テレワークが普及する中、自宅や外出先から会社のPCにアクセスできるリモートデスクトップ(RDP)の利用も増えています。
しかし便利な反面、適切なセキュリティ対策をしないとサイバー攻撃の格好の標的になり得ます。
ここでは、テレワーク環境でリモートデスクトップを使う際に注意すべき主なリスクと、その効果的な対策について初心者にもわかりやすく解説します。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
リモートデスクトップに潜むセキュリティリスク
-
RDPポートへの不正アクセス リモートデスクトップの標準ポート3389番をインターネット上に開放していると、攻撃者に狙われやすくなります。 事実、実験環境にRDPを公開したところ、わずか3時間で118回ものログイン試行が記録された例もあります。 攻撃者は世界中の端末をスキャンし、見つけたRDPポートに対して総当たり(ブルートフォース)攻撃でパスワードを破ろうとします。 そのため、初期設定のままインターネットに公開するのは非常に危険です。
-
ブルートフォース攻撃によるアカウント乗っ取り 簡単なパスワードや使い回しのパスワードを設定していると、総当たり攻撃でアカウントを乗っ取られるリスクが高まります。 一度不正ログインを許してしまうと、遠隔操作によって管理者権限を奪われたり、システム設定を変更されたりしかねません。 加えて、第三者に乗っ取られた端末は社内ネットワークへの踏み台にされ、他のシステムへの攻撃の足掛かりに利用される恐れもあります。
-
マルウェア感染・ランサムウェア被害 攻撃者が侵入に成功すると、標的のPCにマルウェア(ウイルスやスパイウェア等)を勝手にインストールされる危険があります。 特に近年はランサムウェア(身代金要求型ウイルス)の被害が深刻で、リモートデスクトップ経由で社内ネットワークに侵入しデータを暗号化するケースが報告されています。 実際、警察庁の調査によれば、ランサムウェア感染経路の約20%はリモートデスクトップ経由だったとされています。 このように、リモートデスクトップを安易に公開すると情報漏えいや業務停止といった重大な被害に直結しかねません。
以上のようなリスクを踏まえ、テレワークで安全にリモートデスクトップを利用するにはどんな対策が必要でしょうか。
次に具体的なセキュリティ対策を確認していきましょう。
リモートデスクトップのセキュリティ対策まとめ
リモートデスクトップ利用時のセキュリティを高めるために、有効な対策をいくつか紹介します。
どれも難しい操作は不要で、少し設定を加えるだけで安全性を大幅に向上できます。
1. RDPのポート番号を変更する
初期設定のポート番号「3389」は広く知られており、攻撃者はまずこの番号で開かれた機器を探します。
そのため、RDPのリスニングポートを別の番号に変更するだけでも、自動スキャンによる攻撃対象になりにくくなります。
実際、インターネット上には初期ポートのまま公開されているRDP対応機器が数多く存在すると報告されており、ポート変更は基本的な防御策のひとつです。
※ポート変更後は、新しい番号を知らないと接続できなくなるため、社内の利用者には周知しておきましょう。
2. 接続元のIPアドレスを制限する
リモートデスクトップのサーバー側で、許可した特定のIPアドレスからの接続のみ受け付ける設定にすることで、不特定多数からのアクセスを遮断できます。
例えば会社のオフィスの固定IPアドレスや、自宅回線のIPアドレスのみ許可すれば、それ以外の場所からの接続試行は拒否されます。
このIP制限により、攻撃者による不正アクセスの大部分を入口でブロック可能です。
ただし、自宅のネット回線など一般的なプロバイダでは契約者に固定IPが割り当てられないことも多く、接続元のIPが利用のたびに変わってしまうケースがあります。
その場合は次に述べるVPN接続や後述する固定IPサービスの活用で解決できます。
3. VPN経由で接続する
リモートデスクトップ用の通信をVPN(仮想プライベートネットワーク)経由に限定するのも効果的です。
VPNとはインターネット上に暗号化された「仮想の専用線」を作る仕組みで、社内ネットワークと手元のPCとの間に安全な通信経路を確立できます。
VPN経由のみリモート接続を許可する設定にすれば、インターネット上から直接RDPにアクセスできなくなるため、セキュリティが向上します。
加えて、VPN接続時にはユーザー認証(ID・パスワードや証明書の確認)が行われるため、VPNなしで直接RDPに接続する場合と比べて不正ログインのリスクを低減できます。
つまり、VPNはリモートデスクトップへの入り口にもう一段階鍵をかけるイメージです。
4. 多要素認証(MFA)を導入する
ログイン認証を多要素認証(MFA: Multi-Factor Authentication)に対応させることで、パスワードが漏えい・破られた場合でも第三者による不正ログインを防ぎやすくなります。
