テレワークのニーズが急増し、社外で業務を進められる環境構築を検討する企業が増えています。様々な方法があるなか、比較的容易に導入できるものとして挙げられるのが、リモートデスクトップです。これは社内の自席PCを自宅などから遠隔操作する方法ですが、社外から社内PCに接続することになるため、セキュリティリスクについても事前に考慮することが重要です。どのようなリスクがあるのか、導入時に考慮すべきポイントと、その対策について解説します。
リモートデスクトップ導入のメリットとリスク
SaaSが普及するなかで、インターネット経由での利用がメリットに
テレワークを進めるにあたっては、業務で利用するシステムやファイルに、社外からアクセスする環境が必要になります。その方法は複数ありますが、リモートデスクトップは、既存資産である社内PCを活かしてテレワーク環境を構築できること、またインターネット経由で利用できることがメリットです。
リモートデスクトップ以外の代表的な方法としては、VDI(仮想デスクトップ)がありますが、VDIは高額な初期投資が必要なものも多く、導入のハードルが高くなります。リモートデスクトップは社内PCをそのまま利用することで、VDIと比較して初期投資を抑えて導入できます。
もう1つ、社外から社内にVPN接続し業務システム・ファイルを利用する方法もありますが、この場合、インターネット上のSaaSなどに関してもVPNで社内を経由して利用することになり、トラフィックの集中・遅延が課題になります。そして、リモートデスクトップの場合、社内PCへの接続もすべてインターネット経由でおこなうため、「社内PCからしか利用できないものはリモートデスクトップ経由」「クラウド型Web会議ツールなどの重い通信はリモートデスクトップを経由せずに直接利用」と使い分けができ、快適なテレワーク環境を実現できます。今後もSaaS利用が拡大すると予想されるなかで、リモートデスクトップはこれからのニーズにマッチする方法と言えるでしょう。
注意すべきは、認証・データ流出への対策
リモートデスクトップでは、外部から社内PCへのアクセスを許可することになるため、当然セキュリティ対策は必須です。では、具体的にどういった点に注意しなければならないのでしょうか?
まず、一般的にリモートデスクトップではWindowsなどで利用される「RDP(Remote Desktop Protocol)」をベースに実現しますが、このRDPの脆弱性を悪用した攻撃が確認されています。そのため、こういった脆弱性対策を含め、強固なセキュリティ対策・運用をおこなっているリモートデスクトップサービスを選定することが重要です。
また、リモートデスクトップは不正アクセスの標的になりやすいため、認証の強化が欠かせません。ID・パスワードによる認証だけでは不十分であり、スマートフォンなどを活用した多要素認証が有効とされています。
さらに、リモートデスクトップの接続元として社員の私物PCなどを利用する場合は、社内PCからの情報持ち出しにも注意が必要です。機密情報をコピー&ペーストなどで簡単に持ち出すこともできてしまうため、どの操作をどこまで許可するのか、アクセスできる情報のレベルとあわせてポリシー作成・設定することをお勧めします。
セキュアなリモートデスクトップ環境を実現する「aslead Remote OSS」
コストを抑えて利用できるリモートデスクトップサービス
野村総合研究所(以下、NRI)が提供する「aslead Remote OSS」は、リモートアクセスのゲートウェイとして動作するOSSの「Apache Guacamole」をベースとした、リモートデスクトップサービスです。WordやExcel、PowerPointなどのOfficeアプリケーションを中心としたOA業務であれば十分快適に利用でき、OSSを活用することでコストを抑えて利用できることが特長。特に利用するユーザ数が多い場合に、高いコストパフォーマンスを実現します。
端末にデータが残らない。細かな設定で情報流出を防ぐ
OSSで懸念となる保守・運用も含めてNRIが提供し、脆弱性やサーバのセキュリティについても十分な対策を実現。社内PCの画面情報のみを転送するため、接続元となるPCにデータが残ることはなく、加えて通信を暗号化することで、通信経路上での盗聴・情報漏えいも防ぎます。もちろん、コピー&ペーストの禁止なども制御でき、外部への情報流出リスクを最小限に抑えます。
さらに、アクセスログの収集が可能で、「いつ・誰が・どの端末に」アクセスしたのかの記録を残し、万が一セキュリティ事故が発生した場合の原因究明に活用できます。
複数の対策を組み合わせて、情報を守る
「aslead Secure Access」と連携し、認証を強化
リモートデスクトップの認証については、既存のActive Directoryと連携することも可能ですが、上述のとおり、単純なIDとパスワードによる認証だけでは不十分です。多要素認証に対応した認証基盤の利用を強く推奨します。
「aslead Remote OSS」はすでに活用している認証基盤と連携することが可能です。OSSならではの高いカスタマイズ性を活かし、一般的な認証系サービスだけでなく、自社開発した認証システムとの連携にも対応できます。
また、ユーザ管理・認証を実現する「aslead Secure Access」も展開しており、リモートデスクトップから認証基盤までワンストップで提供することも可能です。「aslead Secure Access」は、AWSが提供する認証サービス「Amazon Cognito」を活用し、シングルサインオンや多要素認証、権限管理などの機能を提供。リモートデスクトップ利用時の認証強化をサポートします。Facebook、Google、Amazon、AppleといったメジャーなIDプロバイダに加え、SAML、OpenID Connectに対応。主要なアプリケーション・SaaSと連携でき、シングルサインオンの基盤としても活用できます。
多要素認証や、ほかクラウドを含めたシングルサインオンを実現
リモートデスクトップとあわせて認証基盤を整備し、ゼロトラストへの第一歩に
セキュリティ対策を進める上で、今注目を集めているのが「ゼロトラスト・セキュリティ」という考え方です。従来のように社内と社外を分け、社内は「信頼できる、守るべき対象」としてその境界で防御する、という対策ではなく、社内・社外を区切らず、「なにも信頼できない(=ゼロトラスト)」ことを前提にセキュリティ対策を行うというもの。クラウドの普及により守るべき情報が社外に存在するケースが増加したことに加え、コロナ禍でテレワーク導入が加速し、社外で業務を行う機会が増加したことも後押しし、今後のセキュリティ対策の主流になると考えられています。
この「ゼロトラスト・セキュリティ」の中核をなす要素の1つが認証です。なにも信頼できないなかで、どのアクセスを許可するかを判断するためにも、誰が・どこから・どのデバイスから・どのアプリケーションを利用しようとしているのか、などを確認し、アクセスを制御することが重要になるのです。
今後「ゼロトラスト・セキュリティ」を目指すためにも、「aslead Remote OSS」と「aslead Secure Access」など、リモートデスクトップ導入を機に、認証基盤まであわせて整えておくことをお勧めします。
aslead Remoteの導入支援なら、asleadにお任せください
asleadではセキュアなテレワーク環境を実現するaslead Remoteの導入実績を豊富に持っています。
お客様に合わせた最適なご提案をさせていただきますので、まずはお気軽にお問い合わせください。