CAMEYO完全ガイド - ブラウザで実現する次世代アプリケーション配信ことはじめ：(3)アーキテクチャ編

第1章：はじめに

お疲れ様です。SKYこと関谷です。

CAMEYO（カメヨ、「メ」にアクセント） という VDA （バーチャル・デリバリー・アプリケーション）ソリューションですが、昨年６月に Google 社が買収をして、1年6ヶ月の沈黙を破り、とうとう GA しました！
正式には、CAMEYO by Google のようですが、このブログでは、便宜的に CAMEYO で統一させて頂きます。

(2)主要機能編に続く本回では、アーキテクチャ観点で深堀していきます。
なお、次回の後編では CAMEYO 実際の基本的な構築手順を解説する予定です。

他の関連投稿

• (1)CAMEYOの全体像とビジネス価値編
• (2)主要機能編

第2章：4コンポーネントの役割と連携

本章では、CAMEYO の技術アーキテクチャを詳しく解説します。4つの主要コンポーネントの役割を図解を交えながら説明します。

2.1 CAMEYO アーキテクチャの全体像

CAMEYO は、4つの主要コンポーネント で構成されるシンプルながら強力なアーキテクチャを採用しています。各コンポーネントが明確な役割を持ち、連携することで、ブラウザベースの仮想アプリケーション配信を実現します。

図1: CAMEYO の主要4コンポーネント構成（基本形概要版）

2.2 各コンポーネントの詳細

コンポーネント1: エンドユーザーデバイス（ブラウザ）

• 役割: ユーザーが仮想アプリケーションにアクセスするためのインターフェース
• 必要な要素:
  • HTML5 対応の Web ブラウザ（Chrome、Edge、Firefox、Safari など）
  • インターネット接続
  • 特別なクライアントソフトのインストールは不要
• 処理内容:
  • ユーザー入力（キーボード、マウス操作）を CAMEYO Platform に送信
  • CAMEYO Platform から受信した HTML5 ストリーミングを画面に表示
  • ローカルファイルのドラッグ & ドロップ、クリップボード操作をサポート

コンポーネント2: CAMEYO Admin Console（管理インターフェース）

• 役割:
  • 管理者が仮想アプリケーション配信環境を管理するための Web ベースコンソール
• アクセス方法:
  • Google Admin Console から: デバイス > Chrome > 仮想アプリ
  • 直接 URL: https://mycompany.cameyo.com（会社固有のサブドメイン）
• 主な機能:
  • Dashboard: リアルタイム統計とサーバー・アプリ監視
  • Apps: アプリケーションのインストール、公開、設定管理
  • Servers: Play Server の追加、接続、監視
  • Admin: ユーザー管理、ポータル設定、会社設定
• 認証:
  • Google: OAuth2.0
  • 他IdP: OIDC(OpenID Connect、大枠で言えば OAuth2.0 に認証を加えたスーパーセット)
    

コンポーネント3: CAMEYO Platform（制御・認証・配信）

• 役割:
  • CAMEYO の中核を担うクラウドベースのプラットフォーム
• 提供サービス:
  • 認証・認可: Google Workspace との統合、SSO、MFA 対応
  • セッション管理: ユーザーとアプリケーションセッションの制御
  • HTML5 変換: Windows アプリケーションの画面を HTML5 ストリーミングに変換
  • 配信制御: ネットワーク経由での効率的な配信
  • 監視・ログ: 使用状況の追跡とログ収集
• ホスティング:
  • Google が管理（ユーザーは管理不要）
• 特徴:
  • 高可用性・冗長性を持つクラウド基盤
  • 複数 Play Server 間コネクション自動分散(コネクションブローカ機能)
  • Play Server の自動スケーリング機能（後述の BYO クラウド: Elastic 構成にて）
  • グローバルな配信ネットワーク