多要素認証とは、「知っている情報」+「持っているもの」(または「身体的特徴」)のように、性質の異なる2つ以上の要素を組み合わせて本人確認する仕組みです。
例えば通常のパスワード認証に加え、スマホアプリで生成されるワンタイムコードや指紋認証を要求するといった形です。
パスワード単体の認証では総当たり攻撃で突破される危険性がありますが、多要素認証を有効にすれば仮にパスワードが判明してもログインには別の要素が必要になるため、セキュリティを大幅に高められます。
最近のエンタープライズ向けリモートアクセス製品やクラウドサービスではMFA対応が一般的になっているので、積極的に活用しましょう。
以上の対策により、リモートデスクトップの安全性は格段に向上します。
中でも「接続元IPの制限+VPN利用」は、外部からの不正接続リスクを大幅に減らす決定打となります。
次章では、この「固定IPアドレス+VPN」による対策をもう少し詳しく見てみましょう。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
固定IPアドレス+VPNで限定公開:不正接続をシャットアウト
テレワーク先から安全に社内のリモートデスクトップに接続する最も効果的な方法の一つが、「固定IPアドレス+VPN」の組み合わせです。
これは、あらかじめ決めた特定の固定IPアドレスにしかRDP接続を許可せず、その固定IPを割り当てたVPN経由でのみアクセスする方法です。
外部の第三者はその固定IPを持たない限り接続自体できないため、事実上“鍵を持つ人だけが扉を開けられる”状態になります。
例えば、固定IPを使わずに自宅やカフェから社内PCへRDP接続しようとすると、接続元のIPアドレスが場所や通信環境によって毎回変わってしまいます。
そうなると都度その新しいIPアドレスをサーバー側に登録しなければならず非現実的ですし、登録漏れがあると接続できません。
一方、固定IPアドレスを付与するVPNサービスを利用すれば、ユーザーはどこにいても常に同じIPアドレスで社内にアクセスできます。
サーバー側ではその固定IPからの通信だけを許可しておけばよいため、利用者は自宅・カフェ・出張先など場所を問わずスムーズにリモートデスクトップ接続が可能になります。
しかも固定IP+VPN経由なら通信自体も暗号化されるため、公衆Wi-Fi経由でも盗聴や改ざんのリスクを減らせるという利点もあります。
このようにアクセス元を固定することは、リモートデスクトップのセキュリティ強化において現実的かつ効果絶大な一手です。
不特定多数からの攻撃を原理的にシャットアウトできるので、前述したブルートフォース攻撃や不正アクセスの大半を防ぐことができます。
特に中小規模の企業や個人のテレワーク環境では、専門的な高額ソリューションを導入せずとも、この「固定IP+VPN」の仕組みを取り入れるだけで飛躍的に安全性を高められるでしょう。
ロリポップ!固定IPアクセスで始める手軽なセキュリティ強化
とはいえ、「固定IPアドレスの確保」や「VPNの設定」と聞くと難しく感じる方もいるかもしれません。
しかし現在では、誰でも安価に固定IP+VPN環境を導入できるサービスがあります。
その一つがGMOペパボ社が提供するロリポップ!固定IPアクセスです。
このサービスを利用すると、オフィスはもちろん自宅やカフェからでも常に同じ固定IPアドレス経由で社内システムにアクセスできるようになります。
専用アプリ(VPNクライアント。プロトコルは高速なWireGuardを採用)に発行された設定ファイルを読み込むだけで、複雑な作業なしに接続を開始可能です。
利用料金も月額539円(税込)と非常にリーズナブルで業界最安級となっており、初めての固定IPにはハードルの低い選択肢でしょう。
しかも1つ目の固定IPアドレスは最大2ヶ月間の無料お試し期間が用意されているため、実際の効果や使い勝手を気軽に体験できます。
ロリポップ!固定IPアクセスを使えば、前述のとおり自宅・出先を問わず常に同一のIPで安全にリモートデスクトップ接続が可能となります。
社内のRDPホスト側ではこの固定IP以外からのアクセスを遮断できるため、セキュリティリスクを大幅に低減できます。
さらに、同じ固定IPをチームで共有すれば複数人での利用も可能で、アクセス元を一元管理することもできます。
低コストながら強力な防御策となる固定IP+VPNは、テレワークにおけるセキュリティ強化の現実的な第一歩として最適です。
🔒 まずは手軽に始められる対策から
リモートデスクトップの安全性に不安を感じている方は、ぜひ固定IP+VPNの導入を検討してみてください。
ロリポップ!固定IPアクセスなら設定も簡単で費用負担も少なく、今日からでも始められます。
詳しいサービス内容や申し込み方法は公式サイトの案内ページをご覧ください。
大切な業務データを守り、安心してテレワークを続けるためにも、できるところからセキュリティ強化に取り組んでいきましょう。
