リモートワークは今や多くの企業にとって不可欠なものとなっており、企業は企業リソースへの安全かつ拡張性の高い効率的なアクセス方法を再考する必要があります。
仮想プライベート・ネットワーク(VPN)を 介したRDPは、リモート・アクセスのための一般的なソリューションとして長い間利用されてきましたが、クラウドベースのリモート・デスクトップ・プロトコル(RDP)ソリューションの台頭により、ますます説得力のある選択肢が提供されています。
この記事では、クラウドベースの RDP と RDP over VPN の技術的および実用的な利点について、特にセキュリティ、パフォーマンス、コスト効果の観点から説明します。
高まるVPNセキュリティへの懸念
2024年5月6日、Leviathan Groupの研究者が、Tunnelvisionと呼ばれるVPNにパッチ未適用の欠陥があることを明らかにした。シナリオによっては緩和策があるかもしれないが、この欠陥にはパッチがなく、Windows、Mac、Linux、およびiOSオペレーティング・システムでVPNカプセル化を使用するすべての製品に影響する!リヴァイアサン・グループの研究者によると、この攻撃は検知を回避する能力があることが、おそらく最も問題な要素だという!
一般的な攻撃ベクトルとして、VPNはVPNゲートウェイのオープンファイアウォールポートを必要とするため、ブルートフォース攻撃、ランサムウェア、クレデンシャルスタッフィングなどのサイバー脅威にさらされる機会が増える。VPNによって提供される広範なネットワーク・アクセスは、ハッカーにとって特に魅力的である。第二に、VPNネットワーク/ゲートウェイに接続されたすべてのリモート・エンドポイント/拠点は、企業ネットワークの延長となる!これらのリモート・エンドポイントは、空港やホテルの公衆WiFi、安全でない自宅のWiFi経由でVPNに接続することが多く、そのいずれかが侵害されると、企業ネットワークに広がる可能性がある。
VPNは暗号化されたトンネルに過ぎず、どちらの側にもセキュリティは提供されないため、攻撃者が環境をバックドア化するための一般的な手段となっている。VPNユーザーのマシンに仕込まれたマルウェアは、感染したファイルをピギーバックして、安全にVPNを経由して企業の広範なネットワークに侵入することができる。「VPNは必ずしもセキュリティ・ツールではありません。VPNは必ずしもセキュリティ・ツールではありません。VPNは接続ツールなのです」と、IT部門が「ボルトオンでパッチを当てようとしている」ものだと、リヴァイアサンのシニア・セキュリティ・コンサルタントで、このレポートの著者の一人であるダニ・クロンセは言う。
企業がゼロ・トラスト・モデルへとシフトする中、クラウドベースのRDPはより安全で優れた選択肢として浮上してきた。クラウドベースのRDPソリューションでは、インバウンドのファイアウォールへのアクセスは不要であり、ユーザーが必要とするリソースのみにアクセスを制限できるため、攻撃対象領域を最小限に抑え、侵害のリスクを全体的に低減することができます。さらに、クラウドベースの RDP ソリューションは、多要素認証(MFA) や役割ベースのアクセス制御(RBAC) などの高度なセキュリティ機能を提供し、ネットワークをさらに保護します。
何が違うのかVPN とクラウドベースの RDP の違い
VPNと クラウドベースのRDPの主な違いは、提供するアクセスの範囲にあります。VPNは、一般に公開されたゲートウェイを介してユーザをネットワーク全体に接続しますが、クラウドベースのRDPは、ファイアウォールへの露出をゼロにして、特定のアプリケーションやデスクトップへのアクセスを制限します。この根本的な違いにより、攻撃対象が減少し、企業ネットワークの露出が制限されるため、クラウドベースのRDPは最新の企業にとってより安全な選択肢となります。
VPN:従来のアプローチ
VPNは、暗号化されたトンネルを作成することで、リモート・ユーザが社内ネットワークにアクセスできるようにします。このアプローチは、特定のリソースだけでなく、ネットワーク全体へのアクセスを提供するもので、長年にわたって標準的な手法となっています。多くのユースケースで効果的である一方、ユーザーが許可されたプロトコルでネットワーク全体にアクセスするため、攻撃対象が広がり、重大なセキュリティ・リスクをもたらす。VPNソリューションの中には特定の制限を許可するものもあるが、実装が非常に複雑なため、技術管理者はそれを見送っている。
クラウドベースのRDP:最新のソリューション
これとは対照的に、TruGrid SecureRDP のようなクラウドベースの RDP ソリューションは、ファイアウォールへの露出をゼロにして、特定のアプリケーションやデスクトップへのリモート・アクセスを提供します。ユーザーをネットワークに接続する代わりに、どこでもホストされている個々のデスクトップやアプリケーションに接続するため、攻撃対象が減少し、侵害による潜在的な被害が制限されます。
さらに、効果的なクラウドベースのRDPソリューションには、MFAとGeo Blockingが統合されており、Azure Conditional Accessと統合することで、不正アクセスのリスクを大幅に低減することができます。
VPNが危険な理由
VPNは暗号化された接続を提供する一方で、いくつかのセキュリティ上の問題が内在しています。例えば、VPNはファイアウォールのインバウンドポートを開放する必要があり、サイバー犯罪者に狙われやすい。さらに、VPNインフラの管理と維持は複雑であり、多くの組織がVPNの設定やパッチを最新の状態に保つことができず、攻撃に対して脆弱なままになっている。
カスペルスキーのデータによると、露出している RDP サーバーに対するブルートフォース攻撃が急増しており、1 日あたり 20 万件から 120 万件以上に増加している国もあります。図1に示すように、VPNに対するブルートフォース攻撃は、2020年の約20万件から2024年には推定400万件に急増している。同時に、VPNベースのランサムウェアのインシデントも23%から32%に上昇しており、VPNサービスの脆弱性が露呈していることがさらに浮き彫りになっている。

a.fl_button { background-color:#border:1px solid #3b59aa; color:#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin:4px 2px; cursor: pointer; padding:12px 28px; } .fl_ad { background-color:#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border:1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color:color: #333; line-height: 24px; font-family:font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding:10px 0 10px 10px; } .fl_rig { padding:10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding:0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.