コンポーネント4: Play Server（CAMEYO サービス）

• 役割:
  • Windows / Linux アプリケーションを実際に実行するサーバー
• 必要なソフトウェア:
  • OS: Windows Server 2019 以降（Windows アプリの場合。2025 はまだ未対応）
  • CAMEYO エージェントソフトウェア(軽量インストーラー)
• 設置場所の選択肢:
  • オンプレミス
  • サードパーティクラウド（AWS、Azure など）
  • Google Cloud (Platform)
• 処理内容:
  • Windows アプリケーションをマルチユーザー環境で実行（RDS）
  • ユーザー入力を受け取りアプリケーションに反映
  • アプリケーションの画面情報を CAMEYO Platform に送信（構成によってはエンドユーザデバイスへ直接送信）
• 接続方式:
  詳細は後述
  • 標準接続:
    • インバウンドポート開放が必要
  • Cloud Tunneling(私的な推奨):
    • インバウンドポート開放不要（アウトバウンドのみ必要）

図2: コンポーネント間の通信シーケンス ( Google の OAuth2.0 認証の場合)

2.3 コンポーネント間の連携の特徴

1. ステートレスなクライアント

ステートレスとは、クライアント（ブラウザ）側にアプリケーションの状態やデータが保存されないことを意味します。例えば、ブラウザを閉じても、Play Server 上ではアプリケーションが実行され続けており、再度ブラウザを開けば途中から再開できます。

• ブラウザにはアプリケーションの状態やデータが保存されない
• すべてのアプリ処理は Play Server 上で実行される
• ブラウザを閉じても、セッションは維持可能（設定次第）
• どのデバイスからでも同じ状態のアプリケーションにアクセス可能

2. セキュアな通信

• すべての通信は原則 HTTPS で暗号化される（標準接続時はサーバー証明書が別途必要）

3. 効率的なストリーミング

• 帯域幅の最適化により、モバイル等比較的低速回線でも利用可能
• エンドユーザデバイスと Play Server 間で直接通信が可能なネットワーク構造である場合、画面配信はエンドユーザデバイスと Play Server 間で直接行うことも可能(画面配信以外の通信はインターネット通信が必要)

4. 高可用性

• CAMEYO Platform は Google の冗長化されたインフラ上でサービス提供される
• Play Server は複数台構成でスケールアウト設定可能(構成により手動、自動が決まる)
• ユーザプロファイルに保存されるアプリの設定情報を Google Cloud Storage などに自動保管、復元設定が可能(デフォルトは無効)

第３章 構成パターン

本章では、CAMEYO の構成パターンについて、図解を交えながら説明します。

3.1 構成パターンの概要

CAMEYO は、Play Server の設置場所に応じて 「セルフホスト型」「BYOクラウド側」 という大枠として2つのデプロイメント方式を提供します。
さらに、Play Server の設置環境・自動構築機能ありなし・自動スケールありなし・Play Server への接続方式などの要素と、組織のニーズ・利用インフラ・セキュリティ要件に応じて最適な構成パターンを選択します。

図3: 構成パターン

3.2 デプロイメント方式

ここでは、大枠として２つのデプロイメント方式を学びます。

3.2.1 セルフホスト型

セルフホスト型は、下記のような特徴を持つ、管理者が自律的に構成し、保守管理するデプロイメント方式です。

• Windows Server とインターネットアクセス環境を準備すれば、Play Server の構築先は問わない
• Play Server を準備し、CAMEYO Agent ソフトウェアを導入して、Play Server を構築する
• コネクションブローカ機能あり（複数 Play Server 構成時の接続分散）
• 下記の管理機能 なし
  • 自動起動管理（アイドル時の Play Server 停止や停止している Play Server を自動起動）
  • 自動スケール管理（サーバ負荷に応じたサーバの自動追加、縮退）

セットアップの概要：

1. Play Server と周辺環境の準備

2. Play Server へ CAMEYO Agent ソフトのインストール

3. 接続方式の選択（後述）

   • 標準接続型 か Cloud Tunneling 型 を選択して設定

4. Play Server へアプリの導入

5. アプリをユーザへ配信

6. 動作確認

3.2.2 BYO Cloud (GCP) 型の詳細

BYO (Bring Your Own) とは、「自分のものを持ち込む」という意味で、この場合は組織が直接 Google Cloud（旧称: GCP = Google Cloud Platform ） や Azure と契約している領域を利用して、Play Server 環境を設置することを指します。

