リモートアクセスセキュリティとは
2021年5月、Colonial Pipelineへのランサムウェア攻撃は、多要素認証が設定されていなかった1つのVPNアカウントの侵害に端を発しました。この1つの脆弱性により、パイプラインの運用が数日間停止し、約440万ドルの身代金が支払われたと報告されています。米国司法省は後に、その身代金に関連する約63.7ビットコイン(当時約230万ドル相当)を押収しました。
リモートアクセスセキュリティは、外部ユーザーやデバイスと社内リソース間のすべての接続を保護する多層的な防御フレームワークです。これは、従業員、契約業者、サードパーティがネットワーク境界外から企業システムへ接続する際のポリシー、技術、制御を含みます。VPNトンネル、SSHセッション、RDP接続、クラウドアプリケーションへのログインなど、分散した従業員が日常的に利用するすべての経路が対象です。
2025 Verizon DBIRによると、確認された侵害の22%に盗まれた認証情報が関与していました。SANS Instituteの調査では、セキュリティインシデントを経験した組織のうち、50%が外部接続やリモートアクセス経路から発生していました。これらの数字は、リモートアクセス経路が依然として企業侵害の主要な標的であることを示しています。
NIST SP 800-46は、リモートアクセスセキュリティを「企業のテレワーク、リモートアクセス、BYOD(Bring Your Own Device)」環境を含むものと定義しています。NISTは、これらの技術のすべての構成要素(BYODクライアントデバイスを含む)が、脅威モデルで特定された想定される脅威に対して保護されるべきであると規定しています。
この要件を実践するには、リモートアクセスが自社のサイバーセキュリティモデル全体のどこに位置付けられるかを理解する必要があります。
リモートアクセスセキュリティが重要な理由
リモートアクセスセキュリティは、アイデンティティ管理、ネットワークセキュリティ、エンドポイント保護の交差点に位置します。 NISTサイバーセキュリティフレームワークでは、「Protect (PR)」機能の「Identity Management, Authentication, and Access Control (PR.AA)」に位置付けられ、基盤的な制御ドメインとされています。すべてのVPNエンドポイント、ジャンプサーバー、リモートデスクトップゲートウェイは、攻撃者が積極的に狙う侵入口です。
本ガイドで参照される基礎用語については、SentinelOneの Cybersecurity 101ライブラリをご参照ください。その上で、リモートアクセス経路を狙う具体的な攻撃パターンを理解することで、優先的に強化すべき箇所を特定できます。
一般的なリモートアクセスセキュリティリスク
攻撃者はリモートアクセス基盤を主要な侵入口と見なしています。具体的な脅威パターンを理解することで、最も重要な部分の強化を優先できます。
- VPNおよび境界アプライアンスの悪用: VPNゲートウェイやファイアウォールはネットワークの境界に位置し、国家支援グループやランサムウェアオペレーターにとって高価値な標的です。CISAの 2023年最も頻繁に悪用された脆弱性アドバイザリによると、その年に最も悪用されたCVEの大半はゼロデイとして最初に悪用され、Citrix、Fortinet、Ivanti製品が目立ちました。2024年も同様の傾向が続き、CISAは脅威アクターがIvanti Connect Secureの複数の脆弱性を連鎖させて認証を回避し、ウェブシェルを設置し、認証情報を窃取した事例について共同アドバイザリを発表しました。攻撃者はその後、RDP、SSH、nmapなどアプライアンス自体のネイティブツールを使って横展開を行いました。
- 認証情報の窃取とブルートフォース攻撃: 盗まれた認証情報は、攻撃者がリモートアクセスを得る最も一般的な手段です。冒頭で述べた通り、確認された侵害の約4分の1は盗まれた認証情報が関与しており、RDP、VPNポータル、SSHエンドポイントに対するブルートフォースやクレデンシャルスタッフィング攻撃は絶えません。 85%以上の組織が、月のうち少なくとも25%の期間、RDPをインターネット経由でアクセス可能にしており、攻撃者にとってパスワードスプレー攻撃の持続的な標的となっています。
- セッションハイジャックと認証後の悪用: 認証だけではリスクを排除できません。有効なセッショントークンやクッキーを入手した攻撃者は、MFAを完全に回避できます。Citrix NetScalerのCVE-2023-4966(「CitrixBleed」)はセッショントークンの漏洩を許し、攻撃者は認証情報を一切入力せずに認証済みアクセスを得られました。一度侵入されると、RDP、SMB、管理ツールを使った横展開が標準的な手口です。Sophosのインシデント対応データによると、攻撃者は 調査対象インシデントの69%でRDPを横展開に悪用しており、この段階で最も乱用されるプロトコルとなっています。
