2020年 秋期 応用情報技術者試験 問5

仮想デスクトップ基盤の導入

L社は、本社のほか、全国に5か所の営業所をもつ中堅の医療機器販売会社である。

L社では、本社と営業所の間を広域イーサネットサービス網（以下、広域イーサ網という）で接続し、業務サーバやファイルサーバ（以下、FSという）などを運用している。現在のL社のネットワーク構成を図1に示す。

L社の本社と営業所の社員による、現状のNPCの利用形態を次に示す。

・本社の社員は、サーバ室の業務サーバを利用するとともに、ルータ1経由でインターネットにアクセスする。資料の印刷はオフィスエリアのPRで行い、ファイル共有はサーバ室のFS1で行う。

・営業所の社員は、広域イーサ網経由で本社の業務サーバを利用するとともに、自営業所のルータ経由でインターネットにアクセスする。資料の印刷は自営業所のPRで行い、ファイル共有は自営業所のFS（FS2～6）と本社のFS1の両方で行う。

・本社と営業所の営業員は、外出時に各自のNPCを携帯し、NPCに保存したファイルを使って、顧客先でプレゼンテーションや製品の説明などを行う。

【現状の問題点と改善策の実施】

L社では、営業員が外出時にNPCを持ち出すので、NPCの紛失などによる秘密情報の漏えいリスクがあり、改善策が求められていた。一方、営業員からは、外出先でもNPCを利用して社内と同じ作業を行いたいという要望が挙がっていた。また、情報システム部では、営業所のシステム運用負荷を軽減したいという課題をもっていた。

そこで、L社では、仮想デスクトップ基盤（以下、VDIという）の導入を決め、VDI導入プロジェクトを立ち上げた。このプロジェクトの責任者となった情報システム部のM課長は、部下のN主任に、導入するネットワーク構成の設計を指示した。

【VDI導入後のネットワーク構成の検討】

N主任は、VDIの方式を調査してネットワーク構成を検討した。N主任が設計したVDI導入後のネットワーク構成を図2に示す。

N主任が、VDI導入後のネットワーク構成と併せて検討した運用方法を次に示す。

・本社のサーバ室に、仮想PCを稼働させるVDIサーバと関連機器を導入する。

・5か所の営業所のFS2～6を、本社のサーバ室に移設するとともに、サーバ室にDHCPサーバを導入して、全社のTC及び仮想PCにIPアドレスなどのネットワーク情報を付与する。そのほかに、営業所からのインターネットアクセスを本社経由に変更することで、営業所のシステム運用負荷を軽減する。

・VDIの導入時に、NPCの内蔵ディスクに保存されているファイルを、VDIサーバに接続するディスクシステムに移した後、NPCから消去してNPCをTC化する。

・社内からは、TCでセッション管理サーバに接続して認証を受けた後に、当該利用者向けの仮想PCが使用できる。仮想PCからTCに、画面の情報が転送される。

・外出先からは、DMZに導入するSSL-VPN装置経由で仮想PCを使用する。TCでSSL-VPN装置に接続すると、TCに保存されたクライアント証明書と、利用者ID、パスワードという異なった利用者認証方式を組み合わせたa認証を受ける。SSL-VPN装置は、bと認証連携して、SSL-VPN装置での認証だけで仮想PCを使用できようにする。

・TCで仮想PCに接続すると、社内と同じ作業が外出先でも行える。

【通信トラフィックの変化内容の検討】

次に、N主任は、VDI導入による通信トラフィックの変化について検討した。最初に、現在、全社で発生している主要な通信の種類と内容を表1にまとめた。

次に、表1に示す通信に対する通信帯域の実績値などを基に、VDI導入後に、本社の社員向けの全仮想PC（以下、本社仮想PCという）及び五つの営業所の社員向けの全仮想PC（以下、全営業所仮想PCという）で発生する通信について検討した。

N主任がまとめた、VDI導入後の最も混雑した時間帯に必要な平均通信帯域の予測値を表2に示す。表2中の項番6、7は、VDI導入後に新たに発生する通信であり、項番7は、外出先のTCがSSL-VPN装置経由で仮想PCを使用したときに発生する通信である。

表2の結果から、プロバイダと契約している広域イーサ網への接続回線の帯域、及び本社のインターネットへの接続回線の帯域の見直しは、不要であると判断できた。

N主任は、検討結果をM課長に報告し、VDIの導入構成案が承認された。