さらに、BYO クラウド型は、下記のような特徴を持つ、CAMEYO Platform が自律的に構成し、保守管理するデプロイメント方式です。

• CAMEYO Agent ソフトウェア導入を含めた、Play Server をワンタッチで構築する
• コネクションブローカ機能あり（複数 Play Server 構成時の接続分散）
• 下記の管理機能 あり
  • 自動起動管理（アイドル時の Play Server 停止や停止している Play Server を自動起動）
• さらに、 ELASTIC 構成を追加することで、下記の管理機能を追加可能
  • 自動スケール管理（サーバ負荷に応じたサーバの自動追加、縮退）
• Google Cloud と Azure のみで適用可能

セットアップの概要：

1. GCP サービスアカウントの作成

2. サービスアカウント JSON キーの生成

3. Compute Engine API の初期化

4. CAMEYO へのサービスアカウント JSON キー導入

5. CAMEYO Admin Console からサーバーの作成指示

6. クラウド仮想サーバスペック Capacity Level の設定

8. 接続方式の選択

   • 標準接続型 か Cloud Tunneling 型 を選択して設定

9. Play Server へアプリの導入

10. アプリをユーザへ配信

11. 動作確認

Google Cloud リソース管理の注意点：

BYO クラウド型でスケールアップする際は、Google Cloud のクォータ制限を確認する必要があります。

• IAM & Admin > Quotas で確認すべき項目:
  • CPUs: 合計 CPU 数（VM 台数ではなく CPU の総数）
  • Persistent Disk SSD / Standard: ディスク容量
  • Snapshots: スナップショット数
  • Static IP addresses: 固定 IP アドレス数

3.3 接続方式

Play Server から画面情報をエンドユーザデバイスへ配信する方式は大きく分けて２つ存在します。

3.3.1 標準接続

• エンドユーザデバイスから インターネットを経由して直接 Play Server へ接続する
• 通常の Web サーバ同様、Play Server へのインバウンドポート開放も必要
• HTTPSを利用して通信暗号化は可能だが、TLS サーバ証明書を入手し、Play Server へ組み込む必要がある
• Cloud Tunneling 方式よりも通信パフォーマンスが出やすい

3.3.2 Cloud Tunneling（私的な推奨）

• Cloud Tunneling は、複雑なファイアウォール設定を不要にする革新的な接続方式。
• Play Server へのインバウンドポート開放不要（アウトバウンドのみ必要）
• インターネットからの通信ポート開放が無いので、標準接続方式よりも安全
• NAT 環境下でも動作する
• Play Server とエンドユーザデバイス間に暗号化サーバ（サービス提供のため構築不要）が介在するため、通信パフォーマンス上不利

図4: Cloud Tunneling の通信フロー

3.3.3 ネイティブ Player での RDP 接続

CAMEYO には、独自の HTML5 ストリーミングの他にRDP（Remote Desktop Protocol）で直接接続できる機能も存在しています。これは、ストリーミング時の変換を入れないことで、よりパフォーマンスに特化したものです。ただし、この方法には、標準接続型の Windows 端末からのアクセスでのみ利用が可能で、 CAMEYO の意義（アプリインストール不要、OS に依存しない）が薄れてしまう ため、この執筆では現段階割愛します。

第４章 PLay Server 要件と容量設計の基本

4.1 最小システム要件

CAMEYO を動作させるための Play Server の最小要件と推奨要件は以下の通りです：

表1: Play Server の最小・推奨要件

4.2 容量設計の基本原則

CAMEYO の Play Server 容量設計は、 アプリケーションの種類と使い方 、 同時実行アプリ数 によって大きく変わります。

基本的な容量設計の式：

必要な CPU コア数 = サーバーあたりの同時実行アプリ数 × コア／アプリ比率 + OS 用 CPU コア数
必要なメモリ (GB) = サーバーあたりの同時実行アプリ数 × ユーザーあたりアプリメモリ + OS 用メモリ

