はじめに
企業のクライアント(PC)セキュリティはここ数年で大きく変わりました。テレワーク/ハイブリッドワークが定着し、単に「PCを使う」のではなく、「どう安全に使うか」が事業継続や競争力に直結しやすくなっています。
本稿では、クライアント側のセキュリティアーキテクチャを俯瞰しつつ、以下をやさしく整理します。
- データレスの考え方:端末に機密データを“恒常的に”残さない設計
- デバイス管理:MDM / UEM 等で端末を一元管理し、紛失時対応・ポリシー強制を可能にする
- 方式比較:VDI / データレスPC / セキュアワークスペースの違いと判断軸
各用語は文末にて解説します。
1. セキュリティアーキテクチャの進化:境界防御からゼロトラストへ
従来型セキュリティ:「境界防御」の時代
従来の企業セキュリティは「境界防御」が主流でした。ネットワーク境界(ファイアウォール等)で内外を分け、内側は相対的に信頼できるという前提で設計されがちです。
例としては以下のような構成が多く見られます。
- ネットワーク境界にファイアウォールを配置
- オフィス内端末は「社内=信頼ゾーン」として扱う
- 端末はローカルで処理し、操作中のキャッシュや一時ファイルが残り得る
- データはサーバーや共有ストレージへ保存するが、運用次第で端末側にも痕跡(一時ファイルやキャッシュ)が残る
この方式は、社員がオフィス中心で業務をする時代には一定の合理性がありました。
現在の課題:境界の前提が崩れた
しかし、テレワーク、BYOD、クラウドSaaSの普及により「内側は安全」という前提は成立しにくくなりました。よく指摘される課題は以下です。
- 紛失・盗難リスク:外出先や自宅利用で端末紛失が起きやすい
- 境界の曖昧化:社内・社外の区別がつきにくい
- デバイス管理の複雑化:OS更新やパッチ適用、設定統一が難しくなる
- 端末に残る痕跡のリスク:一時ファイルやキャッシュ、ログ等が漏洩経路になり得る
- エンドポイント攻撃の増加:端末が直接狙われやすい(一般的に多くの企業で課題として認識されている)
この結果、単なる「PCスペック強化」ではなく、アーキテクチャ(設計思想)自体の転換が必要になりました。
新時代のアプローチ:データレス志向 + 集中管理
近年の代表的アプローチ(VDI、データレスPC、セキュアワークスペースなど)に共通する方向性は次です。
- 端末に機密データを恒常的に残さない方向へ寄せる
- 処理やデータの所在を“管理しやすい場所”へ寄せる(サーバー/クラウド/統制領域)
- 紛失時の対応(ロック/ワイプ等)を運用に組み込む
- ゼロトラスト(常に検証し、最小権限でアクセス)を前提とした設計に寄せる
2. シンクライアントと3つのアプローチ
シンクライアントとは
シンクライアント(Thin Client)は「端末側の役割を最小化し、処理やデータを集中管理しやすくする」考え方の総称として使われます。
対義語としてファットクライアント(Fat Client)は、従来のように端末側で多くの処理やデータ保持を行う形を指します。
注意:現実には、薄型専用端末だけでなく「既存PCを薄く使う」ケースも多く、端末スペックは方式・用途・調達形態により幅があります。
クライアント側セキュリティの3つのアプローチ
ここでは「端末にデータを残しにくい」という観点で、代表的な3方式に整理します。
アプローチ①:VDI(仮想デスクトップ)+ シンクライアント
VDIは「サーバー側(データセンター/クラウド)でデスクトップ環境を動かし、端末は画面表示と入力を中心に扱う」方式です。
仕組み(概念)
- ユーザーは端末からリモートデスクトップへ接続
- 入力(キーボード/マウス)がサーバー側へ送信される
- サーバー側でOS/アプリが実行され、画面が端末へ転送される
VDIのポイント
- 端末側に業務データを“恒常的に”保持しない設計に寄せやすい
- ただし、クリップボード/ファイル転送/印刷/ブラウザキャッシュ/ログ等の設定次第で端末側に痕跡が残り得る
→ 「ゼロにする」ではなく、設計とポリシーで制御するのが現実的
一般に言われる特徴
- ネットワーク品質の影響を受けやすい(特に動画・Web会議・周辺機器転送など)
- サーバー/クラウド側の設計・運用が要点(可用性、容量設計、コスト)
アプローチ②:データレスPC(スタンドアローン型の“データレス志向”)
データレスPCは、従来型Windows PCなどを使いながら「端末に機密データを残しにくくする」ための技術・運用を組み合わせたアプローチです。VDIほど“完全に実行環境を集約”しないため、端末性能(CPU/メモリ)を活かしやすい傾向があります。
