• 文字サイズ変更
  • S
  • M
  • L
  • ID : 10955
  • 公開日時 : 2020/05/22 00:00
  • 印刷

≪リモートアクセスと「リモートデスクトップ」2≫ | 2020年05月22日(金)

≪beat★ナビ≫は、セキュリティーに関するニュースやトレンド情報、
beatの機能紹介など、有益な情報を提供するメールマガジンです。
※本メールは、beat-box責任者様宛に配信しております。
カテゴリー : 

回答

━ ≪beat★ナビ≫ ━━━━━━━━━━━━━━━━━━━2020.05.22配信
    リモートアクセスと「リモートデスクトップ」2
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 
こんにちは。富士ゼロックス≪beat★ナビ≫担当の加賀です。
 
最近、子ども達に言うことが多くなりました。
 
「タブレットの充電はしてあるの?」
 
英会話教室と塾がオンラインで授業をするようになり、
電子機器の準備は必要不可欠になりました。
 
それ以外の時間、我が家のタブレットは平日休日関係なく、
不要不急のゲームと動画視聴に、酷使されております。
 

一般社団法人 WebDINO Japan によると、
YouTubeなどの動画配信サービスより、Amazon Prime Videoなどの
コンテンツ配信サービスの視聴数が大きく伸びているそうです。
 
┏┓ WebDINO Japan
┗□…
      「新型コロナウイルス感染拡大に伴う動画視聴行動の変化と
        ネットワークへの影響の初期分析を公開しました」
      https://www.webdino.org/updates/blog/202004250122/
 
NTTのフレッツ回線の通信量が増大しています。
  ・平日昼→従来の休日昼程度に増加
  ・昼のピーク→夜間のピーク程度に増加
 

インターネットインフラといった視点では、
一定の余裕がある状況で大きな問題はないとの認識が、
総務省から示されています。
 
しかし、個々の利用者が体感する品質として、
まったく問題が起こらないということではないようです。
 
一方通行の通信である動画配信などでは「データの先読み」により、
タイムラグを感じず視聴可能になっていますが、
双方向の通信であるオンラインミーティングなどでは、
高い基準でのリアルタイム性を要求されます。
 
複数人の参加となると、ネットワーク環境も様々となり、
映像がカクカクする、音が途切れるなどのトラブルが起きやすくなります。
 
まったく話せないわけではないが、スムースとは言い難い、
そんな品質のコミュニケーションを余儀なくされることが、
皆さんの環境でも起きていないでしょうか。
 

・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆目次◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 
今回は下記3点です。
 
 メインコンテンツは、先月に続きリモートアクセス特集です。
 ご利用中の方向けに、プラスアルファの活用方法をご案内します。
 
    [1] メインコンテンツ
    [2] Tips
    [3] 編集後記
 

・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆1.メインコンテンツ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 
先月のbeat★ナビでは、
テレワーク環境を構築するまでに必要なポイントについて
次のようなシーンを取り上げご案内しました。
 
---------------------------------------
自宅の個人PCからリモートアクセスして、
社内にある自身のPCにリモートデスクトップで接続する。
---------------------------------------
 
新型コロナウイルス感染症対策として、こうした利用シーンが増える中、
それを狙ったサイバー攻撃も増えています。
 
┏┓ ITmedia エンタープライズ
┗□…
      「WindowsのRDPを狙ったサイバー攻撃、在宅勤務の増加に伴い急増か」
      https://www.itmedia.co.jp/enterprise/articles/2004/30/news062.html
 

社内のサーバー等は、beat-boxが外部からの攻撃を"常時"防いでいます。
しかし、社員の自宅PCを"常時"守り続けることはできません。
 
リモートアクセスの接続元である、自宅のネットワーク環境は、
社内LANに比べると、管理が甘くなりがちです。
 
 ・ ルーターの管理画面の認証パスワードが初期設定のまま
 ・ Wi-Fiの暗号化強度の設定が不適切  など
 
パスワードをきちんと設定することに加え、
ID自体も独自のものに変更することをお勧めします。
 
Wi-Fiの暗号化強度については、WPA2以上を選択ください。
 

今回のbeat★ナビでは、
万が一、自宅PCがマルウエア等に感染してしまった場合、
社内LANへの不正アクセスを防止する対策の一つとして、
次のような方法を取り上げご案内します。
 
