山陰総合リースが、VDIからHDIへ移行し
ネットワーク分離によりセキュリティを強化
HPE Moonshot SystemとCitrix XenDesktopを採用しセキュアなリモートデスクトップ環境を実現。
目的
7年間利用してきた仮想デスクトップ(VDI)環境の刷新。山陰合同銀行グループ全体の方針に沿った「社内業務用/社外アクセス用のネットワーク分離」によるセキュリティ強化に対応すること。
アプローチ
社内業務用/社外アクセス用でネットワークをセグメント分離するとともに、1台のシンクライアント端末から2つのデスクトップ環境を利用可能にする。
システム環境の複雑化を抑制しながらこれを実現する。
ITの効果
- HPE Moonshot SystemによるHDIを採用し、1ボックス内に社内業務用/社外アクセス用リモートデスクトップサービスを統合
- AMD Opteron™ X2150 APU搭載「HPE ProLiant m700サーバーカートリッジ」1枚あたり4ユーザー分Citrix XenDesktop環境を提供
- HDI環境に使い慣れたCitrixの運用管理を継承
- 本社および7拠点のおよそ80ユーザーに「ネットワーク分離」されたリモートデスクトップ環境を提供
ビジネスの効果
- ネットワーク分離によりクライアントセキュリティを強化
- VDI環境で利用していたCitrixソフトウェアライセンスをHDI環境へ転用し移行コストを抑制
- Windows 10環境への移行を含め、5年以上先を見通したリモートデスクトップ提供基盤を確立
- 将来、複数のサーバーシステムをHPE MoonshotSystemの1筐体に統合可能に
森井 忠重 氏山陰総合リース株式会社 業務管理部次長 兼 業務開発室長
山陰総合リースが、7年間利用してきた仮想デスクトップ(VDI)環境から、HPE Moonshot Systemによる性能保証型のリモートデスクトップ環境(HDI:Hosted Desktop Infrastructure)へ移行した。山陰総合リースは、山陰合同銀行グループ全体のセキュリティ方針に沿った「業務用/社外アクセス用のネットワーク分離」をシンプルに実現するソリューションとしてHDIを選定。HPE Moonshot Systemは、1台のシンクライアント端末から2つのネットワークを使い分けるためのシステム環境を“1ボックス”で実現した。
チャレンジ
セキュリティ強化のために「ネットワーク分離」を導入
山陰総合リースは、山陰合同銀行(ごうぎん)のグループ企業として1975年に設立された。山陰・山陽地方に拠点を展開し、総合リース会社として事務機器からプラント設備まで多様な企業ニーズに応えている。業務管理部次長 兼 業務開発室長の森井忠重氏は、次のように紹介する。
「私たちは、総合金融サービスを担うごうぎんグループの一員として、リース業務を通じて地域産業の発展に寄与してきました。創業40周年という節目を迎え、様々な取り組みを進めているところですが、重要なテーマのひとつに『社内業務用/社外アクセス用のネットワークを分離してセキュリティを強化すること』があります。標的型サイバー攻撃のリスクからビジネスと情報資産を保護することが目的です」
企業や自治体での情報漏洩事故が多発しているが、大きな原因のひとつに標的型サイバー攻撃がある。総務省やIPA(独立行政法人 情報処理推進機構)では、業務端末とインターネット接続環境の分離を推奨しており、重要な情報を扱う企業や組織での対応が急がれている。
「ごうぎんグループのセキュリティ方針に則り、『ネットワーク分離』を導入することを決めました。しかし、業務用端末とインターネットアクセス用端末、1人が2台を使い分けるような導入は回避したいと考えました。また、7年にわたって全社でシンクライアント環境を使ってきましたので、この環境を変えたくないという思いもありました」
山陰総合リースは、2009 年からVDI(Virtual Desktop Infrastructure)を活用しているリモートデスクトップの先進ユーザーである。本社と7拠点のおよそ80名が、この環境で日々の業務を遂行している。森井氏にとって、従来型PCへ逆戻りするという選択肢はなかった。
「VDIによるシンクライアント導入の当初の目的は、クライアント端末管理の負荷を軽減することでした。実際にCitrix XenDesktopの環境で
は、全社で同一仕様のデスクトップ環境をセットアップしたり、維持・更新することが非常に容易になりました。また、支店単位で設置していた
ファイルサーバーを本店に集約してバックアップを一元化するなど、運用管理上大きなメリットをもたらしたのです」
USBメモリなど外部メディアの使用規制、ICカードによる2要素認証の導入など、VDI導入後に段階的にクライアントセキュリティを強化してきた経緯もある。森井氏は、シンクライアント環境を使い続けながら「ネットワーク分離」を実現する方法を検討する過程で、革新的なソリューションに出会った。HPE Moonshot Systemによる「HD(Hosted Desktop Infrastructure)」である。
ソリューション
HPE Moonshot Systemの「HDI」を採用
森井氏が注目した「HDI」は、超高密度サーバーHPE Moonshot Systemが実現するリモートデスクトップソリューション。1ユーザーごとに物理リソースを割り当てるため、安定的な性能を発揮する特長がある。VDIがベストエフォートにならざるを得ないのに対し、HDIは性能保証が可能なのだ。HDIは、リモートデスクトップ環境の新たな選択肢として急速に支持を拡大している。
シンクライアント向けに特化して設計・開発された「HPE ProLiant m700サーバーカートリッジ」には、CPUとGPUを統合した「AMD Opteron™ X2150 APU」を採用。1枚のサーバーカートリッジに4つの独立したPCリソースを搭載し、最大45枚(180ユーザー)のHDI環境を4.3UのHPE Moonshot Systemシャーシに物理的に集約する。Citrix環境の管理用サーバーなども1ボックス内に収容可能だ。