容量設計方法の例：

例: 軽量なアプリ( Notepad 等)を 30 同時利用

CPU: 30 アプリ × 0.1 コア/アプリ + 1 コア(OS)  = 4 コア → 4 コア以上推奨
メモリ: 30 アプリ × 0.2 GB/アプリ + 8 GB (OS) = 23 GB → 24 GB 以上推奨

図5: 容量設計の思考フロー例

4.3 BYO クラウド型でのサーバスペック指定方法

BYO クラウド型では、CAMEYO 独自の指定方法として、第３章で説明した Capacity Level で指定します。
Google Cloud での対応インスタンスタイプはここの公式ヘルプを参照してください。
Azure は、こちらの公式ヘルプ。

4.4 容量設計その他の考慮事項

容量設計としてのその他考慮事項としては、
１台の Play Server には最大でも同時40アプリ実行（集約）程度までが私的な実感としての推奨です。
オンプレミス環境では、ある程度まではサーバ台数を増やすよりも１台のスペックを上げた方が合計スペックに対する費用対効果が良いため、なるべくサーバ台数を減らしたいところと思います。ですが、上記のような実感から、全体の同時アプリ実行能力を上げるためには、可能な範囲でサーバ台数を増やす水平スケール方針を採用することをお奨めします。
Play Server 1台あたりの Capacity Level やオンプレミスサーバースペックの決め方は、利用するアプリの実質利用CPU能力と必要メモリ量を同時実行アプリ数で乗じたリソース量に１つの OS システム動作リソースを追加したリソース量を参考とします。

また、必ず、PoC フェーズを挟み、自社の使い方でアプリを実行してアプリあたりのスペックを算出します。
ただし、POC での規模想定と必要な Play Server のスペック算出は困難であることが多いです。
この時点では、利用アプリの実態を把握することが最も重要なミッションとなります。
しかし、現実は予算などの要因によって制約があると思います。予算等でスペックを決めて、アプリ個々の利用を行い、そこで出来る範囲の集約率の検証にとどめ、本番見積もりのための材料とするのも進めるための１つの方法です。

4.5 アプリケーション集約率の向上案

CAMEYO は、仮想的なアプリケーションデリバリーソリューションではありますが、内部構造としては、アプリを１つ起動すると１つの一時ユーザーアカウントでWindowsへログオンが発生しています。つまり、アプリを２０個起動すると、裏では２０の Windows ユーザセッションが発生します。これは複数のアプリを同一の CAMEYO ユーザーが起動しても起動アプリの数の Windows ユーザカウントでのログオンが発生するということを示しています。

図6-1: CAMEYO ユーザと Windows ユーザの関係（各 CAMEYO ユーザが１つづつアプリ同時起動）

図6-2: CAMEYO ユーザと Windows ユーザの関係（１名の CAMEYO ユーザが複数のアプリ同時起動）

気づいた方もいると思いますが、この方式は、 ユーザログオンがアプリの起動都度発生（設定している場合は保存されたユーザプロファイル情報を復元する時間も）します。
加えて、ユーザログオン時に確保されるメモリ等のリソースも多くは無いながらも積みあがることが考えられ、集約率も落ちてしまう可能性があります。
こちらを打開する方法として、 TASKBAR という機能を利用すると、１つのアプリセッションを複数のアプリで利用できるようになります。（複数の CAMEYO ユーザアカウント間で共有することはできません）
最初に起動したアプリの下方にアプリランチャーのようなものが表示され、そこを起点に他のアプリを起動します。ウィンドウの中でアプリを切り替えて使う準デスクトップ利用のような形となります。
公式ヘルプに画像があるため、想像が出来るかと思います。

