアントを導入されている企業は少なめな印象があります。
仮想PCは接続要件さえ満たせば利用する事ができるので、WindowsタブレットやiPadを接続端末として採用する企業も多い。キーボード入力を常用としないような用途の場合も、タブレット型の端末を採用される場合が多いです。
生命保険の販売員が持ち歩く端末であったり、銀行員が持ち歩く渉外用端末、企業の役員がメールや資料を確認するために利用する場合などがタブレット型を採用される事例です。
VDI導入における2つの選択肢
2019年現在、VDIを構成する主要ソフトウェアはVMware社と、Citrix社の2社が大半のシェアを握っています。VMware社の方が安定していて、Citrix社は細かい仮想PC設定が出来るけれど、ハイパーバイザ(Citrix Hyperviso 旧称:XenServer)が安定しないと感じています。
オンプレミス環境で、Citrix XenDesktopやXenAppを導入するなら、ハイパーバイザにVMware vSphereを採用することも検討した方が良いと思います。コスト面でどうしてもXenServerに軍配が上がるので、そこは社内事情や決済基準との相談になるかと思いますが…。
VDIを導入するには、DaaS(Desktop as a Service)と呼ばれるクラウド型か、自社データセンターや契約データセンターに設置するオンプレミス型を始めに選択する必要があります。小規模(仮想PC台数が数台から数十台)の導入ならば、クラウド型の導入で検討を開始することが良いかと思います。
中規模(仮想PC台数が数百台)であれば、クラウド型とオンプレミス型の両案で検討、大規模(1000台以上)ならば、オンプレミス型で検討するのが一般的です。
仮想PCと物理端末間のデータ通信量は画面の差分データと制御データのみなので大きくネットワークに負荷をかけることはありませんが、基幹システムやファイルサーバが置かれたロケーションと仮想PC間が設置されるロケーション間の通信量を考慮すると、近くて太い回線を利用できる環境下に配置した方が幸せになれます。もし100台の仮想PCを利用したいというニーズで、社内システムがAWS上に構築されているならAmazon WorkSpacesって選択で良いと思います。
クラウドも、オンプレミスもVDIを提供するための基本的な仕組みに違いはありません。最も違いがあるのはVDIの運用面です。
クラウド型VDI(DaaS)は、サービスプロバイダーが機器をサービスプロバイダーが管理するデータセンターで稼働させ、VDIの機能だけを顧客(情報システム部門)へ提供します。データセンターやVDIを構成するサーバ、ネットワークの運用はサービスプロバイダーが行い、顧客となる情報システム部門へは仮想デスクトップをエンドユーザへ配布したり、仮想デスクトップを更新する機能を持ったポータルサイトの利用権限を提供します。
ファシリティや、サーバの運用をサービスプロバイダにアウトソースできることが最大の魅力です。逆にある程度の型決めサービスになっている場合が多く、自社向けに細かく仕様を定めたい用途には不向きです。近年増加しているシステムをカスタマイズすることに費用をかけるよりも、システム仕様に運用を合わせていくという動きが社内にあるのならば、大きな問題はないと考えます。
自由に設定変更ができないというデメリットが許容できれば、多くのサービスが従量課金制のため、使い方次第ではオンプレミスよりも低コストです。
自前のデータセンターにVDI環境を構築し、独自に運用を行う仕組みです。自前のデータセンター内にVDIシステムを持つことができるため、基幹システムやファイルサーバなどとの通信高速化を実現できるメリットがあります。
全て自前のデータセンター内で完結する一方で、データセンターで働く運用メンバーにVDI環境の運用や障害児の物理保守が生じてしまいます。一般的にクラウド型であるDaaSよりもカスタマイズ性に優れていて、機能や運用の両面において柔軟な設計が可能でが、反面として環境構築にコストと時間が必要になる点、導入後の運用負荷増、それらに掛かるコストが必要になる点がデメリットです。
VDI導入のメリット
次にVDIを導入する企業が増加している背景にはどんな問題があり、どのような解決に繋がっているのかを紹介します。社内に分散している多数のクライアント端末をサーバー側で集中管理、運用コストの削減、セキュリティ強化や、ユーザーの生産性向上がVDI導入のメリットとして謳われることが多いです。
しかし、VDIを提案したり、導入支援を日常の業務としてる私ですが、個人的にはユーザーの生産性向上という点には疑問が残ります。いろいろとクリアできる課題多いけれど、ユーザー目線でいえば高機能な物理PCを与えられるほうが生産性ははるかに高くなると感じています。
