)
)
紹介
リモートおよびハイブリッドワークは従業員により大きな柔軟性を提供しますが、管理されたオフィスネットワークを超えたアクセスも拡大します。ユーザーは自宅のルーター、公共のWi-Fi、または個人デバイスを通じて接続することがあります。したがって、ITチームはアクセスを制御し、システムとデータを保護し、日常業務に十分に簡単な安全な作業スペースが必要です。
リモートワークのためのセキュアワークスペースとは何ですか?
リモートワークのための安全な作業スペースは、従業員、契約者、管理者がオフィス外で会社のリソースにアクセスできる制御されたデジタル環境です。役割に応じて、ユーザーは完全なWindowsデスクトップ、特定のビジネスアプリケーション、クラウドサービス、または管理ツールが必要になる場合があります。
その接続は、会社のノートパソコン、個人のデバイス、顧客のサイト、または自宅のネットワークから来る可能性があります。組織がすべての場所を制御できないため、セキュリティはもはや従来のオフィスの境界に完全に依存することはできません。代わりに、保護は接続が始まる場所に関係なく、ユーザーとセッションに従う必要があります。
ワークスペースはリモート接続以上のものです。
暗号化はリモートアクセスの重要な部分ですが、暗号化された接続が自動的に安全であるわけではありません。攻撃者が有効な認証情報を盗んだ場合、エンドポイントが感染しているか、ユーザーに過剰な権限がある場合、その保護された接続は依然として悪用される可能性があります。
安全なリモートワークスペースは、アイデンティティ管理、デバイス保護、アクセス制限、サーバーセキュリティ、アプリケーションの権限および監視を統合します。これらの対策は、別々のセキュリティプロジェクトとしてではなく、接続された層として機能するのが最も効果的です。
リモートアクセスセキュリティチェーン
リモートアクセスを接続されたチェーンとして考えると役立ちます。
ユーザーの識別 → エンドポイントデバイス → ネットワーク接続 → リモートアクセスプラットフォーム → アプリケーション → ビジネスデータ
なぜなら リモートデスクトップのセキュリティは、エンドポイントの状態、ネットワークの露出、およびアカウントの管理に依存します。 どの時点でも弱点が全体のセッションに影響を与える可能性があります。多要素認証は、たとえば盗まれたパスワードを使用する攻撃者を阻止することができますが、パッチが適用されていないアプリケーションサーバーや不必要な管理権限を持つアカウントを保護することはできません。したがって、安全なワークスペースは、各ユーザーの役割に応じたアクセスを維持しながら、すべての段階を保護する必要があります。
なぜ安全なリモートワークスペースが重要なのか?
リモートおよびハイブリッドワークは、ユーザー、デバイス、およびアクセスパスを組織が常に直接管理できない場所に広げるため、これに対処する課題があります。 NISTのテレワーク、リモートアクセス、BYODセキュリティに関するガイダンス 従業員は、敏感なアプリケーションやデータを扱う際に、自宅のルーター、公共のWi-Fi、モバイルネットワーク、または個人用コンピューターを通じて接続することができます。
その結果、ITチームは誰が接続しているのか、どのデバイスを使用しているのか、何にアクセスしようとしているのか、接続が期待される動作と一致しているかどうかを明確に把握する必要があります。
リモートワークは従来の境界を取り除きます
従来のオフィスでは、ネットワーク制御がユーザーとシステムの周りに明確な境界を作っていました。リモートワークはそのモデルを変えます。なぜなら、正当な接続が内部ネットワークの外側から始まるようになったからです。
攻撃者は、露出したリモートデスクトッププロトコルサービス、弱く保護されたポータル、再利用されたパスワード、パッチが適用されていない仮想プライベートネットワーク機器、および侵害されたエンドポイントを標的にすることができます。一度有効な認証情報でサインインすると、その活動は最初は認可されたユーザーのものと似て見えるかもしれません。これが、アイデンティティ、デバイスのコンテキスト、セッションの動作がリモートワークのセキュリティにおいて重要な役割を果たす理由です。
セキュリティ制御は使いやすさを維持しなければなりません
通常の作業をあまりにも困難にするセキュリティ対策は、自ら問題を引き起こす可能性があります。承認された作業スペースが遅い、混乱している、または信頼できない場合、ユーザーはパスワードを安全でない方法で保存したり、個人のサービスを通じてファイルを移動したり、承認されていないアプリケーションを採用したりすることがあります。
適切に設計された安全な作業スペースは、不要な摩擦を加えることなくリスクを軽減します。従業員は必要なアプリケーションのみを表示し、一貫したアクセスパスを通じてそれらにアクセスし、回避可能な複雑さなしに認証を完了するべきです。同時に、中央集権的なポリシーとログは、ITチームがその体験を管理しやすくするべきです。
リモートワークスペースのコアセキュリティレイヤー