------------------------------------------------------------
リモートアクセス(RAS)から社内LANへのアクセスについて、
リモートデスクトップ(RDP)のみ許可して、他は制限する。
------------------------------------------------------------
 
beat-boxの設定ページにある、
高度な設定の「パケットフィルター」機能を利用します。
 
【構成例】
  ・社内のLAN側ネットワーク:192.168.1.0/24
  ・RASのネットワークアドレス:172.30.255.0/24
 
【条件】
 RAS接続をしたクライアントから
 社内LANへの通信については下記とする。
  ・リモートデスクトップ接続は可能
  ・上記以外の通信は全て不可※
 
     ※対象はbeat-boxを通過する通信です。
       beat-box自体へのアクセスは制限できません。
 
【操作手順】
 
 1)beat-box設定画面にアクセスします。
 
 2)画面下部の「高度な設定」にアクセスし、
    責任者のID/PWでログインします。
 
 3)「高度な設定のトップ」から、
    「設定」→「パケットフィルター設定」を開きます。
 
 4)「ネットワーク定義」を開き、
     RASのネットワークアドレスを定義します。
     社内LANについては、標準で「intranet_LAN」として定義済みです。
    (拠点間接続サービスをご利用の場合"intranet"の部分は拠点名)
 
     ■RASのネットワーク
     ---------------------------------------------------------
      ・ネットワーク名      : 「remote-PC」(任意の命名)
      ・ネットワークアドレス: 172.30.255.0
      ・ネットマスク        : /24(255.255.255.0)
     ---------------------------------------------------------
 
     ■社内LAN(定義済み)
     ---------------------------------------------------------
      ・ネットワーク名      : intranet_LAN
      ・ネットワークアドレス: 192.168.1.0
      ・ネットマスク        : /24(255.255.255.0)
     ---------------------------------------------------------
 
 5)手順「3」の画面に戻り、「サービス定義」を開き、
    リモートデスクトップのサービスを定義します。
 
     ■リモートデスクトップ
     ---------------------------------------------------------
      ・サービス  : 「RDP」(任意の命名)
      ・プロトコル: TCP/UDP
      ・ポート    : 3389
     ---------------------------------------------------------
 
 6)手順「3」の画面に戻り、「フィルター変更」を開き、
    フィルタールールを追加します。
 
     ---------------------------------------------------------
     【1行目】 
       ・サービス名: 「RDP」(手順「5」で設定)
       ・送信先    :intranet_LAN
       ・送信元    : 「remote-PC」(手順「4」で設定)
       ・アクション: 許可
     ---------------------------------------------------------
 
     ---------------------------------------------------------
     【2行目】 
       ・サービス名: ALL
       ・送信先    : intranet_LAN
       ・送信元    : 「remote-PC」(手順「4」で設定)
       ・アクション: 拒否
     ---------------------------------------------------------
 
      ※ルールは上の行が優先されます。
        許可したい通信を必ず上に設定してください。
 
 7)「次へ」→「設定」を押下して完了させます。 
 
 8)手順「3」の画面に戻り、「有効/無効」を開き、
   「パケットフィルター設定:」で「有効にする」を選択し、 
     「次へ」→「設定」を押下して完了させます。 
 
 9)以上で、パケットフィルターの設定は完了です。
 

上記を参考に設定すると、リモートアクセス接続したPCから、
社内のサーバーなどへアクセスしたい場合、
リモートデスクトップが必須になります。
 
「アクセス可能な範囲」など、セキュリティーポリシーは、
リモートデスクトップで操作する社内PCに準拠することになります。
 
万が一、自宅PCがマルウエア等に感染してしまった場合でも、
可能な通信プロトコルがRDPのみに制限されているため、
社内LANへの感染を阻止できる可能性が高くなります。
 

