仮想デスクトップのWebブラウザ接続による価値と注意点(技術コラム)

vdi0

 

前回のコラムではMicrosoft社の新たな仮想デスクトップサービスである「Windows 365」のメリット・デメリットについて説明しました。

Microsoft社もCloud PCのコンセプトでWindows 365を展開し、「非Windowsのスマートデバイス」からの仮想デスクトップへの接続におけるWebブラウザ対応が注目されています。

弊社でも従量課金対応の仮想デスクトップサービス「Cloud Remote Desktop」にWebブラウザからの接続を実現する「Cloud Remote Gateway」を提供しています。

今回のコラムでは、「Cloud Remote Gateway」の概要について説明しながら、Webブラウザによる仮想デスクトップの価値と注意点を確認したいと思います。


〈目次〉

 

Apache GuacamoleベースのCloud Remote Gateway


 

Cloud Remote Gatewayは、仮想デスクトップサービス「Cloud Remote Desktop」のオプションサーバとして提供しています。

オープンソースソフトウェア(OSS)であるApache Guacamoleで構成され、セットアップ済みのサーバが仮想デスクトップを展開しているVPC内に展開されます。グローバルIPアドレスを保有するSLB配下で公開サーバとユーザの操作と仮想デスクトップの通信を中継します。

専用の接続ツールのインストールは不要で、HTML5に対応している一般的なWebブラウザ、具体的にはGoogle ChromeやMicrosoft Edge、Firefox Browser等からGuacamoleにHTTPSでアクセスすると、Guacamoleが代理でMicrosoft RDPで仮想デスクトップに接続します。

なお、Guacamole自体はLinuxサーバへのSSH接続やVNC接続にも対応しているため、Linuxサーバ開発環境を保有している場合は、これらへの遠隔作業も統合できます。操作の録画機能も備えているため、業務システムや秘密情報へのアクセスの際の低価格な踏み台(Bastion)の役割としても利用できます。


f:id:sbc_kitano:20210910100132p:plain

 

Windowsデスクトップの画面転送(ストリーミング)においてHTTPプロキシに対応していないサービスも多い中、Remote Gatewayは画面転送もHTTPプロキシに対応していることが特徴としてあげられます。

在宅勤務でのテレワークと企業内からのオフィスワークで同一の仮想デスクトップにインターネット経由で接続する場合に、企業内ネットワークからインターネットへの接続にはHTTPプロキシが必須となっている企業は多くあります。プロキシを経由しない例外の通信経路の設定が難しい場合、画面転送のHTTPプロキシ機能が貢献します。

 

仮想デスクトップへの接続デバイスとして注目されるChromebook


 

Webブラウザでの仮想デスクトップへの接続は、専用アプリを必要としないため、ChromebookやiPad等の非Windowsのスマートデバイスからの接続にも適しています。

外出先やシェアオフィスなどの作業において、Web会議やチャット、メール等のコミュニケーションやスケジュールの管理、簡単な資料確認は、Microsoft 365やGoogle Workspace等のクラウドベースのグループウェアに対してスマートデバイスに対応したアプリから接続することができます。

一方でWindowsアプリが必須な業務は仮想デスクトップにオンデマンドに接続して作業することができるため、業務効率が非常に高いです。

 

f:id:sbc_kitano:20210913154519p:plain

 

昨今、特に注目されているのはChromebookです。特に教育向けではGIGAスクール構想における1台4万5000円と定められている価格にマッチしたこともあり、普及を後押ししたと言われています。テレワーク需要においても、Cloud Remote Desktopをご利用のお客様でもChromebookを社員に展開する企業が増えています。

Chromebookは、Googleのサービスの利用を前提としているため、データは原則としてGoogle Driveなどのクラウドストレージに格納する仕様になっています。

故障時等の交換においても管理者の負担が低く、シンクライアントに近い特性も評価されました。起動速度、バッテリ駆動時間、Androidアプリケーションの大半が利用できるなどのスマートフォンやタブレットに近い特性もシンクライアントを代替するに適しています。iPadも同様のメリットでシンクライアント代替が可能です。

