Azure Virtual Desktopで高セキュリティエリアを構築できないか考えてみる

こんにちは。アイシーティーリンクの国分です。

今日はAzure Virtual Desktopで高セキュリティエリアを構築できないかという視点で構成を検討してみたいと思います。

なんでAzure Virtual Desktop上に構築するのか

社内でも給与やマイナンバーや機密情報を扱う一部の方は、セキュリティエリアへの移動があり面倒。セキュリティエリア構築のコストがかかる。日常的に利用してる端末で機密情報を扱う必要がありリスクを感じる。などの不便を感じることがあるかと思います。
Azure Virtual Desktopであれば、物理的に別の端末を用意する必要もなくクラウド上に高セキュリティエリアを配置し、どこからでも高セキュリティエリアへのアクセスが可能になります。

どのように構築するのか

以下に一例として構成図を記載します。

システム構成図

上記システムの場合、デバイスID証明書というデバイスに紐づく証明書を用いて認証することにより、特定の端末を持つユーザーのみがAzure Virtual Desktop環境へアクセスできるようになります。デバイスID証明書はまだあまり一般的ではないかと思いますが、使い方次第では非常に有用かと考えます。IPで制限する必要がなくなり、テレワーク等でも導入可能です。閉域網やVPNなどを構築するよりも安価に導入が可能なことも大きなメリットと感じます。更にセキュリティレベルを上げたい場合には、Azure Virtual DesktopのPrivate Link化なども行うことができます。

サイバートラスト デバイス ID - 端末認証用証明書発行管理サービス

IDaaS製品「StartIn」に証明書発行機能を追加 2024年6月より提供開始 ～証明書による端末認証でセキュリティ強化・運用負荷を軽減～｜デジタルアーツ株式会社

さいごに

Azure Virtual Desktopでの高セキュリティエリア構成について簡単ではありますがご紹介させていただきました。

最後までお読みいただきありがとうございました。