デジタルワークスペースがなぜ必要なのか？

このBlogは vExperts Advent Calendar 2019 に参加しています。

https://adventar.org/calendars/4289

＝＝＝＝

サーバー・ストレージ・ネットワーク・・・そんな仮想化プラットフォームが主役と

思われるVMwareですが。　実は、デジタルワークスペースにも注力しているのです。

仮想化基盤の上でVDIを動かして〜というITインフラの延長線ではない、分野なのです。

少々とっつきにくいと思うのですが、

本当に大事な話なので、今日はこちらの分野について語っていきたいと思います。

私が、DTF2019とVFORUM2019のセッションでお伝えしたかったことを５分〜１０分に凝縮してお届けします。

DTF2019講演レポート https://licensecounter.jp/vmware/information/news/2019/11/004559.html 

vFORUM2019講演レポート 　
https://licensecounter.jp/vmware/information/news/2019/12/004611.html

https://vforum.jp/tokyo/program/digitalworkspace/DW435/ 

WorkspaceONEって何がいいの？を一言で語れるようになってもらえたら嬉しいです。

◆WorkspaceONEってなにもの？

大きなトピックとしてはこの３つ

　（１）デバイスの管理

　（２）アプリの管理

　（３）IDの管理

これらをひとまとめにしたものです。

◆課題１◆　Windows 10のややこしい問題

SaaSって言葉はご存知ですか？

Windows 10 移行は皆さん対応されていると思いますが、

後回しになっているのがパッチの管理です。サポートサイクルが非常に短いということ。

そして、さらに面倒なことに「働き方改革」とか「テレワーク」という問題で、デバイスを持ち歩く機会が増えたということ。

そうなると課題なのが、社外に持ち出した時の端末状態を監視できないんじゃない？とよく言われます。
たしかに、、、端末監視ソフトによっては、LAN内の監視サーバーと疎通が取れないと印刷やUSBデバイスが機能しないという事もあったりするそうです。

そこで、必要なのが、SaaS経由でデバイスを管理してしまおうという発想です。
Windowsもスマホと同じ用に管理すればいいのに。。と

実は、Windows 10 標準で MDMから管理されるようにインタフェースが用意されていて、それを使って管理しているのが、Workspace ONE UEM （旧称：AirWatch）なんです。

このように、持ち出すことを前提としたデバイス管理を行っていくことで、セキュリティを理由にデバイスの種類や使い方を強制する必要がない、使いやすい環境を実現できるのです。

◆課題２◆　アプリ守備範囲の広域化

そして、持ち出すデバイスの中だけでアプリは完結しなくなってきました。

Office365とか、メールサーバーも今はクラウド（SaaS）で利用するのが主流になってきました。

CMや広告などでもたくさん目にしていると思いますが、ありとあらゆるアプリがSaaSで提供され、スマホでも手軽に利用できてしまいます。
本当に便利ですよね〜

そうなると、持ち出したデバイス＋アプリケーションはSaaS、そうインターネットがあればどこでもアプリが使えちゃうわけです。

いったんVDIに入ればOKという世界ではなくなってきてしまっていますし、逆に Windowsアプリを使うためだけに Horizonを部分的に利用する。。。という逆転現象が起きつつあります。

◆課題３◆　セキュリティのリスク

それだけ守備範囲が散らかってしまっていると・・・
SaaSアプリのパスワードの管理が課題になってきます。

アンケートをとったころ、２年前から変わらず「２−３個しか覚えられない」という人がほとんどなのです。

そこで、SSO（シングルサインオン）が必要なわけです。

ちょっと前までは「ふ〜ん」という反応も多かったのですが、SaaSシフトの波がさらに強まり、SSO＝常識に代わりつつありますね。

このように、デバイスを持ち出し、アプリがSaaSに散らかり、ID管理の限界 がやってきているのです。
社内の据え置きPCで作業を固定していた時代には考えられなかったような、ブラウザさえあれば、IDを乗っ取られてしまうだけで大きな問題になったりするわけです。

◆じゃぁ、どうすんのか？

ここで、セキュリティをしっかりするのだから、生産性が犠牲になって当然だ。。と思ってはもったいない。

WorkspaceONEがデバイス＋App＋IDを統合管理することでできる、最大の魅力を知ってほしいのです。

それは・・・

安全なデバイスだけを通過させ、SSOで認証を許可する＝「コンディショナルアクセス」という仕組みがあります。

例えば、、、
　・管理していないデバイスからはSSOを許可しない
　・ウィルス感染しているデバイスは通さない
　・社外からのアクセスは二要素認証を求める
などなど

デバイス管理＋認証管理、どっちも併せ持って連携しているからできる、VMwareの面白いテクノロジーです。

このように、ユーザー属性、デバイスの種別や、アクセス元、利用するアプリ、デバイスの状態などをチェックして「正しいデバイスだけ自由を与える」という仕組みが実現できます。

今までは、デバイスに怪しいことをさせないように、僅かな抜け道でも絆創膏でベタベタに防ぐようなことを積み重ねてきました。
でも、その管理方法では時代のスピードに追いつけなくなっています。

無駄に不正をしているごく一部の悪者のために、時間を浪費しているのではなく、正しいことをしている社員に自由を与えることこそ、今後の正しい管理のあり方ではないかと思います。

◆まとめ

つまり、働く人々の機動力を高め、便利なのに安全な環境を実現するためのもの＝WorkspaceONE ということがちょっとでも覚えていただけたらと思います。

動画があるので、参考までにご覧いただけたらと思います。
https://licensecounter.jp/vmware/solution/workspaceone-usecase.html


WorkspaceONEの製品概要はこちら
https://licensecounter.jp/vmware/lp/workspaceone.html




◆明日からのお楽しみ・・・

https://adventar.org/calendars/4289

技術的な要素は、明日の先生が書いてくれるのですが、

これらの要素にて出てくる技術要素をちょっとだけ整理しておくと

　・SAML（SSOのデファクトスタンダード）

　・クライアント証明書

　・AzureADおよびActiveDirectory（認証周り）

　・MDM（デバイス登録や管理）

といったものが代表格です。

これにHorizonやThinAppも呼び出せるので、これまでEUCとしてみなさんが得意とする技術も十分に活かすことができます。

以上、ありがとうございました。