リモート デスクトップ プロトコル (RDP) 接続は、脆弱なパスワード、公開されたポート、セキュリティ制御の欠如を悪用するサイバー犯罪者からの絶え間ない攻撃にさらされています。攻撃者は数時間以内に公開された RDP サーバーの 90% を侵害することに成功するため、RDP を保護する方法を理解することが重要です。
差し迫ったリスクには次のようなものがあります。 ブルートフォースパスワード攻撃、認証情報の盗難、ランサムウェアの展開、ネットワークの横方向の移動などです。 実証済みのソリューションは次のとおりです。 VPN のみのアクセス、多要素認証、ネットワーク レベルの認証、強力なパスワード ポリシー、および RDP をインターネットに直接公開しない。
このガイドでは、攻撃が成功する前に阻止する、テスト済みのセキュリティ対策を使用してリモート デスクトップ接続を保護する方法を正確に説明します。
RDPとは何ですか?
リモート デスクトップ プロトコル (RDP) は、ネットワーク経由で別のコンピューターを制御するための Microsoft のテクノロジーです。画面データ、キーボード入力、マウスの動きをデバイス間で送信し、ターゲット マシンの前に座っているかのようにリモート コントロールを可能にします。
RDP はデフォルトでポート 3389 を使用し、基本的な暗号化が含まれていますが、これらのデフォルト設定により、攻撃者が積極的に悪用する重大なセキュリティ脆弱性が生じます。
RDP は安全ですか?
いいえ、RDP はデフォルト設定では安全ではありません。
事実: RDP はデフォルトで 128 ビット暗号化のみを提供します。サイバー犯罪者は、成功した攻撃の 90% で RDP をターゲットにしています。インターネットに公開された RDP サーバーは、毎日何千もの攻撃試行にさらされています。
RDP が失敗する理由: デフォルトの認証が弱いと、ブルートフォース攻撃が可能になります。ネットワーク レベル認証が欠落していると、ログイン画面が攻撃者に公開されます。デフォルトのポート 3389 は、自動ツールによって常にスキャンされます。多要素認証が組み込まれていないため、パスワードが唯一の保護手段となります。
解決策: RDP は、VPN アクセス、強力な認証、適切なネットワーク制御、継続的な監視などの複数のセキュリティ層を実装した場合にのみ安全になります。最近の分析によると、 人的ミスが主な原因であることに変わりはない セキュリティ侵害のうち 68% には、ソーシャル エンジニアリングに騙されたり、設定ミスをしたりするなど、悪意のない人的要素が関与しています。
これらのセキュリティ障害による経済的影響は多大です。 データ侵害のコストが新たな高値に達した 2024 年には、世界の平均コストは 1 件あたり 488 万ドルに達し、主に事業中断と復旧費用によって前年から 10% 増加しました。
一般的なリモート デスクトップ接続のセキュリティ問題
攻撃ベクトルを生み出す主なリモート デスクトップ接続のセキュリティ問題には、次のようなものがあります。
| 脆弱性のカテゴリ | よくある問題 | 攻撃方法 |
| 認証の弱点 | 弱いパスワード、MFA が欠落している | ブルートフォース攻撃 |
| ネットワーク露出 | インターネットへの直接アクセス | 自動スキャン |
| 構成の問題 | NLA が無効になっており、パッチが適用されていないシステム | 既知の脆弱性を悪用する |
| アクセス制御の問題 | 過剰な特権 | 横方向の動き |
BlueKeep の脆弱性 (CVE-2019-0708) は、これらの問題がいかに急速に拡大するかを示しています。このリモート コード実行の欠陥により、攻撃者は認証なしでシステムを完全に制御できるようになり、パッチが適用されていない数百万台の Windows システムに影響を及ぼしました。
RDP を保護する方法: 基本的なセキュリティ慣行
これらのリモート アクセス セキュリティのベスト プラクティスは、一緒に実装すると実証済みの保護を提供します。
RDP をインターネットに直接公開しないでください