単一の技術だけではリモートワークを保護することはできません。弾力性のあるワークスペースは、1つの制御が失敗してもアプリケーションやデータが直ちに露出しないように、いくつかの防御層を使用します。
アイデンティティと認証
アイデンティティ制御は、誰かがリモートセッションを開始することを許可されるべきかどうかを決定します。パスワードはほとんどの認証システムで役割を果たしますが、フィッシング、パスワードの再利用、資格情報の詰め込みから保護するには不十分です。
リモートユーザーと管理者は、可能な限り多要素認証を使用するべきです。アカウントロックアウトポリシー、ログインレート制限、および繰り返しの失敗に対するアラートは、保護の別の層を追加します。組織はまた、非アクティブなアカウントを迅速に削除し、標準ユーザーのアイデンティティを特権のある管理アカウントから分離しておくべきです。
エンドポイントの信頼
エンドポイントは、リモート接続が開始されるデバイスです。ユーザーが正当であっても、侵害されたコンピュータは認証情報を露出させたり、マルウェアを導入したり、機密ファイルが組織から外に出ることを許可したりする可能性があります。
管理されたデバイスは、オペレーティングシステムの更新、エンドポイント検出と応答、マルウェア対策、ファイアウォールポリシー、およびディスク暗号化を受ける必要があります。ITチームはまた、ユーザーがデータをローカルに保存できるか、クリップボードをリダイレクトするか、ローカルドライブをリモートセッションに接続するかを決定する必要があります。
BYODポリシーは、個人機器の最低限のセキュリティ要件を定義する必要があります。組織がエンドポイントを完全に信頼できない場合、ブラウザベースのアプリケーションアクセスや制限されたリモートセッションがローカルデータの露出を減らすのに役立ちます。
制御されたリモートアクセス
アクセス層は、ユーザーが内部アプリケーションやデスクトップにどのように到達するかを決定します。可能な限り、ITチームはバックエンドアプリケーションサーバーを直接インターネットに公開することを避けるべきです。安全なゲートウェイ、リバースプロキシ、またはウェブポータルが代わりに制御されたエントリーポイントを提供できます。
アプリケーションの公開は、さらなる露出の削減を可能にします。会計アプリケーションのみが必要な財務担当者は、フルデスクトップや広範な内部ネットワークへのアクセスを必要としないかもしれません。
何でも 安全なリモートアクセスモデル 組織は、暗号化された通信、詳細なユーザー割り当て、および中央集権的なセッション管理を提供する必要があります。ユーザーが本当にネットワークレベルの接続を必要とする場合、仮想プライベートネットワークは依然として便利ですが、すべてのリモートワーカーにとって常に最良のデフォルトではありません。
アプリケーションとセッションのセキュリティ
ユーザーがサインインした後もセキュリティは終わりません。リモートセッションは、ユーザーの作業に必要なアプリケーション、ファイル、プリンター、および管理機能へのアクセスを制限し続けるべきです。
役割ベースのアクセス制御と最小特権は、侵害されたアカウントが引き起こす可能性のある損害を軽減するのに役立ちます。セッションタイムアウト、勤務時間の制限、およびデバイスリダイレクションポリシーも、無人または不適切なアクセスを制限することができます。
特権セッションには、さらに厳しい管理が必要です。管理者は、機密システムで作業する際に、別のアカウント、承認されたデバイス、および追加の監視を使用する必要があります。
データ保護
安全な作業スペースは、ビジネスデータが不必要にリモートエンドポイントに移動するのを防ぐべきです。中央集権的なアプリケーションまたはデスクトップ配信は、ファイルと処理を組織が管理するサーバー上に保持し、ユーザーにはセッションインターフェースのみを送信することで助けることができます。
機密情報は、転送中および保管中に暗号化されたままであるべきです。バックアップシステムは、侵害された本番アカウントが変更できない保護された復元コピーも保持する必要があります。
規制されたデータや機密データの場合、組織はファイルアクセス監査、保持ポリシー、およびデータ損失防止コントロールが必要になることがあります。
監視と対応
認証とセッション活動は、管理者がレビューし相関させることができるログを作成する必要があります。役立つイベントには、成功したログインと失敗したログイン、ブロックされた接続、新しいソースの場所、特権の変更、ファイルアクセス、およびセキュリティ設定の変更が含まれます。
アラートは、行動が必要な場合を指摘する際に最も有用です。繰り返しのログイン失敗、新しい場所から接続している特権アカウント、または1つのソースが複数のサーバーにアクセスしようとすることはすべて例です。
監視は、組織がどのように対応するかを知っているときにのみ役立ちます。ITチームは、アカウントを無効にし、ホストを隔離し、セッションを終了し、疑わしい活動が発生したときに証拠を保存するための明確な手順が必要です。
リモートワークスペースに対する一般的な脅威とは何ですか?