図6-3: CAMEYO ユーザと Windows ユーザの関係（１名の CAMEYO ユーザが TASKBAR を活用し複数のアプリ同時起動）

4.6 リソース拡張戦略

リソース拡張戦略としては、一般的に、 水平スケーリング（スケールアウト）戦略 と 垂直スケーリング（スケールアップ）戦略 があります。

前者は、アクティブな接続を維持したまま、Play Server を追加することが可能です。
BYO クラウド型では、ELASTIC とと呼ばれるオートスケール（CPU やメモリ等の指標を契機として自動拡張・縮退）構成も可能です。

後者は、セルフホスト型だけではなく、BYO クラウド型 でも手動での操作が必要で一時的にアクセスができなくなるため、原則採用しません。

4.7 容量監視と本番実装に向けたチューニング

CAMEYO では、Windows Server の標準ツール等を使ってリアルタイムに容量を監視し、本番環境見積もりの材料とします。
利用アプリについてある程度ナレッジがあったとしても、環境が異なれば利用ケースも変わってくるため、 PoC フェーズを設けることはとても大切です。
これは VDI / DaaS についても言えることではありますが、それらデスクトップとして提供する方式と異なり、CAMEYO は必要リソースが（大枠でいうと）アプリ単位として考えられます。そのため、デスクトップ利用時に必要なユーザーヒープ領域が不要であるため、集約率をあげることも可能です。ある反面、デスクトップよりも細かい単位でその１つ１つの見積もりが積み重なることから、必要なリソース総量へ直結してきます。

リアルタイム監視の方法：

Task Manager（タスクマネージャー）

• Admin Console から Play Server へ管理者としてデスクトップ接続して、タスクマネージャで各ユーザーの CPU、メモリ使用状況を確認

容量チューニングのベストプラクティス：

1. 段階的なスケールアップ

   • 少人数でテスト開始（使い所と、本番に向けたリソース計測）
   • 徐々にユーザー数を増やす
   • 各段階でパフォーマンスを測定

2. ピーク時間帯の特定

   • 業務時間の開始時（9:00〜10:00）
   • 昼休み明け（13:00〜14:00）
   • これらの時間帯の容量を基準に設計する
   • BYO クラウド型で構築している場合は、Elastic（オートスケール）も検討する（クラウド環境の課金が読みにくくなりますが、手間を最小限として最適化しやすくなります）

3. 余裕を持った設計

   • 計算値の 120〜130% のスペックを確保を推奨（重要度によってはさらに検討が必要）
   • 将来の拡張を見越した設計

4. 複数サーバーによる負荷分散

   • ユーザーが増えた場合は、サーバーを追加してスケールアウト
   • 単一サーバーの限界を超えないように設計

容量不足時の症状と対処：
容量不足かな？と思ったら下記のフローでチェック。

図7: 容量監視・チューニングのサイクル

第５章 セキュリティモデルの概要

5.1 CAMEYO のセキュリティ

CAMEYO は、多層防御（Defense in Depth） のセキュリティモデルを採用しています。

多層防御とは、複数の独立したセキュリティレイヤーを重ねることで、1つのレイヤーが破られても他のレイヤーで保護する考え方です。例えば、城が外壁、内壁、堀、門など複数の防御層を持つのと同じように、システムも複数の防御層で保護します。

各レイヤーで独立したセキュリティ対策を実施することで、包括的な保護を実現します。

図8: CAMEYO の多層防御セキュリティ

5.2 第1層: アクセス制御

OpenID Connect による SSO（シングルサインオン）に対応

• 仕組み: OpenID Connect にて SSO 連携。Google Workspace アカウントでは　OAuth2.0 にて連携。
• メリット:
  • パスワードの二重管理が不要
  • Google の強固な認証基盤を活用
  • ユーザーエクスペリエンスの向上（1回のログインで他サービスを含めた複数サービス利用）