RDP を効果的に保護する方法を学ぶ場合、このルールは交渉の余地がありません。ポート 3389 がインターネットに直接公開されると、即座に攻撃対象領域が形成され、自動ツールが数時間以内にそれを見つけて悪用します。
インターネットに公開されてから 1 日以内にサーバーが 10,000 回以上のログイン試行に失敗するのを目撃しました。攻撃者は、RDP サービスを継続的にスキャンし、検出されたサーバーに対してクレデンシャル スタッフィング攻撃を開始する特殊なボットネットを使用します。
実装: ファイアウォール ルールを通じて RDP ポートへの直接インターネット アクセスをすべてブロックし、VPN のみのアクセス ポリシーを実装します。
強力でユニークなパスワードを使用する
パスワード セキュリティは Windows リモート デスクトップ セキュリティの基礎を形成しており、最新の攻撃手法に対抗するために現在の脅威基準を満たしている必要があります。
機能する CISA 要件:
- 完全な複雑さを備えた最小 16 文字
- 一意のパスワードはシステム全体で再利用されることはありません
- 特権アカウントの定期的なローテーション
- 辞書の単語や個人情報は含まれません
構成: [コンピュータの構成] > [ポリシー] > [Windows の設定] > [セキュリティの設定] > [アカウント ポリシー] > [パスワード ポリシー] のグループ ポリシーでパスワード ポリシーを設定します。これにより、ドメイン全体での強制が保証されます。
ネットワークレベル認証 (NLA) を有効にする
ネットワーク レベル認証では、RDP セッションを確立する前に認証が必要であり、リモート接続プロトコルを保護するために不可欠な保護を提供します。
NLA は、攻撃者が Windows ログイン画面に到達するのを防ぎ、リソースを大量に消費する接続試行をブロックし、失敗した認証試行によるサーバーの負荷を軽減します。
構成手順:
- ターゲットサーバーのシステムプロパティを開きます。
- 「リモート」タブに移動します
- 「ネットワーク レベル認証を使用してリモート デスクトップを実行しているコンピューターからの接続のみを許可する」を有効にします。
多要素認証 (MFA) を実装する
多要素認証は、パスワード以外の追加の検証を要求することで、資格情報ベースの攻撃を阻止します。これは、Windows リモート デスクトップの安全な接続セキュリティに対する最も効果的な単一の改善を表します。
| MFA法 | セキュリティレベル | 実施時間 | 最適な用途 |
| Microsoft認証システム | 高い | 2~4時間 | ほとんどの環境 |
| SMS認証 | 中くらい | 1時間 | 迅速な導入 |
| ハードウェアトークン | 非常に高い | 1~2日 | 高度なセキュリティゾーン |
| スマートカード | 非常に高い | 2~3日 | エンタープライズ環境 |
Microsoft Authenticator は、ほとんどの展開においてセキュリティと使いやすさの最適なバランスを提供します。ユーザーは、保護の利点を理解すると、すぐに適応します。
VPN アクセスが必要
VPN 接続は、RDP セッションを含むすべてのネットワーク トラフィックを保護する暗号化されたトンネルを作成します。このアプローチは、安全なリモート アクセスのベスト プラクティスに対して最も信頼性の高い保護を提供します。
VPN セキュリティの利点:
- すべての通信チャネルの暗号化
- 一元化された認証とアクセスログ
- ネットワークレベルのアクセス制御
- 必要な場合の地理的制限
ユーザーが最初に VPN 経由で接続する場合、VPN サービスに対して 1 回、RDP セッションに対して再度認証という 2 回認証が行われます。この二重認証により、不正アクセスが一貫してブロックされてきました。 の 最高の RDP プロバイダー 実装。
ジャンプホストのセットアップ
ジャンプ ホストは、内部 RDP アクセスの制御されたエントリ ポイントとして機能し、リモート デスクトップ展開のセキュリティを強化する集中監視とセキュリティ制御を提供します。
