「PCの電源オン」から操作できるリモートデスクトップ、日立ソリューションズ・クリエイトの「DoMobile」は何が違う？

　コロナ禍以来、リモートワークは全国的に普及した。

　そこで重要になる「社内と社外をどう連携させるか？」については、いくつかの方式がある。例えば、アプリケーションやデータを持ったPCを社内ネットワークにつなぐVPN方式や、クラウドなどのサーバー上で動く仮想PCデスクトップを利用するVDI方式、社内に設置したPCを外部から遠隔操作するリモートデスクトップ方式などが使われている。

　いずれも一長一短があるが、導入のしやすさからリモートデスクトップを利用しつつ、しかしその手軽さから、セキュリティに懸念を感じている企業も多いだろう。

　そうした懸念に対応できるのが、株式会社日立ソリューションズ・クリエイトが2002年から販売するリモートデスクトップソリューション「DoMobile」だ。

　企業で使うためのセキュアな認証方式や管理機能を備えているほか、「自社でVDIを構築したほうがコスト効率がよくなるような大企業でも、“すぐに使いたいから”と言って導入していただける」（同社）という導入のしやすさ、そして1ユーザー1500円／月からという価格的な導入のしやすさが特徴だ。

　さらに、インテル vPro プラットフォームPCと組み合わせれば、リモートパワーオンも可能で、操作対象のPCを常時起動しておく必要がない。vProのAMT（アクティブ・マネジメント・テクノロジー）機能やWake on LANを使うことで「必要な時だけPCを起動する」ことができる。

インテル vPro プラットフォーム

株式会社日立ソリューションズ・クリエイトのデジタルトランスフォーメーション第二事業部 プラットフォームソリューション第2本部 第2部 ITスペシャリストの瀧本真吾氏

　こうしたDoMobileの特徴や導入事例、vPro対応のポイントやWake on LANに対するメリット、そして最新機能について、株式会社日立ソリューションズ・クリエイトのデジタルトランスフォーメーション第二事業部 プラットフォームソリューション第2本部 第2部 ITスペシャリストの瀧本真吾氏に話を聞いた。

セキュリティ重視の「導入しやすいリモートアクセス」

――最初に、DoMobileのサービス内容や、特徴について教えてください。

瀧本氏：DoMobileは、オフィス内にあるPCを社外から遠隔操作できる、画面転送型のリモートアクセスサービスです。クラウド型およびオンプレミス型で提供しています。

　特徴としては、リモートからPCの電源を入れられるリモートパワーオン機能も備えている点があります。セキュリティにも配慮し、認証にデジタル証明書やワンタイムパスワードなどを利用できます。

　企業規模やユーザー数を問わず導入しやすいサービスになっていて、サービス開始以来、通算6500社以上にご利用いただいています。

日立ソリューションズ・クリエイトのDoMobile。画像の導入実績は2021年4月時点の数字で現在の実績は通算6500社以上

――クラウド型やオンプレミス型のサーバーはどのような役割なのでしょうか。それを含めて、構成を教えてください。

瀧本氏：サーバーは基本的に、リモートアクセスのサーバーの管理と、リモート転送のデータの中継を行っています。

　アクセスされるPCには、Windowsにエージェントのソフトを入れて使います。アクセスする側は、ウェブブラウザーで利用できますし、iPhone/iPadやAndroidのアプリでもご使用いただけます。このほか、PCにインストールするクライアントを利用いただくことも可能です。

DoMobileの概要。リモート端末の操作情報と会社にあるPCの画面情報を論理的にひも付けることで、既存のネットワーク環境のままセキュアなリモート操作を実現する

　仕組みとしては、エージェントからサーバーに向けてHTTPSで接続する形をとっています。VPNなどを使って外から社内に接続できるようにネットワークを変更しなくても、社内から外へのHTTPSアクセスは普通に利用できると思いますので、そのままリモートアクセスができます。

――契約はどのような形態になっているのでしょうか。

瀧本氏：クラウド型は基本的に年間契約で、要望のある企業では月額でも対応しています。オンプレミス型はライセンスの買い取り形式になっています。

「高いセキュリティ」と「手軽さ」が身上、ワンタイムパスワードも利用可能

――特にどういったニーズ、あるいはユーザーに支持されているといった傾向があれば教えてください。

瀧本氏：まずは、1ユーザーあたり月々1500円からということと、クラウド型を使えばPCにエージェントを入れれば始められるということで、手早くあまりコストをかけずにリモート環境を導入したいというお客様にご利用いただいています。

月額1500円からスタートできるDoMobile

　また、もともと使っているPCをそのままリモートから使うので、いま使っているソフトやサーバーの認証関係などの利用環境をそのまま使ってリモートワークができる点もご評価していただいています。

　あと、低コストで始めたいけどセキュリティはきちっとしたいということで、デジタル証明書やワンタイムパスワードによる認証強化に対応している点で選んでいただくお客様もいらっしゃいます。

　そのほか最近あるパターンとしては、ゼロトラストの推進で「社内端末をクラウドのVDIに移行してVPNを廃止するが、そのままではオフィスに残る開発環境に自宅などからアクセスできなくなる」というケースがあります。DoMobileなら、VPNが不要なので、開発端末にエージェントを入れて自宅などからアクセスすることができます。