どちらかと言えば、VDI導入は近年のセキュリティ意識に対応した経営層や情報システム部門の助け舟という立ち位置だと思います。最終的にセキュリティが高まることで情報漏えい等のリスクを抑止し、ユーザーへもメリットは還元できていると思いますが、物理端末以上の快適な操作という意味ではユーザーの期待を裏切っていると思っています。前置きが長くなりましたが、VDI導入によって享受できるメリットを紹介します。
物理端末をシンクライアント化することで、WSUSや資産管理ソフトウェアを利用した物理端末の管理が簡略化されます。物理端末が破損したとしても、必要最低限の物理端末キッティング(接続のためのソフトウェア等)を行って、ユーザーの元に届ければ、物理端末が異なっても同じ環境にアクセス(ログイン)できます。
物理端末がPCでなくタブレットでも、自宅の端末(何らかのセキュリティ施策は施す必要がありますが)でも、同じ仮想デスクトップに接続して業務を行うことができます。仮想デスクトップのマスターを修正してクローニングすることで、すべての仮想デスクトップが最新の状況に保てるという点でも、情報システム部門の運用負荷(運用コスト)の削減に繋がります。
仮想デスクトップに接続するための物理端末は特定の端末である必要なく、複数のPCから同じ環境を利用できます。むしろPCい限定されず、iPhoneやAndroidといったスマートフォン、タブレットなどの物理端末を利用して、いつも同じ環境で作業できることは、ワークスタイル変革の助けとなることに間違いはないです。
ワークスタイル変革をすることで、新たなビジネス機会創出が生まれるという説を提唱している人を散見しますが、それに対しては個人的に懐疑的です。ワークスタイル変革 = VDI導入 ではなく、社内の就労規則であったり、様々な既存制度の見直しがあってこそワークスタイル改革は成功に近づくし、新たなビジネス創出にも繋がるのだと思っています。
台風などで交通機関が運休になった場合など従業員が出社できない場合でも、自宅にある端末から社内環境へのアクセスが用意に行うことができます。(社内環境へ接続するためのVPNだったり、接続アプリケーションのインストールが利用方法により必要になりますが…。)一定の基準さえクリアすれば、いざというときに自宅のPCを雪像元端末として、仮想デスクトップに接続し社内環境が利用できるのは良いですね。
私はこの仕組みによって、夜間休日のメンテナンス作業や、トラブル対応時を自宅から対応することが可能になったので、初動や情報連携が楽になりました。電話会議も良いですが、画面で認識を合わせながら対応方針を検討するなど、認識齟齬が生ずる可能性も低減できて助かっています。災害時の事業継続という意味では、平時に役立つことはありませんが、いつでもどこでも仕事をする環境を作れるという意味では平時からユーザーの業務にメリットが生ずる点で導入効果は高いと考えます。
どうしても物理端末の導入よりもコスト高になってしまうVDI導入を最終的に決定する要因となるのが、この情報漏えい対策です。仮想デスクトップは物理端末(クライアント端末)側にデータを一切残さない運用が可能です。
端末が紛失や盗難に遭った場合でも、ハードディスクからデータを盗み出されるリスクもなく、情報漏えいを防ぐ事に対して効果的です。私が勤めている会社では従来の物理端末(FAT)を紛失した際は始末書、セキュリティ事故扱いですが、シンクライアント端末の紛失については物損扱いになっています。物損として扱われるほど、物理端末には何も入っていないということです。
また、資産管理ソフトなどを導入していない環境でも、仮想デスクトップ上で稼働するアプリケーションやOSを最新状態に保つことが容易にでき、一部の端末だけセキュリティリスクの高い古いバージョンで稼働されていたという事態を防ぐこともできます。
VDI導入で失敗しないためのつの注意点・事例
VDIに限った話ではないですが、システムには得手不得手があります。VDIに対する過剰な期待と、導入時の考慮不足により、VDI利用に対する不満が噴出するVDIプロジェクトは多く存在します。利用方法によって生じる問題は異なるため一概には表現しきれませんが、多く発生しがちな問題をいくつか取り上げてみます。
仮想デスクトップを利用するためには物理端末からの接続が必要です。VDI導入前は物理端末を起動してログインすれば業務が可能だったものが、VDI導入後は物理端末を起動後に社内ネットワークへ接続するためのVPN認証、仮想デスクトップに接続するための認証など、実際に業務利用を開始するまでに幾つかの認証ステップを踏む必要があります。(もちろん認証を少なくする方法もあります。)
