Amazon WorkSpaces による仮想デスクトップ戦略 - VDI 移行の判断基準とコスト設計
Amazon WorkSpaces の料金モデル、プロトコル選択、ディレクトリ統合、セキュリティ設計を解説し、オンプレミス VDI からの移行判断基準とコスト最適化の実践手法を紹介します。
オンプレミス VDI が抱える構造的な問題
Citrix や VMware Horizon を中心としたオンプレミス VDI (Virtual Desktop Infrastructure) は、多くの企業で 10 年以上運用されてきましたが、構造的な問題が顕在化しています。第 1 に、ハードウェアのライフサイクル管理です。VDI サーバーは 3〜5 年で更改が必要で、数百台規模の VDI 環境では更改プロジェクトだけで数億円の投資と半年以上の期間を要します。第 2 に、ライセンスコストの肥大化です。Citrix Virtual Apps and Desktops のライセンスは 1 ユーザーあたり年間数万円で、1,000 ユーザー規模では年間数千万円のライセンス費用が発生します。第 3 に、リモートワーク対応の限界です。オンプレミス VDI はデータセンターのネットワーク帯域に依存するため、全社員が一斉にリモートアクセスするとパフォーマンスが劣化します。コロナ禍で多くの企業がこの問題に直面しました。Amazon WorkSpaces はこれらの問題を、AWS のグローバルインフラストラクチャ上で動作するマネージド VDI サービスとして解決します。
WorkSpaces の料金モデルと損益分岐点
WorkSpaces は月額固定料金と時間課金の 2 つの料金モデルを提供しています。月額固定料金は、Standard バンドル (2 vCPU、4GB メモリ、50GB ストレージ) で 1 台あたり月額 35 USD (us-east-1) です。時間課金は、同じ Standard バンドルで月額基本料金 9.75 USD + 利用 1 時間あたり 0.30 USD です。損益分岐点は月間約 84 時間 (9.75 + 0.30 × 84 ≈ 35) です。つまり、1 日 4 時間以上 (月 20 営業日で 80 時間以上) 利用するユーザーは月額固定、それ以下のユーザーは時間課金が有利です。実際の企業環境では、フルタイムの正社員は月額固定、パートタイムや派遣社員は時間課金、という使い分けが一般的です。さらに、WorkSpaces は AutoStop モードを提供しており、一定時間操作がないと自動的にシャットダウンし、次回アクセス時に自動起動します。時間課金と AutoStop を組み合わせれば、利用していない時間の課金を完全に排除できます。1,000 ユーザー規模で月額固定と時間課金を適切に使い分けると、全員を月額固定にする場合と比較して 20〜30% のコスト削減が見込めます。
プロトコル選択 - PCoIP と WSP の使い分け
WorkSpaces は PCoIP (PC over IP) と WSP (WorkSpaces Streaming Protocol) の 2 つのストリーミングプロトコルをサポートしています。PCoIP は Teradici が開発したプロトコルで、WorkSpaces の初期から提供されています。画質の安定性に優れ、特にグラフィック処理が多いワークロード (CAD、画像編集など) で高い品質を発揮します。WSP は AWS が独自開発したプロトコルで、2020 年から提供されています。WSP の最大の利点はネットワーク適応性です。帯域幅が変動する環境 (モバイル回線、海外からのアクセスなど) でも、動的にビットレートを調整して安定した操作感を維持します。また、WSP はウェブカメラのリダイレクト、スマートカードリダイレクト、マルチモニター (最大 4 台) をサポートしており、PCoIP よりも機能面で優位です。2024 年以降、AWS は WSP を推奨プロトコルとして位置づけており、新機能は WSP 優先で提供されています。新規導入では WSP を選択し、PCoIP は既存環境の互換性維持のためにのみ使用するのが合理的です。
ディレクトリ統合とセキュリティ設計
WorkSpaces のユーザー認証は Active Directory (AD) と統合されます。AWS Managed Microsoft AD を使用すれば、オンプレミスの AD と信頼関係を構築し、既存のユーザーアカウントとグループポリシーをそのまま WorkSpaces に適用できます。これにより、パスワードポリシー、画面ロック、USB デバイスの制御、クリップボードの制限などを、オンプレミスと同じグループポリシーで一元管理できます。セキュリティ設計で特に重要なのは、データの流出防止です。WorkSpaces はデフォルトでクリップボードのコピー & ペースト、ファイルのアップロード・ダウンロード、印刷を許可していますが、これらはすべてグループポリシーまたは WorkSpaces の管理設定で制限できます。金融機関や医療機関のように厳格なデータ管理が求められる環境では、クリップボードを無効化し、ローカルドライブのリダイレクトを禁止し、印刷を特定のネットワークプリンターに限定する設定が一般的です。さらに、WorkSpaces は IP アクセスコントロールグループで接続元の IP アドレスを制限でき、社内ネットワークまたは VPN 経由のアクセスのみを許可する構成も可能です。
移行判断のフレームワークと段階的アプローチ
オンプレミス VDI から WorkSpaces への移行は、全面移行ではなく段階的なアプローチが成功率を高めます。まず、パイロットフェーズとして 50〜100 ユーザーを WorkSpaces に移行し、パフォーマンス、ユーザー体験、運用プロセスを検証します。パイロットの対象は、IT 部門やリモートワーク比率の高い部門が適しています。技術的な問題を早期に発見でき、フィードバックも得やすいためです。パイロットで検証すべき項目は、ネットワークレイテンシ (100ms 以下が推奨)、アプリケーション互換性 (特に社内開発アプリケーション)、周辺機器の動作 (プリンター、スキャナー、USB トークン) の 3 点です。パイロットの結果を踏まえて、拡大フェーズでは部門単位で順次移行します。移行の優先順位は、VDI ハードウェアの更改時期が近い部門、リモートワーク比率が高い部門、セキュリティ要件が厳しい部門 (データの社外持ち出し禁止) の順に設定するのが合理的です。オンプレミス VDI のライセンス契約が残っている部門は、契約満了に合わせて移行することで、二重コストを最小化できます。仮想デスクトップの設計と運用を体系的に学ぶには、専門書籍 (Amazon)が参考になります。