ジャンプホストのアーキテクチャ:
- VPN経由でのみアクセス可能な専用サーバー
- セッションのログ記録と記録を完了する
- ユーザーごとのきめ細かなアクセス制御
- 自動セキュリティ監視
ジャンプ ホストは、完全な監査証跡を維持しながらマルチホップ プロセスを自動化する接続マネージャー ツールと組み合わせると、最も効果的に機能します。
SSL証明書による安全なRDP
SSL/TLS 証明書は、デフォルトの RDP セキュリティを超える強化された暗号化を提供し、資格情報やセッション データを傍受する可能性のある中間者攻撃を防ぎます。
証明書の実装:
- すべての RDP サーバーの証明書を生成する
- 証明書認証を要求するように RDP サービスを構成する
- 認証局情報をクライアント システムに展開する
- 証明書の有効期限と更新を監視する
信頼できる機関からの専門的な証明書は、自己署名証明書よりも優れたセキュリティを提供し、エンタープライズ環境でのクライアント構成を簡素化します。
PAM ソリューションを使用してアクセスを制限する
Privileged Access Management (PAM) ソリューションは、RDP アクセスの包括的な制御を提供し、リモート接続プロトコルを保護するためのジャストインタイムのアクセス許可と自動資格情報管理を実装します。
PAM 機能:
- 承認されたリクエストに基づく一時的なアクセスのプロビジョニング
- 自動化されたパスワードのローテーションとインジェクション
- リアルタイムのセッション監視と記録
- 行動分析を使用したリスクベースのアクセス決定
Delinea Secret Server は、企業の Windows リモート デスクトップ セキュリティ実装に必要な高度な制御を提供しながら、Active Directory と統合します。
高度なセキュリティ構成
これらの構成は、重要なセキュリティ慣行を補完し、多層防御の保護を提供します。
デフォルトの RDP ポートを変更する
ポートからの RDP の変更 3389 特にデフォルトのポートをターゲットとする自動スキャン ツールをブロックします。包括的な保護ではありませんが、ログ分析に基づくと、ポートの変更により攻撃の試みが約 80% 減少します。
実装: レジストリ設定を変更するか、グループ ポリシーを使用してカスタム ポートを割り当ててから、3389 をブロックしながら新しいポートを許可するようにファイアウォール ルールを更新します。
アカウント ロックアウト ポリシーを構成する
アカウント ロックアウト ポリシーは、認証試行が繰り返し失敗するとアカウントを自動的に無効にし、ブルート フォース攻撃に対する効果的な保護を提供します。
グループ ポリシーの構成:
- [コンピュータの構成] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [アカウント ポリシー] > [アカウント ロックアウト ポリシー] に移動します。
- ロックアウトしきい値の設定: 3 ~ 5 回の試行失敗
- ロックアウト期間の構成: 15 ~ 30 分
- セキュリティ要件とユーザーの生産性のバランスをとる
RDP アクティビティを監視する
SIEM (セキュリティ情報およびイベント管理) システムは、RDP イベントを他のセキュリティ データと関連付けて脅威や攻撃パターンを特定する集中監視を提供します。
監視要件:
- すべての RDP サーバーの Windows イベント ログの収集
- 認証失敗時の自動アラート
- 接続ソースの地理的異常の検出
- 脅威インテリジェンス フィードとの統合
接続マネージャー プラットフォームは、セッションの動作をさらに可視化し、調査が必要な異常なアクセス パターンを特定するのに役立ちます。
統合セッション管理
最新のプラットフォームは、統合インターフェイスを介した RDP と SSH の両方の複数のリモート セッションの管理をサポートし、さまざまなアクセス方法にわたって一貫したセキュリティ ポリシーを提供します。