VPNの場合、万が一攻撃を受けた場合に被害範囲が広くなるリスクがある

クラウドのVDIに移行してVPNを廃止した結果、社内の個別の開発環境などが取り残され、アクセスができなくなる

そうした状況でもDoMobileを使うことでVDNを使わずに会社の開発環境にアクセスできるようになる

――管理する側、情シス（情報システム部門）から見たDoMobile導入のメリットを教えてください。

瀧本氏：VPNを整備したり、VDI（仮想デスクトップ）をクラウドなどで用意したりすると、機材やサーバーを用意して管理しなくてはなりません。DoMobileであれば、このような初期投資が不要で、そのままの環境を使うことができます。

　また、オプションで用意している管理機能を利用することで、管理対象の各アカウントのアクセス履歴や現在のステータスを管理できて、勤怠管理も可能となります。

DoMobileの管理ツール画面

　リモート端末を紛失したとしても、仕事のデータはアクセスされる側の社内PCに入っていますし、企業の管理者がその端末からのアクセスを停止することができるので、緊急時の対応が可能です。

　さきほどもご紹介したリモートパワーオン機能を使えば、使用時のみPCの電源を入れられるので、会社や情シスにとってはオフィスの電力削減やセキュリティ攻撃機会の抑止になります。

　さらに、これもさきほどご紹介したように、デジタル証明書やワンタイムパスワードも利用できるので、認証のセキュリティも強化可能です。

DoMobileによるセキュリティの対策

――PCとDoMobileを使う側の一般社員から見た導入メリットを教えてください。

瀧本氏：ほかのリモートアクセスと同様に、時間と場所にとらわれることなく作業できるようになります。その中でも、オフィスとまったく同じ作業環境をそのまま使えるのがメリットです。

PCだけでなくスマホからもアクセス可能

こちらはiPadから操作している様子

――画面転送型のリモートアクセスのサービスやソフトウェアはいくつかありますが、その中でDoMobileの特徴はどの点でしょうか。

瀧本氏：いちばん違うのはデジタル証明書かと思います。ニ段階認証で、クライアントPCに証明書を配布して、接続時にその証明書を確認するため、パスワードなどの認証情報を知っていてもほかのPCからはアクセスできないようにできます。なお、証明書は、DoMobileが独自のCA（認証局）になって発行します。

――セキュリティを考えるとDoMobile、ということでしょうか。

瀧本氏：そう言って間違いではないと思います。当初は、デジタル証明書は運用が大変じゃないかとおっしゃる情シスの方もいらっしゃいました。しかし、使っていく中で、認証をどう守るか、たとえば証明書の有効期限をどうするかといった点で運用しやすいようにしてご利用いただいています。

　証明書のいいところの1つに、退職者のアクセスをどう防ぐかがあります。パスワードと証明書の入った端末の双方がないとアクセスできませんし、証明書は発行側で無効化できるので、パスワードが退職後に残ってしまうような場合でも、管理しやすいのがメリットです。

「電源オン」から利用者が操作可能、PCがフリーズしてもリセットできる

――DoMobileには、オプションとしてインテル vPro プラットフォームを組み合わせたリモート電源管理のサービスがあります。その仕組みやできることを教えてください。

瀧本氏：リモートから利用するユーザーは、オフィスにあるシャットダウン状態のPCを自分で起動してリモートアクセスを開始できます。また、PCがフリーズ状態のときにも、ユーザーがリモートから自分でPCのハードウェアリセットを実行して回復させることができます。

リモートパワーオンの仕組み。起動用プロキシが個別のPCを起動するが、Wake on LANで起動できるのは同一セグメント内のみ。vPro搭載機なら社内LAN内のどこにあっても起動できる

――アクセスする一般ユーザーはどのように操作するのでしょうか。

瀧本氏：DoMobileでアクセスしようとしたときに、自分のPCに電源が入っていないと、電源が入っていないので起動するかどうか画面で聞かれます。そこで起動を指示すると、PCを起動してくれます。起動し終わったら、あとはDoMobileでPCにアクセスします。

　リセットのときも同様の仕組みです。使っているときに反応がなくなったときに、DoMobileの通信もできなくなっているはずなので、DoMobileの画面でPCの応答がないのでリセットするかを聞かれます。

リモートアクセスの操作画面

接続したいPCが見つからない場合には起動を促す画面が表示される

コンピュータ名とパスワードで起動／リセットを指示

vPro搭載マシンであれば、遠隔からリモートリセットもできる

――リモートパワーオンを実現するには、DoMobileサーバーのほかに機材が必要になるのでしょうか。

瀧本氏：PCを起動する指令を出す専用のPCを、対象のPCと同じく社内に1つ置く形になります。電源を入れるときには、DoMobileサーバーから指令を出すPCに対して、目的のPCを起動するよう指示を出します。

　この仕組みは、vProのSDKを使って独自に開発しているので、インテルのPC管理ツールであるEMA（エンドポイント・マネジメント・アシスタント）を別途用意する必要はありません。

