データレスクライアントは、端末にデータを残さない仕組みです。端末を紛失したり盗難に遭ったりした際に大切なデータを守るために有効な方法ではあるものの、それだけでは不十分な面があるため、「暗号化」が用いられています。こちらの記事では、データレスクライアントと暗号化の関係や、暗号化で守れる範囲、なぜ暗号化のみでは不十分なのかといった点について解説しています。
OSや各アプリケーションにおける処理は端末(ローカル)で実行し、その処理に必要となるデータはクラウドや社内サーバに保存することによって、それぞれの端末にはデータを残さない仕組みのPCを「データレスクライアント」と呼びます。
端末自体のCPUやメモリを使用して処理するため、通常のPCと同等の操作性を維持できますし、ネットワーク環境があればどこでも作業することが可能です。また、作業を終了した時やシャットダウンした際には一時データも消去されるようになっています。
ここでは、「データレスクライアント」と「暗号化」の関係について解説していきます。なぜデータレスクライアントに暗号化が必要なのかをまとめました。
データレスクライアントは、データを端末に残さない設計にはなっているものの、作業中は一時的にデータをメモリやキャッシュに読み込みます。もしこの一時データが暗号化されていない場合、稼働中や一時保存をしている間に悪意のある攻撃を受ける、高度な復元技術を用いられた場合などにはデータを読み取られてしまう危険性があるため、端末にデータを残さないという対策だけではなく、暗号化を併せて行うことが必要となります。
作業を行う際には、端末とサーバーの間でデータの送受信が発生しますので、通信経路の暗号化を行い、盗聴防止を行うことが大切です。さらに、クラウド側に保存されるデータや、作業を行う際に端末に一時生成されるキャッシュファイルも、暗号化により保護できます。また、アクセスを許可するための認証情報や端末の識別データも暗号化することによって、なりすましや改ざんの防止につなげています。
もし端末を紛失した、盗難に遭ったなどのケースでも、端末内には暗号化されたキャッシュデータのみが存在する、または電源オフによりデータが完全消去されることから、第三者にデータを解読されるリスクを小さくできます。
さらに、管理者による遠隔操作にてアクセス権を即無効化したり、暗号化キーを破棄したりすることで、内部の情報の読み取りを防げます。
暗号化により守られるデータの範囲は幅広いといえます。例えば、作業を行う際に生成される「キャッシュや一時ファイル」、サーバーとのやりとりを行う「通信データ」、クラウド上に保存されているデータや、サーバーへの接続を行う際に用いる「認証情報」や「端末情報」も暗号化されることによって、認証情報の抜き取りや、許可されていない不正な端末からのアクセスを防ぎます。
例えば、OSレベルの暗号化のみではログイン中の状態を狙われる、パスワード流出により全てのデータが閲覧できるようになるなど、運用面におけるリスクが残るといえます。この点から、暗号化だけではなく、端末管理やアクセス制御、多要素認証などの認証強化との組み合わせが必要となります。
これらを端末にデータを残さない「データレス化」と併用することによって、よりセキュリティ面での効果を高められます。
データレスクライアントの大きなメリットは、端末を紛失した場合や盗難に遭った場合の情報漏洩リスクを低減できる点です。この点から、BYOD(私物端末の業務利用)やモバイルワークへの対応を行えるようになります。さらに、VDI(仮想デスクトップ)と比較すると、端末側のリソースを活用することから軽快な利用感や運用コストの最適化が可能である点もメリットのひとつといえます。
そのほか、それぞれの端末に処理を分散することが可能となりますので、サーバーへの負荷集中を避けられ、IT部門の管理負荷も軽減されます。
データレスクライアントを導入する際には、あらかじめ確認するべきポイントがいくつかあります。まず「どこまでデータを端末に残さない設計とするか」を確認します。さらに、一時領域や通信の暗号化方式が、十分に強度を持っているか、といった確認も必要となります。
またオフラインとなった場合には一定の閲覧や編集を許可するのか、また完全に許可するのかを検討する必要がありますし、既存のVDIやファイルサーバとの連携を行うかという点、遠隔でのロックなど「どこまで管理者が制御できる範囲とするか」といった確認も不可欠であるといえます。まとめると、以下のポイントについて確認することが必要となります。
こちらの記事は、データレスクライアントと暗号化について解説を行いました。データレスクライアントは「端末にデータを残さないこと」が基本となりますが、暗号化はこの点を補完するための重要な要素です。このように、データレスクライアントは、端末の持ち出し対策や、VDIの見直しを行う際の選択肢として有効であるといえます。