MFA（多要素認証）の自動継承

• Google Authenticator、SMS、セキュリティキーなど、 Google Workspace の MFA 設定をそのまま活用

ユーザーグループベースの権限管理

• Google Workspace のグループを活用したきめ細かな権限制御
• アプリごとに特定のグループにのみアクセスを許可
• Restrictions 設定で以下を制御:
  • None: すべてのユーザーがアクセス可能
  • 特定のグループ: 指定した　Google Workspace か CAMEYO ローカルグループのメンバーのみアクセス可能

Google Workspace 統合

• コンテキストによるアクセス制御

図9: 認証フローと MFA の統合

5.3 第2層: 通信の暗号化

暗号化通信

• すべての CAMEYO コンポーネント間通信は 原則暗号化

• 中間者攻撃（Man-in-the-Middle Attack） からの保護
  • 中間者攻撃とは、通信の途中でデータを盗み見たり改ざんしたりする攻撃手法です
  • 通信の暗号化により、通信内容が第三者に読み取られることを防ぎます

エンドツーエンド暗号化

• ユーザーのブラウザから Play Server まで、経路全体が暗号化
• CAMEYO Platform を経由する際も、データは暗号化されたまま
• 平文データが外部に露出するリスクを最小化
• CAMEYO Admin Console のサブドメイン（mycompany.cameyo.comなど）には 有効な サーバー証明書が自動発行（実際は cameyo.com のワイルドカード証明書）
• 接続方式が Cloud Tunneling 型の場合は、Play Server と CAMEYO Platform や エンドユーザデバイス間との通信は自動暗号化
• 標準接続型の場合、Play Server にサーバー証明書が必要
• ブラウザの証明書警告が表示されない
• フィッシング攻撃からの保護

図10: エンドツーエンド暗号化の経路

5.4 第3層: データ分離

セッションごとのデータ分離

• 各ユーザーのセッションは Play Server 上で完全に分離
• ユーザー A のデータはユーザー B から見えない
• Play Server のマルチユーザーセッション技術を活用

クライアントにデータを残さない

• ブラウザ（クライアント）には 画面情報のみ が配信される
• アプリケーションのデータやファイルはブラウザに保存されない
• ブラウザのキャッシュやローカルストレージにもデータは残らない
• ユーザーデバイスの紛失・盗難時もデータ漏洩のリスクなし
• BYOD（Bring Your Own Device）環境でも安全
• ユーザセッションごとにユーザプロファイル（Play Server 内のユーザデータの格納領域）を削除
• ユーザデータ削除前に Cloud Storage に保管（一定の範囲のデータのみ保管して、ユーザプロファイルの肥大化を抑制）

図11: 一時ユーザのユーザプロファイルデータの保管と復元フロー

5.5 第4層: ネットワークセキュリティ

Cloud Tunneling のセキュリティメリット

• インバウンドポート開放が不要: 外部からの攻撃面を最小化
• アウトバウンド接続のみ: ファイアウォールで許可しやすい
• NAT 環境でも動作: 複雑なポート転送設定が不要

ファイアウォール制御

• 既存の企業ファイアウォールルールをそのまま活用
• Cloud Tunneling を使用する場合、追加のファイアウォール変更は不要
• 標準接続を使用する場合でも、最小限のポート開放で済む

IP 制限（オプション）

• 特定の IP アドレスまたは IP レンジからのみアクセスを許可可能
• オフィスネットワークや VPN 経由のアクセスに制限
• 管理者が Company 設定で指定

図12: ネットワークセキュリティのレイヤー

5.6 第5層: 監査とコンプライアンス

アクセスログ記録

• すべてのユーザーアクセスが記録される
• ログには以下が含まれる:
  • ユーザー名
  • アクセス日時
  • IP アドレス
  • アクセスしたアプリケーション
  • セッション時間

セッション履歴追跡

• Admin Console の Apps セクション > アプリ詳細ページで確認可能
• 各アプリの Activity log で過去の使用履歴を確認
• トラブルシューティングやコンプライアンス監査に利用

Event Viewer での詳細ログ

• Windows Server の Event Viewer で詳細なセッション情報を確認
• TerminalServices-LocalSessionManager ログでセッション開始・終了イベント
• TerminalServices-RemoteConnectionManager ログで接続詳細