――vPro導入に至った経緯を教えてください。

瀧本氏：DoMobileでは製品開発当初から、リモートアクセスを安定的に利用するために、遠隔からのパワーオンが必須であると考えていました。

　そのため、当初からWOL（Wake On LAN）をサポートしていました。ただし、WOLでは同じネットワークセグメント内のPCしか電源を入れられないため、LANの各ネットワークセグメントに1つずつWOLを実行するPCを常時起動しておく必要があり、コスト的にも防災管理上も規模の大きい企業での運用は非現実的でした。また、フリーズしたPCのリセットも不可能でした。

　そんな中でvProのAMT機能によりPCの電源操作ができることを知りました。vProは企業での運用を前提にしており、セグメントの制限を受けることなく、最低1台の常時起動PCがあれば社内のPCの電源管理ができます。企業での本格的な運用にはvProのサポートが必須であると考えて導入しました。

――実際にvProを使って導入されているユーザーの声や使い勝手のポイントなどがあれば教えてください。

瀧本氏：管理者の方からは、起動指示用の常時起動PCが1台かせいぜい数台でよく、管理が楽で運用しやすい点を評価いただいています。またユーザーの方からは、PCがOSレベルでフリーズしてしまった場合に、従来は出社するか、出社している人に頼んでリセットするしかありませんでしたが、vPro対応で自分でリモートからリセットが実行できる点が高く評価いただいています。

vProを使ったリモートリセットはスマホやタブレットからもできる。

コロナ禍で契約企業が増える、大企業では本格リモートワーク対応の前の緊急導入も

――コロナ禍や、その後に出社が戻ってきたことで、ニーズに変化があれば教えてください。

瀧本氏：　まず、コロナ禍に入って、契約数やユーザー数は増えました。導入実績は、2021年4月の段階で3800社に増えまして、その後、現在では6500社以上になりました。

　その後、コロナ禍が落ち着き、出社するようになってきて、我々は一定のユーザー減を想定していたのですが、実際の減少は想定よりはるかに少なく、実はほぼ横ばいです。

　これはわれわれも驚いているのですが、結果を見ると、「出社」と「リモート作業」を使い分けた新しい働き方をDoMobileが提供できているのだと思います。

――使い方には変化はあったでしょうか。

瀧本氏：コロナ禍に入ったころは、「朝の9時につないで、そこから夕方までつないだまま」といった使い方が多かったと思います。それが最近は、何時から何時までつないで、そのあとは切るという使い方が増えています。会社のポリシーが変わってきたのかと思います。

――コロナ禍で契約数が増えたことですが、その中で増えた企業の種類などはあったでしょうか。

瀧本氏：DoMobileは中堅から中小企業で特によく使われているのですが、コロナ禍では大企業での利用が増えたのが特徴でした。

　大きな企業では、自社でVDIやVPNを構築したほうがコスト効率がよくなるような場合もあるのですが、そのような大企業でも、“すぐに使いたいから”と言って導入していただける例がいくつかありました。

　そうした大企業の中で、実際に契約を終了するところもありますし、VDIやVPNとコストメリットを比較して契約延長していただいたところもありました。

――直近の具体的な導入事例について教えてください。

瀧本氏：とある教育機関ですが、3～4年前に、職員のリモートワークのインフラとして千数百台のPCで、DoMobileとvPro対応の契約をいただいています。次期システムでもDoMobileとvPro対応をご採用いただきました。

　この教育機関ではキャンパスが複数の場所に分かれ、職員の職場も分散されます。そのため、それぞれのセグメントにWOLの電源管理PCを置くのは現実的ではありません。vProであれば管理できるということで、ご採用いただいています。

　ほかの事例としましては、とあるコンサル、リサーチなどを手掛けるIT系企業で数千ライセンスをご契約いただいております。このお客様ではVDIを使わないポリシーになっているので、DoMobileをご採用いただいています。

12月のアップデートではvProのTLS必須化に対応

――12月にDoMobileのアップデートがありました。その変更内容について教えてください。

瀧本氏：いちばん大きい変更点は、第13世代インテル Core プロセッサーからvProのTLS暗号化通信が必須になったことに対応した点です。

――確かに、BIOSを更新したらvProのAMTにつながらなくなったという声が上がって、弊誌でも取り上げました。

瀧本氏：社内のPC間通信においても暗号化するという方針で、そこにDoMobileでも対応していく形になっています。

――ちなみに、その前にリリースしたDoMobile Ver.4ではリモートワークを意識した機能強化が多かったようですが、どのような変更があったのでしょうか。

瀧本氏：主に、デジタル証明書に加えて、ワンタイムパスワードに対応したところです。DoMobileのワンタイムパスワードでは、アクセス先のPCがキーを持っていて、QRコードを表示して、モバイル端末が読み込んでアクセスできるようになります。通常はそのためには大がかりなシステムが必要ですが、それが必要ないのが特徴です。

　また、前述したインストール型のクライアントを追加しました。インストール型のクライアントでは、MACアドレス認証にも対応しています

DoMobile Ver.4からはユーザーの二段階認証やインストール型のクライアントにも対応

――ありがとうございました。