Chromebookは、ノートPC型のデバイスも多く販売されているため、キーボード入力も良好な製品が多く、従来のWindows PCに近い操作感が得られることも支持されている理由になります。

従来の、Windows 10 IoT EnterpriseやLinux系の専用OSを利用する単なる画面転送とキーボードやマウスの入力装置として利用するシンクライアントは、FAT PCと価格が接近していることから割高の評価を受けることが多かったと思います。

Chromebookでは、標準でGoogle Chrome Remote Desktopでの遠隔のPCや仮想デスクトップ接続に対応しており、Google Workspaceを導入済みの企業ではGoogle Workspaceのデバイス管理機能やユーザ管理機能に統合できるメリットがあります。

ただし、Chromebookの集中管理を実現するためには、Chromebook Enterpriseへのアップグレードまたは対応している機種が必要で、概ね1台で2万円程度の追加コストが発生する点は注意が必要です。

弊社の提供するCloud Remote Gatewayでの接続はWindows PC、Mac、Chrombook、iPadやAndroidタブレット、シンクライアント(ブラウザ起動対応機種)等の多様なデバイスを採用する企業に適しています。

 

HTML5で動作するCloud Remote Gatewayの操作性


 

Cloud Remote Gatewayの操作性について、Chromebookでの例を追っていきます。

まず、Google Chromeからログイン画面のURLにHTTPSで接続します。SSL/TLSで暗号化されていることから原則VPNを利用する必要はありません。Guacamoleで実装されたログイン画面が表示されたらIDとパスワードを入力します。

 

f:id:sbc_kitano:20210910094555p:plain


GuacamoleはTOTP(タイムベースワンタイムパスワード)に対応しているため、スマートフォンからワンタイムパスワードを入力します。初回ログイン時は、TOTPのセットアップが求められます。一般的にはスマートフォンに導入したGoogle Authenticatorが利用されると思います。

インターネットに面したログイン画面であるため、多要素認証を実現することで、ブルートフォース攻撃やパスワードの漏洩に対する対処がなされており、IDパスワードという知識とTOTPの所有の二要素・二段階で確実に本人を認証します。

在宅勤務での利用を想定すると接続元のIPアドレスでの制限は難しく、多要素・多段階の認証は必須と言えるでしょう。

 

f:id:sbc_kitano:20210910094816p:plain

 

ログイン後は、接続可能な仮想デスクトップが表示され、クリックすれば普段利用している仮想デスクトップに簡単に接続できます。WindowsへのログオンIDとパスワードを設定しておくことで、簡易なSSOログインを実現することも可能です。

手動でのID/パスワードを入力とすることで合計三段階の認証とすることも可能なのですが、Remote GatewayでモバイルデバイスでのWebブラウザ接続の利便性を享受するためには、通信の一時的な切断やブラウザを閉じてしまった、あるいはスマートデバイスの開閉等で一時的なスリープが発生した後に速やかに作業を再開できるよう自動ログインを構成した方が利便性は高いでしょう。

Windowsの認証が成功すれば、仮想デスクトップが表示されます。

 

f:id:sbc_kitano:20210910094854p:plain

 

〈デュアルモニタの活用がポイント〉

実際の利用においてはブラウザのフルスクリーン機能で、画面を占有して利用することでローカルPCを操作している感覚で操作ができます。Google Chromeのフルスクリーン操作は意外と手動で実施したことがないという声も聞かれるのですが、右上のボタンからズームの右端にある四角記号をクリックします。なお、Chromebookのキーボードにもフルスクリーンキーがあり、フルスクリーン化と解除ができます。

また、背景については単色にしておいた方が若干通信量は少なくなるため、外出時等はこだわりがなければ単色の背景がより快適になると思います。

 

f:id:sbc_kitano:20210910095031p:plain

 