リモートワークスペース攻撃は、1つの高度なエクスプロイトに依存するのではなく、通常の複数の脆弱性を組み合わせることがよくあります。攻撃の可能性のある経路を考慮することで、ITチームはどのコントロールに最も注意を払うべきかを決定するのに役立ちます。
資格情報の盗難とフィッシング
フィッシングは、リモートアクセスの資格情報を取得する最も一般的な方法の一つです。攻撃者は、ユーザーを騙してアクセスを承認させるために、Microsoft 365のサインインページ、サポートポータル、または多要素認証のプロンプトをコピーすることがあります。
多要素認証は盗まれたパスワードの有用性を低下させますが、ユーザーの意識も依然として重要です。特権的および高リスクのアカウントは、より強力でフィッシング耐性のある認証方法を必要とする場合があります。
公開されたリモートサービス
インターネットに接続されたリモートアクセスサービスは、弱い認証情報、既知の脆弱性、および構成エラーについて継続的にスキャンされます。リモートデスクトッププロトコルポート3389を直接公開することは、ゲートウェイまたはブローカーアクセス方法が利用可能な場合に不必要なリスクを生じさせます。
公共の露出を避けられない場合、ITチームは実用的な範囲でソースアドレスを制限し、セキュリティアップデートを迅速に適用し、ネットワークレベル認証を強制し、失敗した接続試行を監視する必要があります。
ランサムウェアとログイン後の活動
攻撃者がリモートアカウントを通じてアクセスを得ると、正当なシステムツールを使用して環境を探索し、特権を昇格させ、ランサムウェアを展開する可能性があります。最初のログインを防ぐことは重要ですが、 RDS環境向けのランサムウェアプレイブック 認証されたセッションが到達できる範囲を制限する必要があります。
ネットワークセグメンテーション、制限された権限、保護されたバックアップ、および行動監視は、成功した侵害の影響を軽減することができます。
管理されていないデバイスとシャドウIT
個人デバイスや未承認のクラウドサービスは、企業データを組織の管理を超えて移動させる可能性があります。従業員は、承認された作業スペースが実用的なニーズをサポートしていないため、これらのツールに頼ることがよくあります。
禁止に頼るのではなく、ITチームはその行動の背後にあるワークフローに対処すべきです。信頼できるブラウザポータル、承認されたファイル転送方法、またはアプリケーション公開サービスは、シャドウITを魅力的でなくすることができます。
安全なリモートワークスペースを構築する方法は?
