「Remote Desktop Protocol」（RDP）を危険にしないための10カ条：「RDP」を安全に利用する【後編】

「リモートデスクトップサービス」（RDP）を使って安全なリモートアクセスを実現するためには、何をすればよいのか。10個のベストプラクティスを紹介しよう。

[Michael Cobb，TechTarget]

　「Windows」の標準機能「Remote Desktop Protocol」（RDP：リモートデスクトッププロトコル）は、遠隔でPCを操作するために有効な手段だ。新型コロナウイルス感染症（COVID-19）対策で在宅勤務などのテレワークを実施する際に、社内LAN内で稼働する業務システムを利用する際の手段として、RDPの需要が広がっている。一方でそうした状況を攻撃者も狙っており、RDPを安全に使うための施策は企業にとって喫緊の課題だ。

　多様なサイバー攻撃手法、マルウェアの横行、脆弱（ぜいじゃく）性などのリスクを前にして、企業はRDPの仕組みを理解した上でセキュリティ対策を実施しなければならない。以下にROPのユーザー企業が導入を検討すべき、RDPセキュリティのベストプラクティスを列挙する。

RDPを安全に使う10カ条

1. 自動更新を有効にし、クライアントとサーバ両方について、最新バージョンを確実にインストールし、脆弱性を修正できるようにする
2. 強力なパスワードおよび二段階認証の利用を義務付ける
3. ログイン試行回数に上限を設けるなど、アカウントのロックアウトポリシーを導入してブルートフォース攻撃（総当たり攻撃）を防ぐ
4. 利用するポートをデフォルトの3389番から別のポートに変更する
5. 信頼できるエンドユーザーのIPアドレスのみがRDP用ポートにアクセスできるようにして、接続先も特定の信頼できるサーバに限定する
   • これにより許可リストの範囲外のIPアドレスからの接続を受け付けないようにする。
6. RDP接続を確立する前に認証情報を交換する「ネットワークレベル認証」（NLA）により、RDPの利用を許可しているPCからの接続のみを許可する
   • この対策は、認証情報を傍受する「中間者攻撃」を防ぐ一助になる。
7. RDPを利用できるのはリモートアクセスが必要な従業員のみとし、業務に必要な最小限の権限のみを付与する。
8. VPN（仮想プライベートネットワーク）を利用して、リモートユーザーがPCをインターネットに接続させることなく、社内LANに安全にアクセスできるようにする
9. RDPの利用状況を監視して、初めて見る挙動や普段と違う挙動、特にログインの失敗に対して警戒する
10. サーバOS「Windows Server」の標準機能「Remote Desktop Gateway」（RD Gateway）を利用する
    • RD Gatewayは、複数のデバイスからサーバへの接続を仲介する単一のインタフェースだ。ログ記録やSSL/TLS証明書の管理、認証といったタスクを大幅に簡素化する。

併せて読みたいお薦め記事

RDPの脆弱性

• Windows「RDP」の脆弱性が「Hyper-V」に影響か　VMからホストを攻撃可能に
• WindowsのRDP脆弱性「BlueKeep」の悪用例をついに観測　その影響は

リモートデスクトップ運用のヒント

• 「VDI」「RDS」の違いは？　クライアント仮想化の2大手段を比較
• 「リモートデスクトップがつながらない」を解決する5つの対策
• 「リモートアクセス」「リモートデスクトップ」はバックアップにどう役立つ？

　強力なパスワードポリシーや多段階認証を導入したとしても、決してインターネットから直接デスクトップに接続できるようにしてはならない。DoS（サービス妨害）攻撃を受けたり、不正ログイン試行によるユーザーアカウントのロックアウトが発生したりするリスクが高まるからだ。

　たとえRDPが必要ない場合でも、RDP接続用ポートの安全が保たれていることを定期的に確認するとよい。RDPはWindowsの標準機能だが「macOS」「iOS」「Linux」「Android」でも使用できるという認識も不可欠だ。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。