〈画質と混同されやすい解像度設定の不一致〉

解像度は投影するモニタの解像度と仮想デスクトップの解像度を一致させる必要があります。Guacamoleの機能で通常は自動的に一致します。フルスクリーンにして操作することで、Windowsデバイスを直接操作しているような感覚で操作が可能です。

なお、Chrome Remote Desktopでは接続先で選択可能な解像度に縛られるため、ローカルの解像度と接続先の仮想デスクトップの解像度を一致させられない制約があります。ローカルデバイスの液晶モニタはFull HD 1920×1080のデバイスが無難になります。デスクトップPCでは、WQHD 2560×1440の解像度を採用するものも多いですが、接続先は1920×1080で接続することになります。4Kの3840×2160の選択は可能です。

弊社が提供するCloud Remote Desktopについては、いずれのローカル端末の解像度においても対応しています。

Chromebookではほとんどの機種で一般的なPCやMacと同様に、HDMIまたはUSB Type-Cで外部モニタ出力によるデュアルモニタに対応しているため、大型のモニタに出力して利用することが可能です。昨今はフルHD以上のモニタも安価で在宅環境用に購入している方も多いと思います。Chromebookの選定の際には、外部モニタ出力の解像度が十分かはチェックする必要があります。

また、内蔵モニタと外部出力のモニタを最適に設定するため、Chromebook側の設定はミラーリングを解除し、それぞれ独立してモニタ推奨の解像度を設定します。

 

f:id:sbc_kitano:20210910095227p:plain

 

また、接続先でCtrl+Alt+Shiftを入力するとオプションメニューが開きます。ここで「自動的にブラウザのサイズに合わせる」の機能をオンとすることを推奨します。設定しても解像度が自動で一致しなかった場合、ブラウザのリロードボタンか、URLバーでEnterを入力でWebブラウザをリロードすれば、仮想デスクトップにログインしたまま解像度が調整されます。もし、解像度が精細すぎる場合は、+ボタンで調整します。

 

f:id:sbc_kitano:20210910095248p:plain

 

モニタが推奨解像度で設定され、仮想ブラウザがフルスクリーンであり、かつ自動的にブラウザのサイズに合わせるが有効であれば、モニタの推奨解像度で仮想デスクトップが表示され、私が利用しているIdea Pad Duetのサブモニタ環境では1440×900という少々中途半端な解像度ですが、下記のように最適化されて表示されます。

 

f:id:sbc_kitano:20210910095305p:plain

 

なお、Windows 365の販売開始でWebブラウザでの仮想デスクトップ接続があらためて注目される中、いくつかのサイトで仮想デスクトップサービス間や接続方式の比較検証がされていますが、一部の記事で画質等の比較項目があることに気が付きました。低価格のサービスやブラウザで接続するタイプのサービスは画質が劣り、文字がぼやけているという評価になっていることがあるようです。

仮想デスクトップサービスはサービス側の物理的なグラフィック環境制約を受けるものではなく、仮想的に処理されているものですで、おそらく接続元PCやブラウザやクライアントソフトウェアの解像度を適切に設定されていないことで、低い解像度で設定したデスクトップを大きな解像度のモニタで表示していることが原因と想像されます。

従来のWindows付属の「リモートデスクトップ接続ツール」ではウインドウ小さく表示されるか、最大化しても表示解像度以上はウインドウが拡大されず、解像度が一致していないことが一目瞭然であったのに比べ、ブラウザ接続では拡大表示してしまうために画質の問題と誤解してしまっているようです。

ただし、静止画が良好な状況で、動画閲覧のみブロックノイズやコマ送りの事象がでるようであれば、ネットワークの帯域を確認してみる必要があるでしょう。

また、内部的にRDPプロトコルを利用していない独自の画面転送方式では、先述の通り仮想デスクトップのWindowsの解像度をローカルのモニタ解像度と一致させられないことがあり、この場合は不鮮明な映像となります。この観点では、Cloud Remote Gatewayは心配ありません。

 

Web会議はローカルデバイスの活用を


 