5.7 セキュリティのベストプラクティス

推奨セキュリティ設定：

1. 強固なパスワードポリシー

   • Google Workspace のパスワードポリシーを厳格に設定
   • 定期的なパスワード変更を推奨（ただし強制は避ける）

2. 常に MFA を有効化

   • CAMEYO の認証に 組織 Google アカウント(Google Workspace) を利用する様に設定
   • Google Workspace で組織全体の MFA を強制

3. Cloud Tunneling を優先使用

   • インバウンドポート開放を避ける
   • 攻撃面を最小化

4. アプリごとに適切な権限設定

   • すべてのアプリを全ユーザーに公開しない
   • Google Workspace グループで細かく制御

5. 定期的なログレビュー

   • 異常なアクセスパターンを監視
   • 不正利用の早期発見

6. Windows Server のセキュリティ更新

   • 定期的な Windows Update の適用
   • セキュリティパッチの迅速な適用

7. IP 制限の活用

   • 必要に応じて特定ネットワークからのみアクセスを許可
   • VPN 経由のアクセスに限定

まとめ

本章では、CAMEYO の技術アーキテクチャを以下の4つの観点から詳しく解説しました：

1. 4コンポーネントの役割と連携: エンドユーザーデバイス（ブラウザ）、CAMEYO Admin Console、CAMEYO Platform、Play Server の4つのコンポーネントがどのように連携して仮想アプリケーション配信を実現するかを説明しました。各コンポーネントが明確な役割を持ち、HTML5 ストリーミング技術によってシームレスに統合されています。特に、「ステートレスなクライアント」という特徴により、ブラウザ側にデータを残さず、どのデバイスからでも同じ状態にアクセスできます。

2. デプロイメント選択肢の比較: セルフホスト型（オンプレミスまたはサードパーティクラウド）と BYO Cloud 型（Google Cloud Platform）の2つのデプロイメント方式を詳しく比較しました。それぞれのメリット・デメリット、セットアップ手順、適用シーンを理解することで、組織に最適な方式を選択できます。Cloud Tunneling を使用することで、複雑なファイアウォール設定なしにセキュアな接続を実現できる点が大きな利点です。

3. Windows Server 要件と容量設計: 最小システム要件（Windows Server 2019、2 CPUs、8GB RAM）から、アプリケーション種別ごとの容量設計の目安、監視・チューニング方法まで、実践的な容量設計の基礎を説明しました。軽量アプリでは 12 ユーザー/コア、標準的な業務アプリでは 6〜8 ユーザー/コア、3D アプリでは 1〜2 ユーザー/コアという具体的な目安が参考になります。Task Manager や Event Viewer を使った監視方法、容量不足時の症状と対処方法も実務で役立ちます。

4. セキュリティモデル: 多層防御のセキュリティモデルにより、アクセス制御、通信の暗号化、データ分離、ネットワークセキュリティ、監査・コンプライアンスの5つのレイヤーで包括的な保護を実現しています。特に、Google Workspace との深い統合により、MFA の自動継承やグループベースの権限管理が可能になり、セキュリティと管理効率を両立できます。

CAMEYO のアーキテクチャは、シンプルでありながら強力です。ブラウザベースの配信により、クライアント側の管理負荷を最小化し、Windows Server 上で集中管理することで、セキュリティと効率性を高めています。

次回の(4)基本構築手順編では、実際の基本的な導入手順について、ステップバイステップで解説予定です。

是非、購読頂けたら幸いです。ありがとうございました！

参照情報

本編で参照した主な Google 公式サポートページを記載します。

• ChromeOS and Cameyo
• Sign in to Cameyo
• Explore Cameyo Features
• Publish and Share Apps
• Modify App Settings
• Integrate with Google Workspace
• Set up a self-hosted server
• Set up a BYO cloud server
• Explore Cameyo features
• Integrate with Google Workspace
• Publish and share apps
• OAuth 2.0 の概要