統合管理の利点:
- すべてのリモート アクセスに対する単一の認証ポイント
- プロトコル間で一貫したセキュリティ ポリシー
- 一元化されたセッション記録と監査証跡
- セキュリティを維持しながら簡素化されたユーザー エクスペリエンス
Delinea シークレット サーバーの実装
Delinea Secret Server のようなエンタープライズ ソリューションは、完全な監査証跡を維持しながらパスワードの公開を排除する統合された資格情報保管機能を備えた包括的な特権リモート アクセス管理を提供します。
PRA ワークフロー:
- ユーザーは集中プラットフォームを通じてアクセスを要求します
- システムは、定義されたポリシーに基づいて ID と権限を検証します。
- 認証情報は自動的に取得され、セッションに挿入されます。
- すべてのセッションアクティビティはリアルタイムで記録されます
- アクセスはスケジュールされた間隔で自動的に終了します
このアプローチは、セキュリティ フレームワークへの準拠に必要な詳細な監査証跡を提供しながら、資格情報の盗難を防止します。
追加のセキュリティ対策
これらの追加の対策は、コアのセキュリティ慣行を補完し、包括的な RDP セキュリティに対する多層防御の保護を提供します。重要なプラクティスは主な防御を形成しますが、これらの補助的な制御を実装すると、攻撃対象領域がさらに減少し、全体的なセキュリティ体制が強化されます。
ソフトウェアを常に最新の状態に保つ
定期的なセキュリティ更新は、攻撃者が積極的に悪用する新たに発見された脆弱性に対処します。 BlueKeep (CVE-2019-0708) や DejaBlue などの重大な RDP 脆弱性は、タイムリーなパッチ適用の重要性と更新の遅延による深刻なリスクを示しています。
パッチ適用のタイムラインにより、危険な脆弱性が発生します。研究によると、 組織では大幅に時間がかかる 攻撃者が悪用するのに必要なセキュリティ修正を適用するには、重大な脆弱性の 50% を修復するのに平均 55 日かかりますが、大量の悪用は通常、公開からわずか 5 日以内に始まります。
アップデート管理:
- すべての RDP 対応システムに対する自動パッチ展開
- Microsoft セキュリティ情報の購読
- 実稼働前にステージング環境で更新をテストする
- 重大な脆弱性に対する緊急パッチ適用手順
セッション管理
適切なセッション構成により、非アクティブな接続が悪用可能な状態のままになるのを防ぎます。
| 設定 | 価値 | セキュリティ上のメリット |
| アイドルタイムアウト | 30分 | 自動切断 |
| セッション制限 | 8時間 | 強制再認証 |
| 接続制限 | ユーザーあたり 2 個 | ハイジャックを防止する |
危険な機能を無効にする
RDP リダイレクト機能はデータ抽出パスを作成する可能性があるため、特に必要でない限り無効にする必要があります。
| 特徴 | リスク | メソッドを無効にする |
| クリップボード | データの盗難 | グループポリシー |
| プリンター | マルウェアの注入 | 管理用テンプレート |
| ドライブ | ファイルアクセス | レジストリ設定 |
結論
RDP を保護する方法を学ぶには、単一の保護方法に依存するのではなく、複数のセキュリティ層を実装する必要があります。最も効果的なアプローチは、VPN アクセス、強力な認証、適切な監視、定期的な更新を組み合わせたものです。
他のセキュリティ対策に関係なく、RDP をインターネットに直接公開しないでください。代わりに、完全な監査機能を備えた制御されたアクセス チャネルを提供する VPN ファースト ポリシーまたは RDP ゲートウェイ ソリューションを実装します。
効果的な RDP セキュリティには、新たな脅威に対する継続的な注意と、保護の有効性を維持するための定期的なセキュリティ評価が必要です。専門的に管理されたソリューションについては、次の点を考慮してください。 RDPサーバーホスティング デフォルトで包括的なセキュリティ対策を実装するプロバイダー。