┃ ファイルなどのコピーを禁止する
 
リモートデスクトップには、接続先から接続元へ
ファイルなどをコピー・アンド・ペーストできる機能があります。
 
社内のPCでグループポリシー変更することで、
社内PCから自宅PCへのファイルコピーを制限できます。
 
ドメインログオンでない場合は、
端末1台1台の設定を変更する必要があり、
お手間がかかりますが、参考情報としてご案内します。
 
【グループポリシーエディター起動手順】
 
 1)[Windows キー] + [R] キーを押下します。
 
 2)「ファイル名を指定して実行」画面が表示されたら、
     "gpedit.msc" と入力し[OK]を押下します。
 
 3)グループポリシーエディターが起動します。
 

ポリシーの変更手順については、下記のサイトが参考になります。
 
┏┓ tooljp.com
┗□…
      「リモートデスクトップ接続でファイルコピーを禁止する」
      http://tooljp.com/qa/disable-remotedesktop-filecopy-E6FB.html
 
手元の端末で確認したところ、上記のサイトで案内しているパスは、
一段深くなっていました。
 
[ローカルコンピュータポリシー]
 → [コンピュータの構成]
 → [管理用テンプレート]
 → [Windowsコンポーネント]
 → [リモートデスクトップサービス]
 → [リモート デスクトップ セッション ホスト]
 → [デバイスとリソースのリダイレクト]
 

・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆2.Tips
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 
冒頭でご紹介した通信量増大の影響なのかどうかハッキリしませんが、
「リモートデスクトップが遅い」というお話をよく聞きます。
 
┏┓ IT HOOK
┗□…
      「Windows10のリモートデスクトップの描画が遅い
        原因と対処法【高速化】」
      https://itojisan.xyz/trouble/13169/
 
beatコンタクトセンターの一部メンバーからも、リモートワーク時に
「リモートデスクトップの接続が不安定」という声がありました。
 
上記サイトを参考に対処してみたところ、
速度の向上については体感できるレベルではなかったものの、
接続は安定したとのことでした。
 

リモートアクセスに関するご質問からトピックスを少しご紹介。
 
━━━━━━━━━━━━━━━━━━━━
 

━━━━━━━━━━━━━━━━━━━━
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆3.編集後記
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 
個人的にお世話になっている社労士の先生がいます。
 
今は、助成金に関する相談で非常に忙しいようです。
 
IT関連のことについて得意とは言い難い先生なのですが、
必要があると判断したことに関しては、
なんとか知識を吸収しようという姿勢が凄いです。
 
「ZOOMのアカウントはどうやって取ればいいか?」
「ブレイクアウトルームについて教えて!」
「練習したいから10分付き合ってほしい!」
 
平日休日関係なく、メッセンジャーで矢継ぎ早に質問が来ます・・
 

オンライン化は、様々な場面で進んでいるようです。
 
「伝統文化のアップデート オンライン化で見えてきた未来(限定動画付き)
  岡田宗凱 Sougai OKADA」
  https://note.com/sougai/n/n559153925950
 
「新型コロナで、葬儀もライブ配信 『離れていてもお別れしたい』」
  https://www.huffingtonpost.jp/entry/story_jp_5e8d169fc5b62459a9309663
 

「先生」を見習って、自分自身をアップデートし続けていきたいと思います。
 
┏┓ wezzy|ウェジー
┗□…
      「東野幸治『アップデートするべき』
        明石家さんまの問題点を指摘、時代の終わりを語る」
       https://wezz-y.com/archives/76986
 

最後までお読みいただき、ありがとうございました。
次回は2020年6月19日(金)に配信予定です。
(カガ)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

FAQで解決しなかったら

お手数ですが、下記お問い合わせフォームからコンタクトセンターまでお問い合わせください。
現在ご参照のFAQ IDが自動で記載されますので、そのまま送信ください。
 

問題は解決しましたか?

このFAQに改善点があれば、お聞かせください。 ご意見はFAQの改善に役立てさせていただきます。