Remote Gatewayは音声の入出力に対応していますので、動画・音声を再生したり、Web会議などを行うことも可能です。ただし、ローカル端末のWebカメラのリダイレクトには対応していないため、Chromebook等ローカルデバイスのカメラを利用して仮想デスクトップ上でカメラ映像を投影することはできません。

カメラ映像は1.5Mbps~3Mbps程度になることがあり、これをインターネット経由で仮想デスクトップのクラウドネットワークに送信してから、再びインターネット経由でWeb会議のクラウドサービスに転送する通信経路は非効率で、遅延の原因になります。さらにアップロード方向のトラフィックは多くのパブリッククラウドでは従量課金(または帯域制限による固定費契約)されるため、本サービスにかかわらず、Web会議への参加はローカルデバイスから家庭のWi-Fiや4G/5Gの回線での参加が通信およびコストの面でリーズナブルでしょう。

ローカルデバイスへの資料の持ち出しを禁止している組織の場合は、業務で利用しているファイル等資料の投影のために、仮想デスクトップでもWeb会議へログインしておき、投影することで、秘密情報をローカルデバイスに持ち出す必要もなくなります。

f:id:sbc_kitano:20210910095736p:plain

Remote Gatewayが採用しているGuacamoleには、一つ欠点があり、Windows PCのブラウザから接続した場合、仮想デスクトップをフルスクリーンで操作している場合でも、Windowsキーと日本語変換のON/OFF操作をおこなうと、ローカルのOSが特殊キーとして扱って、仮想デスクトップのWindowsメニューではなく、ローカルのWindowsのWindowsメニューが表示され、日本語変換もローカルのWindowsの日本語変換がON/OFFされます。これについては、IMEのショートカット設定で別のキーをアサインすることで回避できます。

私はLiunxをデスクトップとして利用する場合にIME ON/OFFとなるCtrl+SpaceでのIME ON/OFFをアサインしています。また、Ctrl+Alt+DeleteはCtrl+Alt+Endで代用されます。

 

特殊キーの扱いに関する国内の取り組み


 

特殊キーの制約に関しては、非常に興味深い活動があります。IPAと連携してNTT東日本が実証実験として無償で公開している「IPA シン・テレワークシステム」があります。コロナ禍においてシンクライアントや仮想デスクトップ、VPN等の導入が間に合わない利用者のために提供されています。

この取り組みはオフィスの自分のWindows PCに自宅のクライアントから接続する仕組みで、VPNサーバも不要であり、ファイアウォールの開放も最小限で済むよう中継サーバも用意されています。特に「HTML5 版 Web クライアント」はMacやChromebookからの接続に対応しています。認証方式も、
AD認証、RADIUS認証、をはじめとする多様な認証方式や国内ユーザや企業向けの機能が実装されています。

「HTML5 版 Web クライアント」は弊社で提供しているCloud Remote Gatewayと同様にApache Guacamoleをベースとしており、特筆すべきは、Windows端末でブラウザ接続から接続した際にWindowsキー、IMEのON/OFF、Ctrl+Alt+Deleteがローカル端末に反応してしまう問題を解決するために、専用のショートカットキーを実装している点です。特に全角/半角キーについてはWindowsデスクトップにフォーカスしているときは、接続先のIMEのON/OFFをする動作をおこなっています。

 

f:id:sbc_kitano:20210910095842p:plain
〈HTML5 版 Web クライアントの特殊キーの扱い〉

接続時のフルスクリーン機能や解像度の自動調整等、ブラウザ上で、Windows標準の「リモートデスクトップ接続」に近い操作感を実現しています。リモートデスクトップ接続に慣れ親しんだ経験者はWebブラウザでのデスクトップ接続に違和感を受けることがあり、特に特殊キーの扱いについて短期間で実装されたことは称賛したいと思います。Apache Guacamoleに対する改善については、広く多くのユーザが利用できるようなコントリビュートを期待しています。

なお、弊社のCloud Remote Desktopについては、シン・テレワークシステムを利用した接続も対応可能で、オフィスのWindows PCへの接続のみならず、仮想デスクトップとの併用、あるいは移行を検討されている場合はご検討いただければと思います。

