連載
» 2020年07月14日 07時00分 公開

半径300メートルのIT:「リモートデスクトップ」試してみた 本当にテレワーク時代の救世主なのか?

テレワーク時代に活用が期待される「リモートデスクトップ」、離れた場所から自社組織のPCにアクセスできるのは非常に便利なはずなのですが、実際に試してると「安易な利用は、ちょっと怖い」ものでした。企業ユースであれば、何らかの有料ツールを使うべきでしょう。大企業は既に対応済みだと思いますが、さて、それ以外は……?

[宮田健,ITmedia]

 普段はmacOS端末で仕事をしていますが、先日勉強のため(?)小さなWindowsのデスクトップ端末を手に入れました。テレビのHDMI端子につないでセットアップしようとしたものの手元にはUSBキーボードすらなく、急いで近所の電器屋に買いに行く始末です。

 この小さなデスクトップ端末で最初に着手したのは、別途用意した「Windows 10 Pro」のライセンスを有効にし「リモートデスクトップ機能」をオンにすること。リモートデスクトップが使えれば、モニターもキーボードも接続することなく、普段使いのmacOS端末からも、「iPad」や「iPhone」からもWindows端末が操作できます。自宅の中で利用してみたところ、ほとんどローカル端末の感覚でWindowsが操作できて大変便利になりました。

macOSのウィンドウの1つがWindows 10に。仮想環境ではなくリモートデスクトップを利用している

 新型コロナウイルス感染症(COVID-19)の影響でリモートワークを強いられている方にとって、リモートデスクトップは非常に心強いものです。この方法で、自宅から会社のPCを操作している方もいるかもしれません。仮想環境よりも速く動きますし、環境が完全に分離しているためセキュリティ的にも安心できます。

セキュアでサクサク、便利だけれど……

 セキュリティベンダーのラックは「Withコロナ時代の7つのサイバーリスク」の中で、自宅ネットワーク環境やBYODを標的としたサイバー攻撃に注意を呼びかけています。同社は特にBYODにおける利用に関して「業務用に特化したリモートデスクトップツール」を推奨しています。

 しかし実際にやってみて、改めて認識したのは「簡単ではないな」という点です。

 自宅の中での利用は簡単ですが、外出先からスマートデバイスで利用できればなお便利です。企業がリモートデスクトップを利用したい理由も、主に「会社の外からの操作」を想定しているためでしょう。その場合、インターネット経由で端末を接続する必要があります。

 インターネット経由リモートデスクトップを有効にする場合、RDPのポート(3389番)を開放する必要があります。しかしポート3389番はサイバー犯罪のターゲットにされやすく、2019年5月には同ポートに関わる脆弱(ぜいじゃく)性「BlueKeep」が大きな話題となりました。この脆弱性を悪用されると、ポート3389番からリモートでコードを実行される恐れがあります。感染の挙動はかつて猛威を振るった「WannaCry」に似ており、ユーザーが何もしなくても、ポートが開いているだけで悪用できてしまいます。インターネット経由でのRDP利用には、かなりしっかりとした脆弱性対策が不可欠になるでしょう。

 WannaCryの悪夢が再び? 脆弱性「BlueKeep」は約100万台に存在 - ITmedia エンタープライズ

 そして「Windows 10」のリモートデスクトップは、IDとパスワードのみでログインできてしまう点にも注意が必要です。仕事で利用しているWindows端末のIDは、あなたの仕事用のメールアドレスではないでしょうか? その場合、攻撃者はパスワードさえ総当たりで探せば認証が突破できてしまいます。「接続元のIPアドレスを固定にする」「範囲指定で許可する」といった対策も可能ですが、自宅から会社に接続する場合に「自宅に固定IPを用意できない」「IPアドレスの範囲指定では完全な対応にならない」といった問題は残ります。

 そうなると、各種ベンダーが提供する、Windows 10のリモートデスクトップ認証を強化するソリューションが追加で必要になるかもしれません。認証機能が強化された他社製品の利用を検討するべきかもしれません。

 それでも、どうしてもWindowsのリモートデスクトップを使いたい場合は、3389番のポートはインターネット側に開けず、それとは別にVPNを利用した安全なアクセス経路を確保してから利用するといった対策が必要です。読者の中には「そういえば何年か前に、自宅でリモートデスクトップを試そうと思って、ルーターに3389番をポートフォワーディングする設定をしたな」といった方もいらっしゃるのではないでしょうか。もし身に覚えがあれば、この機会にしっかりと見直しておきましょう。

「便利」に潜むリスクに立ち向かおう

 先日Appleが、インテルCPUから脱却する方針を発表しました。発表の中で同社は、新チップではWindowsをサポートしないことを明らかにしています。

Apple Silicon MacはBoot Campをサポートしない - ITmedia NEWS

 それを考えると、Macユーザーがリモートデスクトップで動かせるWindows端末を持っておくのも良いでしょう。ただしそれが、攻撃者にとって狙いやすい環境であることを認識する必要があります。少なくとも「よく分からない」ままで利用することはおすすめできません。

 よく分からないのであれば「可能な限り家庭内のみで活用する」「必要なときだけ電源をオンにする」といった運用をお勧めします。もしくはセキュリティ知識を付ける良い機会と考え、いろいろと試してみるといいかもしれません。


著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