リモートデスクトップとは、社内のPCのデスクトップ画面を、社外のPCに転送することで、遠隔地から操作できる技術です。
働き方改革やパンデミックの影響で、多くの企業でテレワークが導入されるなか、外部から手軽に社内のシステムを利用する方法として注目を集めています。
リモートアクセスは、離れた場所にあるPCやネットワークを利用することです。
VPNやVDIなどリモートアクセスを行う方法は複数あり、リモートデスクトップもその1つです。
リモートデスクトップ |
VPN |
VDI | |
---|---|---|---|
コスト |
◎ |
△ |
× |
セキュリティ |
△ |
〇 |
◎ |
社内ネットワークへの負荷 |
◎ |
× |
◎ |
社内データの通信・保存 |
〇 |
△ |
〇 |
リモートデスクトップは、社内のPCの画面情報を、作業するPCに転送して表示させるシステムです。
そのため、端末間で社内のデータを送受信することがなく、自宅のPCに保存する必要もないため、情報漏洩のリスクが小さくなります。
また、操作する側の端末は画面を表示するだけなので、自宅のPCやタブレットでも利用でき、端末のスペックに関わらず社内のPCと同様に作業可能です。
導入にあたっては、Windows やGoogle Chromeのリモートデスクトップ機能を無料で利用できます。しかしこれらの利用には、サイバー攻撃のターゲットにされやすいRDPポート(3389番)を開放する必要があるため、別途セキュリティ対策が必須です。
VPNはVirtual Private Networkの略称で、インターネット上に仮想の専用線を設置し、
特定の人だけが利用可能な専用のネットワークを作る技術を指します。
リモートデスクトップが遠隔地から社内の端末を操作する技術であるのに対し、VPNは社内ネットワークに接続する技術です。
導入時には、通信事業者が用意している専用のネットワークを利用する場合が多く、コストが高くなる傾向にあります。
VDIは「Virtual Desktop Infrastructure」の略で、サーバー上に構築した仮想のデスクトップを遠隔地から操作する技術です。
リモートデスクトップとよく似ていますが、接続先の端末が1人1台必要だったリモートデスクトップに対して、VDIは仮想デスクトップを利用するため、接続先に物理的なPCを必要としません。
またリモートデスクトップ同様に、端末間でデータのやり取りを直接行なわず、デスクトップの画面を利用するだけなので、情報漏洩のリスクが低くなります。
しかし、仮想デスクトップを一括して管理するためのサーバーが必要となるため、導入コストが高くなります。
VPNやVDIに比べて手軽に導入できるリモートデスクトップですが、Windows やGoogle Chromeの無料機能で利用する場合には、インターネット経由の接続にRDPポート(3389番)を開放する点がセキュリティ上の課題となります。
3389番ポートを悪用する代表的なマルウェアは、PC上で 3389番ポートのポートスキャンを行い、リモートデスクトップ接続が可能なネットワーク上の別のPCを探索します。対象のPCを発見すると不正にログインを試み、ログインに成功すると、同様の感染活動を繰り返す、という手順で感染を拡大させます。
そのためリモートデスクトップ導入にあたっては、多要素認証やアクセス管理 によるセキュリティの強化が必要になります。
多要素認証(MFA:Multi-Factor Authentication )は、IDとパスワードでの認証に加えて、指紋などユーザーに固有の生体情報や、SMSやQRコードなど複数の端末を利用した認証方法を組み合わせることで、セキュリティをより堅牢なものにする機能です。
多要素認証が設定されていれば、万が一リモートデスクトップ中のPCがマルウェアに発見されたとしても、当該PCへのログインをブロックすることができます。
アクセス管理とは、組織内のデータやクラウドサービスへのアクセス権の範囲を管理者が制御することを指します。
ユーザーID単位でのアクセス制御のほか、特定のIPアドレスやネットワークからのアクセス以外を禁止することができるため、リモートデスクトップをターゲットにした外部からの不正アクセスを防ぐことができます。
Freshserviceは、ITIL準拠のサービスデスクツールです。
IT資産管理 、インシデント管理 などに対応した充実のサービスデスク機能に加え、多要素認証とアクセスコントロール機能を備えています。
無料のリモートデスクトップツールとfreshserviceを組み合わせるだけで、堅牢なセキュリティ環境を構築できます。
スマートフォンでのQRコードの読取りを利用した多要素認証を設定可能で、安全なログインを素早く行うことができます。
リモートデスクトップを利用する端末に対しては多要素認証を必須にすることで、マルウェアの侵入を防ぐことができます。
登録したIPアドレスからのみログインを許可。
IPアドレスの登録は無制限に行えるため、必要なユーザー全てがログイン可能です。
また、アカウントの役割ごとにアクセス可能な範囲を設定すれば、ユーザーに役割を割り当てるだけで、適切なアクセスコントロールが自動で行えます。
リモートデスクトップ利用が想定される端末に対してはログインできるユーザーを制限することで、セキュリティリスクを最小限に抑える事が可能です。
Sorry, our deep-dive didn’t help. Please try a different search term.