安全なワークスペースは、無関係な製品の集まりとしてではなく、構造化されたプログラムとして導入されると最も効果的です。以下の順序は、ITチームが最も重要なリスクに最初に対処するのに役立ちます。
ユーザー、デバイス、およびリソースをマッピングする
リモートアクセスが必要なすべての人を特定することから始めます。従業員、契約者、管理者、マネージドサービスプロバイダーおよびその他の第三者は、それぞれの要件とリスクが異なるため、別々のグループとして扱うべきです。
各グループについて、必要なアプリケーション、データ、接続時間、およびエンドポイントの種類を記録します。この情報はアクセスポリシーの基礎を提供します。
不必要な露出を減らす
次に CISAによるリモートアクセスソフトウェアのセキュリティに関するガイダンス すべてのインターネットに接続されたリモートアクセスサービスを確認し、もはや必要のないものを削除します。可能な場合は、アプリケーションサーバーの前に安全なゲートウェイ、リバースプロキシ、またはウェブポータルを配置し、直接公開するのではなく、それを行います。
個々のアプリケーションを完全なデスクトップやネットワークではなく公開することで、さらなる露出を減らすことができます。より小さなアクセス面は通常、保護および監視が容易です。
認証を強化する
リモートユーザーと管理者に対して多要素認証を要求します。特権アカウントには、承認されたデバイスからの別々の資格情報とアクセスなど、より厳しい条件が必要です。
繰り返しのログイン試行に対する保護も有効にし、監視する必要があります。パスワードポリシーは、予測可能なローテーションスケジュールに依存せず、長くユニークな資格情報を奨励するべきです。
最小特権アクセスを適用する
ユーザーまたは役割ベースのグループを通じてアプリケーションやファイルを割り当てます。各人は現在の責任に必要なアクセスのみを受け取るべきです。
権限は定期的に見直され、従業員が役割を変更したり、契約者が作業を終了した際には削除されるべきです。管理者アカウントは、日常的なアプリケーションアクセスに使用されるアカウントとは別に保たれるべきです。
エンドポイントとサーバーを保護する
エンドポイントのオペレーティングシステム、ブラウザ、ビジネスアプリケーション、およびリモートアクセスソフトウェアを最新の状態に保ちます。管理されたデバイスは、エンドポイント保護、ファイアウォールポリシー、およびディスク暗号化も使用する必要があります。
リモートセッションホストとアプリケーションサーバーは同じ注意が必要です。ITチームは定期的にパッチを適用し、未使用のサービスを削除し、ブルートフォース攻撃、ランサムウェア活動、および不正な構成変更から保護する必要があります。
完全なアクセスパスを監視する
アイデンティティシステム、リモートアクセスゲートウェイ、Windowsサーバー、エンドポイントツール、ビジネスアプリケーションからイベントを収集します。これらの記録をまとめることで、孤立したアラートの集まりではなく、活動の連続をより簡単に見ることができます。
応答の閾値は、繰り返しの失敗、異常な場所、特権ログイン、および承認された時間外のアクセスをカバーする必要があります。ポリシーは、インシデント、インフラの変更、および労働力の変更後にも見直されるべきです。
テスト回復手順
バックアップは、プロダクションサーバーや認証情報が侵害されている場合でも利用可能でなければなりません。バックアップ管理は別途保護されるべきであり、復元手順は定期的にテストされるべきです。
インシデント演習は、チームがアクセスを取り消し、システムを隔離し、サービスを復元し、ユーザーとコミュニケーションを取ることができることを確認する必要があります。それらの手順がテストされるまで、回復計画は仮定のままです。
安全なワークスペース技術をどのように選択できますか?
安全なリモートワークスペースは通常、いくつかの技術を組み合わせており、それぞれがアクセスプロセスの異なる部分に対応しています。
| テクノロジー | 主な目的 | 最適な |
|---|---|---|
| リモートデスクトップサービス | 中央集中的なWindowsデスクトップとセッション | 完全なWindowsワークスペースを提供する組織 |
| アプリケーションの公開 | 選択したアプリケーションの配信 | フルデスクトップを必要としないユーザー |
| セキュアアクセスゲートウェイ | ブローカーアクセスは直接サーバーへの露出なし | インターネットに接続されたリモートアクセス環境 |
| HTML5ウェブポータル | 専用クライアントなしのブラウザベースのアクセス | 契約者、モバイルユーザー、および混合エンドポイント |
| 仮想プライベートネットワーク | 暗号化されたネットワークレベルの接続 | 複数の内部サービスへのアクセスを必要とするユーザー |
| 多要素認証 | 追加の本人確認 | すべてのリモートユーザー、特に管理者 |
| Endpoint protection | マルウェア検出とデバイス防御 | 管理されたノートパソコン、デスクトップ、サーバー |
| セキュリティ監視 | 検出、調査、対応 | すべての生産リモートアクセス環境 |
正しいアーキテクチャは、各ユーザーが実際に到達する必要があるものに依存します。ほとんどの場合、ITチームは必要な作業をサポートする最も狭いアクセス方法を選択すべきです。
安全なワークスペースソリューションを評価する方法は?