 

オフィスのWindows PCへのリモートデスクトップ接続のデメリット


 

オフィスのWindows PCへリモートデスクトップ接続するソリューションは、初期投資コストが低いことが特徴です。また、開発用等ハイスペックなPC、ワークステーションを導入済みの企業でも利用されています。ただし、物理的なPCをオフィスで仮想させ続けることでいくつかのデメリットがあります。

・24時間稼働させておく必要があり、PCの廃熱で空調コストが増加
・スケジュール運転のためには、Wakeup on LANの仕組みなどネットワークの対応が必要、起動失敗リスク
・PCの配布や修理等の管理者負担が軽減されない
・テレワークが進捗してもオフィスのフリーアドレス化を阻害
・OSフリーズ、PC故障、天災による停電や法定停電時にオフィスに出社して対応が必要
・物理的な盗難や破壊のリスク
・方式によっては、リモートからの音声再生時も物理的なスピーカーから音声が再生される(イヤフォンやダミーのプラグの接続が必要)

一方、仮想デスクトップでは、上記のようなデメリットはなく、さらにクラウドならではの特性としてCPUやメモリ、ディスク等の性能・容量の増減が容易です。また、スナップショット機能により低コストでバックアップ機能を導入することができるなどメリットがあります。

このように、オフィスへPCを設置し続けることは、コスト、セキュリティのデメリットがあり、特にPCリプレースのタイミングでは、仮想デスクトップを検討することを推奨したいと思います。


ハイスペック環境の従量課金利用


 

開発者向けの用途においても、スマートデバイスから従量課金で契約するハイスペックの仮想デスクトップを必要な時だけ起動して、少ないコストで開発をおこなう利用方法あります。Cloud Remote Desktopでは、16vCPU、メモリ32GBといったワークステーションを凌駕するようなスペックの利用も可能であり、例えばDockerでのシステムの開発に向いた構成も従量課金で低価格で活用することができます。

Cloud Remote Desktopの仮想デスクトップスペック

  vCPU メモリ システムディスク データディスク
最小 2 2GB 40GB 20GB
最大 16 32GB 500GB 32,768GB

 

接続プロトコルとしては、Cloud Remote Gateway(powered by Apache Guacamole)、Microsoft RDP、Google Chrome Remote Desktopと幅広い接続デバイスと多様なネットワーク環境に対応するため、複数の接続方式に対応しています。スマートデバイスで業務のコミュニケーションをおこない、Cloud Remote Gatewayで開発環境にアクセスして開発をおこなう。必要に応じて外部ディスプレイ出力で大画面表示するといった使い方はエンジニアにも高い機動性と生産性を提供することと思います。

今回は、Webブラウザで仮想デスクトップを接続する際のメリットや注意点、さらに注目されるChromebook等のデバイス接続した際の注意点、そして関連する国内の動向についてご紹介しました。

2020年からコロナ禍で強制的に始まった働き方の変化は、大きな生産性向上を持たしており、不可逆なものとして、企業がかつての非効率なオフィスワークに後退することはないでしょう。ChromebookやiPad等の非Windowsのスマートデバイスの活用と、必要な時だけ必要なスペックでWindows特化の業務をおこなう仮想デスクトップサービスは、ハイブリッドなワークプレースとして位置づけられていくことでしょう。

 

Cloud Remote Desktop

 

〈関連記事〉

 

f:id:sbc_kitano:20210108181028j:plain

西澤 和正SBクラウド株式会社
クラウド技術統括部 技術部 部長

大手SIer現場での設計・構築経験を経て、エンタープライズや自治体向けにセキュアなプライベートクラウド基盤やワークプレース系ソリューションを提供してきた。SBクラウドでは、Alibaba Cloudを活用したセキュリティソリューションや低価格を実現する仮想デスクトップサービスの企画開発を通し、標準化・自動化への取り組みやリーンアジャイル型ソリューション開発の実践によりマルチクラウド時代のエンジニアリングサービスのモダン化に取り組んでいる。