TruGrid を使用して RDP を保護し、遅い接続を排除する
ファイアウォール、VPN、またはゲートウェイアプライアンスが必要な従来の DaaS および RDS ソリューションとは異なり、TruGrid はファイアウォールの露出を必要とせず、インターネットからの可視性を完全に保護します。
TruGrid は、クラウドで認証を処理し、事前に認証された接続のみが企業ネットワークにアクセスできるようにします。これは、ネットワークに対する標的型攻撃をブロックするクラウドのシールドとして機能します。
セキュリティクラウドベースのRDPが安全な理由
VPNはファイアウォールのインバウンド・ポートを開放する必要があるため、ブルートフォース攻撃やクレデンシャル・スタッフィングなどの脅威にさらされやすい。さらに、VPNはネットワーク全体へのアクセスを提供することが多いため、侵害されたアカウントが1つでもあれば、甚大な被害につながる可能性があります。一方、クラウドベースのRDPでは、オープンなインバウンドポートを使用せずに運用するため、このような脆弱性が排除され、外部からの脅威に対してネットワークが見えない状態を保つことができます。
VPNセキュリティの脆弱性
VPNは、組織をいくつかのセキュリティ・リスクにさらす:
- ファイアウォールのオープン・ポート:VPNはオープン・ポートを必要とするため、攻撃者からネットワークが見えてしまう。
- 単一障害点: 多くの組織では、VPNゲートウェイが1つしかない。飽和状態や計画外の停止は、生産性の低下につながる可能性がある。
- 複雑なパッチ適用と更新: セキュアなVPN環境を維持するには、常にアップデートを行う必要があるが、多くの組織ではこれを迅速に実施するのに苦労している。
露出した RDP サービスはランサムウェアの標的となっており、Dharma や Venus ランサムウェアのような攻撃は、設定の不十分な RDP サーバを積極的に悪用しています。GoSecureによる実験では、露出したRDPハニーポットが3ヶ月以内に350万回以上攻撃されたことが判明しています。
露出したRDPを狙うランサムウェア・ファミリー
Dharmaや Phobosのようなランサムウェア・ファミリーは、暴露されたRDPを標的にすることで特に悪名高い。例えばDharmaは、ブルートフォース攻撃を使用してRDP認証情報を侵害し、侵害されたシステム上にランサムウェアを展開します。同様に、Phobosはセキュリティが不十分なRDPエンドポイントを悪用し、多くの場合、重要なファイルを暗号化し、高額な身代金を要求します。どちらのランサムウェアファミリーも、RDPが公開され、セキュリティが不適切な環境で繁殖するため、このようなサービスをインターネットに公開することの危険性を強調しています。
攻撃者がアクセス権を得ると、マルウェアを注入したり、ランサムウェアを実行したり、あるいはシステムを完全に無効化したりすることができ、企業は金銭的・風評的な損害を受けやすくなります。
悪用されるVPNの脆弱性
VPNもこのような攻撃と無縁ではいられない。最近の例としては、15,000を超えるVPNサーバーの認証情報が流出 したFortiGateのリークがあり、サイバー犯罪者が企業ネットワークに侵入するためのロードマップを提供しました。
同様に、Helldownのようなランサムウェアグループは、SonicWallや ZyxelのようなVPNデバイスの脆弱性を悪用して内部ネットワークに侵入する。これらやその他いくつかの関連するVPN攻撃は、VPNがいかに悪意のある行為者にとって開かれたドアになり得るかを浮き彫りにしている。
これらの脆弱性がもたらす結果は深刻です:
- データの盗難:攻撃者は機密データを流出させ、身代金を支払わない限りデータを公開すると脅すことが多い。
- ネットワークの混乱:重要なシステムが暗号化され、業務が停止する。
- コンプライアンス違反:暴露されたVPNやRDPセッションは、HIPAAやGDPRのような規制違反につながる可能性があり、その結果、多額の罰金が科されることになります。
このようなリスクを効果的に軽減するために、組織はVPNを含む公衆インターネット上でのRDPの露出を排除する必要があります。
さらに、組織はRDP構成のセキュリティを定期的に評価し、露出したRDPのリスクをよりよく理解できるようにする必要があります。RDP Inspector のようなツールを使用することで、企業は脆弱なオープン・ポート、設定の誤り、およびサイバー脅威にさらされる可能性のある古いサービス・バージョンを特定できます。
TruGrid SecureRDP がこれらの問題を解決する方法