注意:ここでの「データレス」はマーケティング用語としても使われ、製品により実現方法が異なります。
「端末に何も残らない」と断定するのではなく、残り得る痕跡をどう最小化・無意味化・回収するかで評価します。
セキュアFATと呼ばれることもあります。
代表例(あくまで例示)
- ZENMU:秘密分散等の考え方で、端末単体で意味のあるデータにならない設計を目指す
- ShadowDesktop:クラウド側にデータを寄せつつ、端末側のキャッシュ等を暗号化・制御する設計を採る(製品仕様・設定で差が出る)
- TrueOffice:保存先制御やリダイレクト等で、ローカルへの保存を抑制する方向の製品として扱われることが多い
一般に言われる特徴
- 端末側処理を活かしやすい(Web会議など)
- ただし「端末に残る痕跡をゼロにできるか」は設計と運用に依存
- オフライン対応の有無、キャッシュの扱い、復旧手順などはPoCで要確認
アプローチ③:セキュアワークスペース(従来型PC+隔離領域)
セキュアワークスペースは、通常のPC上に「隔離された業務領域(コンテナ等)」を設け、個人領域と業務領域を分離する考え方です。業務領域の中だけポリシーを強制し、データの持ち出しを抑制します。
注意:実装方式は製品・OS機能・運用によりさまざまです。
「完全隔離」や「完全にデータが残らない」を断定せず、隔離強度・操作性・運用負担で評価します。
方式の比較(概念整理)
| 観点 | VDI (実行環境集約) |
データレスPC (データ残存抑制) |
セキュアワークスペース (領域分離) |
|---|---|---|---|
| 実行場所 | サーバー/ クラウド中心 |
端末中心 (データは制御) |
端末中心 (領域を分離) |
| 端末データ 残存 |
最小化しやすい (設定依存) |
最小化/無意味化 (方式依存) |
領域内に残り得る (設計依存) |
| ネット依存 | 高くなりやすい | 中(オフライン 可否は製品依存) |
低〜中 (方式依存) |
| 運用の要点 | VDI基盤の 設計・運用 |
端末制御と データ運用 |
分離強度と 運用ルール |
補足①:データが「端末側に残り得る場所」チェックリスト(方式横断)
「データレス」「シンクライアント」という言葉は便利ですが、実務では「何がどこに残り得るか」を把握し、制御できているかが重要です。
以下は、VDI/データレスPC/セキュアワークスペースのいずれでも共通して確認すべきチェックリストです。
端末側に残り得る代表的な場所
| 分類 | 残り得るもの | 注意点・対策の観点 |
|---|---|---|
| OSキャッシュ | 一時ファイル、 テンポラリ |
OS・アプリ仕様依存。暗号化、再起動時削除、 定期初期化の有無 |
| ブラウザ | キャッシュ、 Cookie、DLファイル |
ダウンロード制御、ブラウザポリシー、 プロファイル管理 |
| クリップ ボード |
コピーした テキスト・画像 |
無効化/制限が可能か |
| 印刷 | スプールデータ | ローカル印刷可否、PDF生成時の保存先 |
| ファイル転送 | ローカル 保存データ |
リダイレクト制御、保存先強制 |
| ログ | 操作ログ、 アプリログ |
ローカル保存か集中管理か |
| オフライン 利用 |
キャッシュされた 業務データ |
オフライン可否、通信復旧時の失効挙動 |
| USBデバイス | USBメモリ、 外付けHDD |
デバイス制御(許可/禁止/暗号化) |
| スクリーン ショット |
画面キャプチャ | OS・VDI・コンテナ側で制御可能か |
| バックアップ | ローカル自動 バックアップ |
OS標準バックアップ機能の制御 |
重要な考え方
- 「端末に残らない」ではなく 「残っても無意味化・回収・失効できる」設計か
- 技術対策だけでなく運用(定期初期化、鍵失効、端末管理)まで含めて評価する
3. リモートワイプとデバイス管理( MDM / UEM )の重要性
クライアントセキュリティでは「紛失時の対応」が現実問題として重要です。その際の代表的機能がリモートワイプ(遠隔からの初期化/データ削除)です。
リモートワイプとは(言い切り回避)
リモートワイプは、紛失端末に対して管理者が遠隔から以下のような操作を行う機能の総称として扱われます。
- ワイプ(端末初期化)
- 企業データのみ削除(Retire等)
- ロック/利用停止
実際に「いつ」「どこまで」消えるかは、端末が管理サービスと通信できること、OS、暗号化、選択した操作種別、製品仕様・設定に依存します。