「1ボックスのハードウェアで、リモートデスクトップに必要なサーバー環境をまるごと構築できることにまず着目しました。社内に閉じた業務用のデスクトップ環境と、社外アクセス用のデスクトップ環境を物理的に区分し、かつVDIと同様にクライアント管理を一元化できると直感したのです」(森井氏)
森井氏は、日本ヒューレット・パッカードのHDIソリューションパートナーであるアクシオにコンタクトし、実機デモを体験して確信を深めたという。相談を受けたアクシオの岡本孝氏は、次のように振り返る。
「提示いただいた『ネットワーク分離』と『Citrix環境の継承』という要件に、HPE Moonshot SystemのHDIがどのようにお応えできるか、どのように実現するのが最適かディスカッションを重ねました。森井様には『1ボックスで実現できる』というメリットを高く評価していただけました」
2015年9月、山陰総合リースはHPE Moonshot SystemによるHDIソリューションの採用を決定し、速やかに導入に着手した。
HDIによる物理環境で「ネットワーク分離」を実現
HPE Moonshot SystemによるHDIソリューションは、山陰総合リースの要件にどのように応えたのか。まず「ネットワーク分離」から聞いていこう。
「社内の業務システムを利用するためのデスクトップ環境に、Citrix XenDesktopを適用しました。高性能なリモートデスクトップサービスはHPE ProLiant m700サーバーカートリッジから提供されます。一方、インターネットやメールなど社外にアクセスするデスクトップ環境には、物理サーバーを分けてCitrix XenAppを適用しています。ユーザーは、社内用/社外用の2つのデスクトップを1台のシンクライアントから使い分けることができます」(森井氏)
XenDesktopとXenApp、2つの環境はネットワークを セグメント化し、それぞれHPE Moonshot System内の異なる物理サーバーから画面イメージだけが配信される仕組みが採られた。万一インターネット接続側がサイバー攻撃を受けたとしても、これと切り離されている社内ネットワークに影響が及ぶことはない。ユーザーが2台の端末を使い分ける必要はなく、業務の生産性への影響も回避された。
次に、「Citrix環境の継承」という要件についてはどうか。アクシオの杉村淳一氏は次のように説明する。
「HP Moonshot SystemのHDI環境では、PVS(Provisioning Services)など使い慣れたCitrixの運用管理方法をそのままご利用いただけます。PVSサーバーもHPE Moonshot System 内に収容できますから、サーバー側の機器構成がよりシンプルになるメリットもあります。また、CitrixのライセンスをHDI環境にそのまま移行できることもご評価いただけたポイントです」
2015年後半に発売になった「HPE Moonshot Remote Console Administrator(mRCA)」も採用された。KVM(キーボード/ビデオモニター/マウス)からHPE Moonshot Systemへリモートアクセスするための専用モジュールである。ハードウェアの稼働状態を把握して遠隔操作を可能にするだけでなく、OSイメージのリモートマウントも可能で、OSのセットアップやユーザー単位のシステム復旧を効率良く行える。
森井 忠重 氏山陰総合リース株式会社 業務管理部次長 兼 業務開発室長
「当初は、Windows展開サービス(WDS)を使用する想定でしたが、より快適にOSを展開できる『HPE mRCA』の発売を待って構築に着手しました。また、VDI環境ではICカードによる個人認証システムを利用してきましたが、この仕組みをHDI環境で継承する上でもHPE mRCAは有効でした」(森井氏)
2016年1月、山陰総合リースはHPE Moonshot SystemによるHDI環境の運用を開始。その後、段階的にVDI環境からの移行が進められた。
ベネフィット
Windows 10環境への移行準備に着手
アクシオの岡本氏は、プロジェクトを振り返りながらHPE Moonshot SystemによるHDIソリューションを次のように評価する。
「HDIによるリモートデスクトップ環境は、CPU/GPU、8GBメモリ、64GB SSDというリソースを『1ユーザーが占有できる』ことがやはり大きな特長です。仮想化によってリソースを細分化するVDIと異なり、サイジングに悩まされることなく、お客様に安定的な性能をお約束できることにメリットを感じています。設計がシンプルなので短期間で導入できることも大きいですね」
アクシオは、HP Moonshot SystemによるHDIのバックエンドシステムとシンクライアント端末全体を統合管理し、導入・拡張から、問題発生時の解決まで効率的に行えるマネジメントツールを独自に開発・提供するなど、VDIと差別化できるHDIソリューションの提供に力を注いでいる。
VDIの先進ユーザーであり、そしていま新たにHDI環境を構築した山陰総合リース―HDI導入においては、目的であった「ネットワーク分離」を実現し「Citrix運用環境の継承」も図られた。
森井氏は「常に最新テクノロジーを追いかけている」と笑顔を見せるが、その目は冷静に将来を見据えている。
「HPE Moonshot SystemのHDI環境によって、Windows 10環境への移行を含めて、5年以上先も安定的なリモートデスクトップサービスを提供できるシステムを確立しました。HPE Moonshot System上に、他の業務システムを統合することも視野に入れながら、この革新的なプラットフォーム製品を使いこなしていきたいと考えています」
記載されている会社名および商品名は、各社の商標または登録商標です。Intel、インテル、Intelロゴ、Xeon、Xeon Insideは、アメリカ合衆国およびその他の国におけるIntel Corporationの商標です。記載事項は2016年3月現在のものです。本カタログに記載されている情報は取材時におけるものであり、閲覧される時点で変更されている可能性があります。予めご了承下さい。