- オープン・ポートなし:TruGrid は、ファイアウォールのオープン・インバウンド・ポートを必要とせずに動作するため、外部の脅威からネットワークを保護することができます。
- 内蔵 MFA: 多要素認証が統合されており、デフォルトで有効になっているため、クレデンシャルの盗難に対するセキュリティが強化されます。
- きめ細かなアクセス制御: TruGrid では、管理者が特定のアプリケーションまたはデスクトップへのアクセスを制限できるため、攻撃対象領域を最小限に抑えることができます。
- ゼロ・トラスト・アーキテクチャ:VPN とは異なり、TruGrid は厳格な認証を実施し、事前に許可されたリソースへのアクセスのみを許可します。
- 管理の簡素化:TruGrid の一元化されたダッシュボードにより、設定と監視が容易になり、IT のオーバーヘッドと複雑さが軽減されます。
TruGrid SecureRDPは、従来の VPN ベースのソリューションに代わる、スケーラブルで安全、かつコスト効率の高いソリューションを提供します。ランサムウェアグループによく悪用される脆弱性を排除し、厳格なセキュリティ基準への準拠を保証します。
パフォーマンスクラウドベースのRDPがスピードと効率性を実現
VPNは、特にネットワークに接続するユーザーが増えるほど、パフォーマンスの問題に悩まされることが多くなります。VPNはすべてのトラフィックを単一のゲートウェイ経由でルーティングするため、ネットワークの輻輳や遅延が発生しやすいのです。さらに、大規模なリモート・ワーク向けにVPNを拡張するには、多額のインフラ投資が必要となり、コストと複雑さが伴います。
従来のVPNでは、パフォーマンスを維持しながらリモート・アクセスを拡張することは困難でした。クラウドベースの RDP ソリューションは、効率的でスケーラブルなソリューションを提供し、大規模で分散したワークフォースでも優れたユーザーエクスペリエンスを実現します。
VPN パフォーマンスの問題
VPN は通常、ユーザーと企業ネットワーク間のすべてのネットワーク・トラフィックを単一の VPN アプライアンスで伝送するため、大量の帯域幅を消費します。これは、ネットワークに接続するユーザーが増えるほど、特に問題となります。VPN のスプリット・トンネルを使用して企業ネットワーク経由のトラフィックを最小限に抑えている場合、VPN クライアントは公衆インターネット経由の攻撃にさらされることになり、VPN トンネルを通過して企業ネットワークに感染する可能性があります!
クラウドベースの RDP パフォーマンスの利点
TruGrid SecureRDP などのクラウドベースの RDP ソリューションは、帯域幅効率がはるかに優れています。TruGrid は、グローバルな光ファイバー・メッシュを介してエンド・ユーザーと企業ネットワークを接続し、公衆インターネットをバイパスして低遅延を実現します。また、TruGrid を使用することで、企業ネットワーク内に複数のコネクション・ブローカーを導入し、接続負荷を分散して冗長性を向上させることができます。
コスト効率:セキュリティを向上させながらコストを削減
VPN には、ハードウェア、ソフトウェア・ライセンス、および管理に必要なリソースなど、多額の初期費用と継続費用がかかります。VPNハードウェアの保守、システムのアップグレード、潜在的なセキュリティ侵害への対応なども、総所有コストに上乗せされる。
クラウドベースのRDPの節約
対照的に、クラウドベースのRDPは従量課金モデルで運用され、複雑なハードウェアやネットワーク構成は不要です。このモデルにより、企業は多額の先行投資や継続的なハードウェア・メンテナンスを行うことなく、リモート・アクセス・インフラストラクチャを拡張することができます。また、クラウドベースの RDP は迅速な導入を可能にするため、コストのかかるダウンタイムを削減し、IT リソースを他の重要なタスクに振り向けることができます。
次の課題
この記事では、クラウドベースの RDP が VPN と比較してより安全で効率的なソリューションである理由と、TruGrid SecureRDPが従来のリモートアクセス手法の脆弱性にどのように対処しているかについて説明しました。
次回は、TruGrid の高度な機能と、それらがどのようにデプロイを簡素化し、コンプライアンスを強化し、セキュアなハイブリッド・ワーク環境をサポートするかについて掘り下げていきます。
無料トライアルをご希望の方は、TruGridまでお問い合わせください。
スポンサーおよび執筆:TruGrid.
Comments