“次に接続したら必ず全データが消える”といった断定は避け、運用上は「通信不能時の手当(証跡・アカウント停止・鍵の失効など)」も含めて設計します。
MDM / EMM / UEM ツールの役割
端末管理の文脈では次の用語が出てきます。
- MDM:端末の設定・ポリシー・コンプライアンス・ワイプ等を管理
- EMM:MDMを拡張し、アプリ管理や領域分離等も含める概念(近年はUEMに統合されがち)
- UEM:PC/モバイル等を統合的に扱う管理(呼称はベンダーにより異なる)
代表例:
- Microsoft Intune
- Ivanti(UEM/MDM領域)
- Workspace ONE(現在の提供主体・ブランドは変遷があるため、導入時は最新情報を確認)
重要:方式がVDIでもデータレスでも、最終的には「端末をどう統制するか」が運用品質を決めます。
端末管理( MDM / UEM )とID管理( SSO / MFA /条件付きアクセス)をセットで考えるのが基本です。
補足②:方式別に見る MDM / UEM で制御すべきポイント
VDI 環境の場合
- 端末は「アクセス用デバイス」と割り切る
- MDM / UEM で最低限制御したい項目
- OS更新・パッチ
- ローカル保存/USB/印刷制御
- 紛失時のロック・初期化
- 併せて重要
- VDI 側のクリップボード/ファイル転送/周辺機器制御
データレスPC の場合
- 端末側で処理を行うため、MDM / UEM の重要度が最も高い
- 必須確認観点
- 保存先制御(ローカル/クラウド)
- オフライン時のデータ挙動
- 鍵失効・利用停止の即時性
- 「ワイプ不要」とされる方式でも
- 端末管理が前提条件になるケースが多い
セキュアワークスペースの場合
- 業務領域(コンテナ/隔離領域)の制御が要点
- 確認すべき点
- 業務領域と個人領域のコピー可否
- スクリーンショット/画面共有の制御
- 業務領域のみ削除(Retire 等)の可否
4. 方式別の代表製品(“例示”としての整理)
注意:ここでは機能可否・価格・性能は“製品仕様と契約、設定、リージョン”で変わる前提で記載します。
導入時は必ず最新の公式情報とPoCで確認してください。
4.1 VDI / DaaS(仮想デスクトップ)系の代表例
-
Citrix(DaaS / Virtual Apps and Desktops)
大規模環境で利用されることが多い。プロトコルや運用設計は構成次第。 -
Horizon(ブランドや提供主体は変遷があるため最新情報を確認)
既存の仮想化基盤との親和性を評価観点にしやすい。 -
Amazon WorkSpaces
クラウド型DaaSの代表例。台数増減の柔軟性は契約・運用設計に依存。
リモートワイプについて:
VDIの場合、端末そのものより「端末管理( MDM / UEM )」「アカウント停止」「セッション制御」等と組み合わせて設計するのが一般的です。
4.2 データレスPC(データ残存抑制)系の代表例
-
ZENMU
端末単体で意味のあるデータになりにくい設計思想で語られることが多い(詳細は製品仕様確認)。 -
ShadowDesktop
データをクラウド側に寄せつつ、端末側のキャッシュ等を暗号化・制御する方向の設計(詳細は仕様確認)。 -
TrueOffice
保存先制御等でローカル保存を抑制する方向の製品として扱われる(詳細は仕様確認)。
ここでのポイント:
「端末に何も残らない」ではなく、
- 何が残り得るか(キャッシュ/ログ/オフライン)
- 残った場合に無意味化できるか
- 紛失時に回収できるか(鍵失効/利用停止/ワイプ)
を軸に評価します。
4.3 “ワークスペース”/“アクセス”の周辺(混同しやすいので整理)
-
Windows 365(Cloud PC) + Intune
「クラウド上のPC」を提供するタイプ。端末側に実行環境を持たない運用に寄せやすい。 -
Chrome Enterprise / ChromeOS 管理
Web中心運用に寄せやすく、ポリシー配布や初期化等の管理が可能(運用と設定次第)。 -
Citrix Secure Private Access 等(ZTNA)
これは“ワークスペースそのもの”というより、社内アプリへゼロトラストでアクセスさせる入口(ZTNA)の領域。VDIやSaaS利用と組み合わせて評価します。
4.4 製品比較表
| 製品/カテゴリ | 位置づけ(例) | 端末側データ 最小化の しやすさ |
主な確認ポイント |
|---|---|---|---|
| Citrix (VDI/DaaS) |