製品の選択は、長い機能チェックリストではなく、組織のアクセスモデルから始めるべきです。まず、ITチームは、ユーザーが完全なネットワークアクセス、完全なデスクトップ、または選択されたアプリケーションのみを必要とするかどうかを決定する必要があります。全員に広範なアクセスを与えることは、より制限されたモデルが同じ作業をサポートする場合に、不必要な複雑さとリスクを生む可能性があります。
評価は5つの分野に焦点を当てるべきです。
- アイデンティティとアクセス制御、マルチファクター認証、役割ベースの権限、および既存のアイデンティティサービスとの統合を含む
- アプリケーションとデスクトップの配信オプション、セキュアゲートウェイまたはリバースプロキシ機能によってサポートされています
- セッションセキュリティ、デバイスリダイレクションポリシー、アクティビティ制限、管理者コントロールを含む
- ログ、アラート、レポート、サーバーセキュリティ、ランサムウェア防御を通じた監視と保護
- 運用適合性、展開の労力、パッチ適用、Windowsの互換性、スケーラビリティ、総コスト
概念実証は、実際のユーザー、アプリケーション、デバイス、およびネットワーク条件を使用する必要があります。また、管理者がアクセスを取り消し、疑わしい活動を調査し、更新を適用し、サーバーの障害やセキュリティインシデント後にサービスを復元する方法を示す必要があります。
TSplusは安全なリモートワークスペースをどのようにサポートしますか?
TSplus Advanced Security リモートワークをサポートするWindowsサーバーを強化します。リモートデスクトッププロトコルセッション、アプリケーションサーバー、およびその他のインターネットに接続されたWindows環境に影響を与える脅威に対する専門的な保護を追加します。管理者は、正当なリモートアクセスを不必要に複雑にすることなく、露出を減らすためにこれらのコントロールを中央で管理できます。
主なセキュリティ機能には以下が含まれます:
- ブルートフォース保護は、失敗したログイン試行を監視し、設定された閾値を超えたIPアドレスをブロックします。
- 地理的保護は、接続元の国に応じて受信接続を制限します。
- ランサムウェア保護は疑わしいファイル活動を検出し、攻撃が広がる前に影響を受けたプロセスをブロックすることができます。
- セキュアセッションと権限は、ユーザーがWindowsセッション中にアクセスできる内容や実行できる操作を制限します。
- 作業時間は、承認されたスケジュールにリモート接続を制限します。
- 信頼されたデバイスは、承認されたエンドポイントとアクセスを関連付けます。
- ファイアウォールとIP管理ツールは、管理者がネットワークソースを許可、ブロック、およびレビューするのに役立ちます。
- セキュリティイベント、アラート、およびレポートは、疑わしい活動やポリシーアクションに対する可視性を提供します。
TSplus Advanced Security 多要素認証、エンドポイント保護、パッチ管理、保護されたバックアップ、最小特権管理を含む層状のセキュリティ戦略の一部として機能する必要があります。これらのコントロールは、ITチームが単一の防御手段に依存することなく、ブルートフォース攻撃、ランサムウェア、無許可のアクセスからリモートワークスペースを保護するのに役立ちます。
結論
リモートワークのための安全な作業空間は、特定の製品や接続方法によって定義されるものではありません。それは、ユーザーのアイデンティティ、エンドポイントデバイス、ネットワーク接続、リモートセッション、アプリケーション、およびビジネスデータを一つの連続したアクセスチェーンとして保護する層状の環境です。
ITチームは、不必要な露出を減らし、強力な認証を強制し、エンドポイント保護、サーバーの強化、中央集権的な監視を追加する前に、最小特権アクセスを適用する必要があります。テストされたバックアップと復旧手順と組み合わせることで、これらの対策は、侵害されたアカウント、デバイス、またはセッションの影響を制限しながら、リモート生産性をサポートするレジリエントな作業空間を作り出します。
)
)
)