更には、業務開始時には物理端末の起動時間、仮想デスクトップの起動時間が必要になるため、単純計算で2回のOS起動時間が待ち時間として発生し、ユーザーのストレスに繋がるケースがあります。同時接続数を少なく設定してコスト削減を目指した結果、自動的に仮想デスクトップからログアウトされる事が多くなり、頻繁に仮想デスクトップの起動が必要になるケースもあります。
同時接続数には余裕を持たせて、自動ログアウトされるまでの時間を長く設定しておくことが有効になってきます。極端な例ではほぼユーザー1人に対して1台の仮想デスクトップを配布(占有)して、自動ログアウトをシステムの最大値(1週間)などに設定。
運用上、ログアウトは実施させず、仮想デスクトップからの切断/接続で利用するという解決事例もあります。ライセンスとしてはコスト高になりますが、切断/接続運用であれば数秒で仮想デスクトップが利用できるため、ユーザーの不満を抑えることに有効と考えます。
仮想デスクトップにハイエンド物理PC相当のレスポンスを期待してしまうと導入後にユーザーストレスが爆発します。GPUの仮想化など仮想デスクトップの性能も向上していますが、一般的には物理PCよりも性能は落ちるのが現実です。
Microsoft Office製品を用いた事務処理レベルであれば大きな問題が生じることはありませんが、画像編集やCADといった高リソースを要求するアプリケーションの利用には不向きです。
試験的に仮想デスクトップのレスポンスを確認するため、10台ほどのパイロット導入で検証するケースもありますが、オンプレミス型でもクラウド型でも物理サーバとしては仮想基盤としてサーバ1台を払い出ししている場合、サーバ1台に対して10台が接続する環境での検証になります。
サーバ1台に対しての集約数は仮想デスクトップ100台程度(仮想デスクトップの要求性能によって異なります)なので、仮想デスクトップ1台あたりおリソースキャッピングを施していない環境では、実務利用時の10倍の性能が利用できることになります。これが事前検証時にはサクサク動いていたのに、本番導入したらモッサリしているという事に繋がっている原因でもあります。
製品カタログなどに記載された数値をうのみにせず、自社ユーザーの求めるスペックを元に、VIDのサイジングを行う事が不可欠。現実にはユーザーが求めるスペックと予算という壁の間で苦労しながら決めていくことになりますが、予算が許す限り余裕を持ったサイジングを行うことで、導入後に情報システム部門で生ずる運用コスト(ユーザーからの問い合わせ対応等)が削減できます。
VIDの最大の弱点です。仮想デスクトップは手元の物理端末上で動いているように見えますが、実際にはデータセンター内のサーバ上で動いています。そのため、物理端末単体では業務を行うことができません。
各拠点には社内ネットワークが敷かれているし、モバイルルータの性能も向上しているので平時は大きな問題は発生しないでしょう。注意すべきなのは、顧客訪問などで普段利用しない場所で仮想デスクトップを用いた作業を行う場合です。
個人的な失敗として、仮想デスクトップにプレゼン資料を格納しておいて、当日にプロジェクターで投影しようとしたら、会議室の電波状態が悪くプレゼン資料を映すことができなかったという経験があります。
おそらく同様の失敗をされた経験がある方もいるでしょう。回避するには、一時的に仮想デスクトップから物理端末上にデータをダウンロードしておく必要があります。ただ、仮想デスクトップからローカルへのファイルダウンロードを許可してしまうとセキュリティとしては下がってしまうので、物理端末とUSBキーを組み合わせた暗号化(ZENMUなど)と組み合わせる事も検討が必要です。
シンクライアント端末なら電源停止してしまえば、初期化されるという基準で社内のセキュリティ審査を通過できるなら、その抜け道もありかと。
導入のメリットとして、BCP対策と記載しましたが、1点だけ注意があります。2018年に記録的な暴風や高潮を伴いながら近畿地方や北陸地方を縦断した台風21号が関西を通過していた日、交通機関が運休していたため自宅でテレワークをしていました。
暴風の影響かその日は朝からモバイルルータの電波受信状況が悪く、自宅の固定回線に切り替えるもVPNが頻繁に切断されて安定した通信ができず、キーボード入力した文字が数秒遅れて表示されるような状況になりました。台風21号が最接近した正午頃にはまったく応答しない通信状態となり、午後は停電により固定回線も停止しました。
急ぎの業務はなかったので、午後休暇を取得しましたが、BCP対策を謳いながら通信が安定しないと利用できない可能性もあります。
雑な記述になってしまった部分もありますが、今回はVDIを検討する際に知っておきたい最低限のポイントについてシェアしました。皆様のVDI導入が成功する助けになれば幸いです。