実行環境を集約 | 高く寄せやすい | セッション制御、周辺機器転送、 運用設計 |
| Horizon (VDI) |
実行環境を集約 | 高く寄せやすい | 基盤との整合、運用体制、 ネット要件 |
| Amazon WorkSpaces |
クラウドDaaS | 高く寄せやすい | 課金・構成・リージョン・運用 |
| ZENMU等 | データ残存抑制 | 方式次第 | 何が残るか、無意味化/失効の 仕組み |
| Shadow Desktop等 |
データ残存抑制 | 方式次第 | オフライン挙動、キャッシュ、 回収手順 |
| TrueOffice等 | 保存先制御 | 方式次第 | 制御強度、ユーザー体験、 例外運用 |
| Windows 365 | クラウドPC | 高く寄せやすい | ネット品質、周辺機器、 ライセンス |
| Chrome Enterprise |
管理+Web 中心運用 |
高く寄せやすい | オフライン要件、データの所在、 ポリシー |
補足③:製品・方式選定時に PoC で必ず確認すべき事項
製品選定時は、仕様書だけでなく PoC(実機検証) を前提に判断することが重要です。
以下は方式を問わず、必ず確認すべき観点です。
- 実際に端末側に「何が残るか」
- オフライン時・通信断時の挙動
- 紛失想定(鍵失効・ロック・ワイプ)の再現性
- Web会議(音声・映像)の品質
- 印刷、USB、ファイル転送など業務影響
5. 導入時の判断基準:ゼロトラストに寄せる進め方
方式選定で重要なのは「どのくらい端末に残さない方向へ寄せるか」と「コスト/利便性/運用負担」のバランスです。
転換段階による選択戦略(例)
-
段階1:前提の転換
「社内ネットワーク=安全」という前提を捨て、ID・端末状態・権限で制御する方向へ。 -
段階2:現実解(データレスPC/領域分離)
既存PCを活かしつつ、保存先制御・暗号化・鍵失効・端末管理を強化。 -
段階3:VDI / Cloud PCの活用
実行環境を集約し、端末側の痕跡を最小化しやすい。ただし運用設計が要点。
業務形態による選択(例)
-
高負荷処理(設計/3D等)が多い
→ 端末側処理を活かせる方式(データレス志向)や、要件に合うGPU対応VDI等を検討 -
事務作業中心(Office/メール/Web)
→ VDI/DaaS/Cloud PC/ChromeOS等、運用負担とユーザー体験で評価 -
Web会議が多い
→ VDIは構成次第で課題が出ることがあるため、PoCで音声・映像品質を必ず評価 -
オフライン作業が多い
→ VDI単独は難しい場合があるため、オフライン要件に合う方式を選定
導入時の重要な考慮事項
- ネットワーク設計:必要帯域や遅延許容は、プロトコル・解像度・Web会議・周辺機器転送で大きく変動します。PoCで実測し、ピーク時を含めて設計します。
- 互換性検証:USBデバイス、古い業務アプリ、証明書/ICカード等は方式により動作が変わるため、実機で検証します。
- TCO評価:初期費用だけでなく、運用人件費・回線・サポート・更改・教育まで含めた評価が重要です。
おわりに
クライアントセキュリティは「境界防御」から「ゼロトラスト」へ、さらに「端末に残さない(最小化する)」方向へ確実に進んでいます。
ただし、すべての企業が“いきなりフルVDI”を選ぶ必要はありません。現実的には、次のように 方式を組み合わせ、段階的に強化するのが成功パターンになりやすいです。
- 端末管理( MDM / UEM )とID管理( MFA /条件付きアクセス)を先に整える
- 保存先制御・暗号化・鍵失効・監査で「端末に残さない」を実装する
- 部署・業務単位で VDI / Cloud PC を適用し、PoCで品質を詰める
本稿が、貴社の端末セキュリティ設計・製品選定の整理に役立てば幸いです。
用語解説(本記事で使われる専門用語)
本記事で登場する専門用語について簡潔に解説します。
境界防御(Perimeter Security)
社内ネットワークと社外ネットワークの「境界」にファイアウォールなどを設置し、
内側は信頼できる、外側は危険という前提で守る従来型のセキュリティモデル。
テレワークやクラウド利用が増えた現在では、この前提が成立しにくくなっています。
ゼロトラスト(Zero Trust)
「何も信頼しない(Never Trust)」を前提に、ユーザー・端末・場所・状態を毎回検証(Always Verify)してアクセスを許可する考え方。
社内・社外を問わず、ID・端末状態・権限で制御します。
シンクライアント(Thin Client)
