「Remote Desktop Protocol」(RDP)を危険にしないための10カ条「RDP」を安全に利用する【後編】

「リモートデスクトップサービス」(RDP)を使って安全なリモートアクセスを実現するためには、何をすればよいのか。10個のベストプラクティスを紹介しよう。

2020年10月13日 05時00分 公開
[Michael CobbTechTarget]

 「Windows」の標準機能「Remote Desktop Protocol」(RDP:リモートデスクトッププロトコル)は、遠隔でPCを操作するために有効な手段だ。新型コロナウイルス感染症(COVID-19)対策で在宅勤務などのテレワークを実施する際に、社内LAN内で稼働する業務システムを利用する際の手段として、RDPの需要が広がっている。一方でそうした状況を攻撃者も狙っており、RDPを安全に使うための施策は企業にとって喫緊の課題だ。

 多様なサイバー攻撃手法、マルウェアの横行、脆弱(ぜいじゃく)性などのリスクを前にして、企業はRDPの仕組みを理解した上でセキュリティ対策を実施しなければならない。以下にROPのユーザー企業が導入を検討すべき、RDPセキュリティのベストプラクティスを列挙する。

RDPを安全に使う10カ条

会員登録(無料)が必要です
  1. 自動更新を有効にし、クライアントとサーバ両方について、最新バージョンを確実にインストールし、脆弱性を修正できるようにする
  2. 強力なパスワードおよび二段階認証の利用を義務付ける
  3. ログイン試行回数に上限を設けるなど、アカウントのロックアウトポリシーを導入してブルートフォース攻撃(総当たり攻撃)を防ぐ
  4. 利用するポートをデフォルトの3389番から別のポートに変更する
  5. 信頼できるエンドユーザーのIPアドレスのみがRDP用ポートにアクセスできるようにして、接続先も特定の信頼できるサーバに限定する
    • これにより許可リストの範囲外のIPアドレスからの接続を受け付けないようにする。
  6. RDP接続を確立する前に認証情報を交換する「ネットワークレベル認証」(NLA)により、RDPの利用を許可しているPCからの接続のみを許可する
    • この対策は、認証情報を傍受する「中間者攻撃」を防ぐ一助になる。
  7. RDPを利用できるのはリモートアクセスが必要な従業員のみとし、業務に必要な最小限の権限のみを付与する。
  8. VPN(仮想プライベートネットワーク)を利用して、リモートユーザーがPCをインターネットに接続させることなく、社内LANに安全にアクセスできるようにする
  9. RDPの利用状況を監視して、初めて見る挙動や普段と違う挙動、特にログインの失敗に対して警戒する
  10. サーバOS「Windows Server」の標準機能「Remote Desktop Gateway」(RD Gateway)を利用する
    • RD Gatewayは、複数のデバイスからサーバへの接続を仲介する単一のインタフェースだ。ログ記録やSSL/TLS証明書の管理、認証といったタスクを大幅に簡素化する。

 強力なパスワードポリシーや多段階認証を導入したとしても、決してインターネットから直接デスクトップに接続できるようにしてはならない。DoS(サービス妨害)攻撃を受けたり、不正ログイン試行によるユーザーアカウントのロックアウトが発生したりするリスクが高まるからだ。

 たとえRDPが必要ない場合でも、RDP接続用ポートの安全が保たれていることを定期的に確認するとよい。RDPはWindowsの標準機能だが「macOS」「iOS」「Linux」「Android」でも使用できるという認識も不可欠だ。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

新着ホワイトペーパー

技術文書・技術解説 アイティメディア広告企画

「適合させればそのまま使える」わけではないSIEMの運用、AIでどれだけ楽になる

SIEMは有用なセキュリティツールだが、運用においてチューニングが必要になることも多く、一度適合させればそのまま使えるというものではない。この問題を、AIはどのように解消するのか。AIOpsが果たす役割と利用時の注意点を解説する。

製品資料 サイバーソリューションズ株式会社

添付パスワードを分けても意味がない? PPAPのファイル送受信が安全でない理由

ファイル共有のセキュリティ対策として広く浸透している「PPAP」だが、昨今、その危険性が指摘され、PPAPを廃止する企業が急増している。PPAP問題とは何かを考えながら、“脱PPAP”を実践する2つのステップを紹介する。

製品資料 株式会社クオリティア

「脱PPAP」の3つの手段を比較、自社に合うアプローチをどう選ぶ?

PPAPのセキュリティリスクが指摘される中、「脱PPAP」の動きが加速している。その手段としては、「クラウドストレージを使う方法」「添付ファイル分離サービス」「TLS確認」3つが主に考えられるが、それぞれどのような特徴があるのか。

製品資料 株式会社クオリティア

失敗しない脱PPAPの勘所、主要な3つの代替手段から自社に適したものを選ぶ秘訣

多くの企業が、パスワード付きZIPファイルとパスワードをメールで別送する手法(PPAP)の代替手段を模索している。そこで本資料では、代表的な3つの手法の中から「TLS確認機能」のメリットを詳しく解説する。

製品資料 Utimaco Japan合同会社

実用化が迫る量子コンピュータ 技術革命とともに訪れる「量子脅威」への対策は

量子コンピュータの実用化が迫る中、既存の暗号化技術の脆弱性が危惧されるようになってきた。こうした中、量子脅威への対策として注目されるのが、「ポスト量子暗号(PQC)アルゴリズム」だ。その特長と、導入に向けた注意点を解説する。

アイティメディアからのお知らせ

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...