端末側の役割を最小限(画面表示・入力中心)にし、処理やデータをサーバーやクラウド側に集約する考え方の総称。
専用端末だけでなく、既存PCをシンクライアント的に使うケースも含みます。
ファットクライアント(Fat Client)
端末側で多くの処理を行い、アプリ実行やデータ保存をローカルに持つ従来型のPC利用形態。
高い性能を活かせる一方、紛失時の情報漏洩リスクが高くなりがちです。
BYOD(Bring Your Own Device)
従業員が私物の端末(PC・スマートフォン等)を業務に利用する運用形態。
端末購入コストの削減や、利用者の慣れた環境を活かせる点がメリットとされます。
VDI(Virtual Desktop Infrastructure:仮想デスクトップ)
サーバーやクラウド上でデスクトップOSを実行し、端末はネットワーク越しにその画面を操作する方式。
端末にデータを残しにくい設計が可能ですが、ネットワーク品質や基盤設計が利用感に大きく影響します。
DaaS(Desktop as a Service)
VDIをクラウドサービスとして提供する形態。
インフラ運用をクラウド事業者に任せやすい一方、料金体系やリージョン、機能制限はサービス仕様に依存します。
データレスPC(セキュアFAT)
「端末に機密データを恒常的に残さない」ことを目指す設計思想・運用の総称。
実装方法は製品ごとに異なり、完全に何も残らないのではなく、「残っても無意味化・回収・失効できる」設計が重視されます。
セキュアワークスペース
通常のPC上に、業務用の**隔離された領域(コンテナ等)**を設ける考え方。
個人領域と業務領域を分離し、業務データの持ち出しや混在を防ぎます。
エンドポイント
ユーザーが実際に操作する端末(PC、スマートフォン等)を指す総称。
攻撃者にとっては直接侵入しやすいポイントとなりやすく、近年はエンドポイント対策の重要性が高まっています。
MDM(Mobile Device Management)
PCやスマートフォンなどの端末を一元管理する仕組み。
設定配布、ポリシー強制、リモートワイプ、コンプライアンス確認などを行います。
EMM(Enterprise Mobility Management)
MDMを拡張し、アプリ管理や業務領域分離などを含めた概念。
現在はUEMに統合される流れが主流です。
UEM(Unified Endpoint Management)
PC・モバイル・タブレットなどを統合的に管理する考え方。
MDM/EMMを包含する概念で、ベンダーごとに呼称や機能範囲が多少異なります。
リモートワイプ
紛失・盗難時に、管理者が遠隔から端末を初期化・ロック・業務データ削除する機能の総称。
実際の挙動はOS・設定・通信状況に依存します。
Retire(リタイア)
端末全体ではなく、企業データや業務領域のみを削除する操作。
BYOD(私物端末)利用時によく使われます。
ZTNA(Zero Trust Network Access)
VPNの代替として使われることが多い技術領域。
ネットワーク全体ではなく、特定のアプリやサービス単位でアクセスを許可します。
PoC(Proof of Concept)
導入前に実機・実環境で行う検証。
仕様書だけでは分からない、性能・操作感・業務影響・運用負荷を確認するために不可欠です。
参考(公式)
VDI / Cloud PC
- Citrix DaaS
https://www.citrix.com/ja-jp/products/citrix-daas/ - Amazon WorkSpaces
https://aws.amazon.com/jp/workspaces/ - Windows 365(Cloud PC)
https://learn.microsoft.com/ja-jp/windows-365/
データレスPC
- ZENMU Virtual Drive
https://zenmu.co.jp/ - Shadow Desktop
https://shadowdesktop.jp/ - TrueOffice
https://www.trueoffice.jp/
デバイス管理(MDM/UEM)
- Microsoft Intune
https://learn.microsoft.com/ja-jp/mem/intune/ - Ivanti(UEM / MDM)
https://www.ivanti.co.jp/ - Chrome Enterprise
https://www.google.com/intl/ja_jp/chrome/enterprise/