- サードパーティおよびベンダーアクセスの悪用: 契約業者、マネージドサービスプロバイダー、サプライチェーンベンダーが持つリモートアクセス認証情報は、独自の脅威カテゴリです。サードパーティ接続は 2024年の全報告侵害の35.5%を占め、前年から6.5%増加しました。ベンダーアカウントは広範な権限を持ち、セッション監視がなく、プロジェクト終了後も長期間有効なまま残ることが多いため、リスクが増大します。2023年のCaesars Entertainment侵害では、アウトソースITサポートベンダーへのソーシャルエンジニアリングにより初期アクセスが得られ、約1,500万ドルの損害が発生しました。
- リモートアクセスツールのサプライチェーン攻撃: 攻撃者はツール自体も標的にします。2024年のScreenConnect脆弱性(CVE-2024-1708およびCVE-2024-1709)の悪用は、リモート管理プラットフォームがいかに迅速に攻撃経路となるかを示しました。Black BastaやBl00dyなどのランサムウェアグループは、数日以内にこれらの脆弱性を悪用し、ツールの組み込み機能を使って接続されたエンドポイント全体にマルウェアを拡散しました。リモートアクセスプラットフォームが侵害されると、その管理下にあるすべてのデバイスが到達可能となります。
これらの脅威パターンそれぞれに、対応する強化策があります。以下のベストプラクティスは、プロトコルごとに対策を示します。
リモートアクセスセキュリティのベストプラクティス
多くのリモートアクセスプログラムは、技術層ではなく運用面で失敗します。VPNログは接続・切断イベントのみを記録し、リソースレベルの文脈が欠如しているため、死角が生じます。VPNとMFAをゴールと見なすのはよくある誤りであり、セグメンテーション、デバイスコンプライアンス、セッション監視がなければ、ログイン後の横展開リスクは依然として残ります。以下の実践は、アーキテクチャ全体を一度に再設計せずとも適用できる、プロトコル重視のリモートアクセスベストプラクティスです。
VPNの強化
NSA/CISAの VPN強化ガイダンスに従ってください:
- CNSA Suite要件に従い、IKEv2/IPsecとAES-GCM-256暗号化を強制
- レガシー暗号スイートおよび非推奨のDiffie-Hellmanグループを排除
- すべてのリモートアクセス試行に対し、集中型AAA層によるMFAを強制
- 接続イベントおよびアカウント変更を明確なアラート付きで監視
ここではパッチ適用の迅速さが他のどのレイヤーよりも重要です。 CISAアドバイザリによると、リモートアクセス脆弱性の悪用は公開から9~13日以内に発生する可能性があり、月次パッチサイクルではインターネット公開VPNゲートウェイに大きなリスクウィンドウが生じます。境界アプライアンスは緊急パッチ対象として、1桁日数での対応を目指してください。
VPNセキュリティが依然として高優先度の課題である理由については、SentinelOneのVPNセキュリティ解説をご参照ください。VPNゲートウェイの強化が完了したら、次にサーバーやインフラアクセスで最も一般的に使われるプロトコルに注目しましょう。
SSHの強化
SSHのセキュリティ制御を適用し、鍵の乱立や認証情報リプレイリスクを低減します:
- SSHプロトコルバージョン2のみとし、最新の暗号(AES-256-GCM、ChaCha20-Poly1305)を使用
- 鍵認証を必須とし、パスワードログインを完全に無効化
- 鍵の発行、ローテーション、失効を証明書認証局やシークレットマネージャで集中管理
- セッションメタデータを記録し、異常なコマンドパターンを調査
- 認証試行回数と接続タイムアウトを設定し、ブルートフォース攻撃を遅延
SSH鍵管理の集中化は、多くのチームにとって最も効果的な対策です。長期間稼働するサーバー上の孤立した鍵は、監査で繰り返し指摘される一般的な死角です。
RDPの強化
CISAの RDP排除ガイダンスは、境界でポート3389をブロックすることを明示しています。その上で、追加の制御を重ねてください:
- RDPが内部システムに到達する前にVPNまたはブローカー経由のアクセスを必須化
- ゲートウェイにNLAと強力なTLS構成を適用
- ブローカーまたはゲートウェイアクセス時にMFAを適用
- アイドルセッションタイムアウトを設定し、データ機密性が求められる場合はクリップボードやドライブリダイレクトを制限
管理されていないデバイスがポスチャチェックなしで接続できる場合、検査・パッチ・制御できないマシンからの認証情報窃取リスクを受け入れることになります。BYODをサポートする環境では、デバイスの健全性を検証してからアクセスを許可するブローカー経由の経路を利用してください。プロトコルごとの強力な制御を導入しても、ログイン後のネットワークレベルアクセスによる横展開リスクは残るため、ゼロトラストアーキテクチャでこのギャップを埋めます。
ゼロトラストの導入
ログイン後の横展開を抑制するため、CISAの Zero Trust Maturity Modelを活用し、段階的にゼロトラストを導入してください:
- ネットワークレベルのVPNアクセスをアプリケーションレベルアクセスに置き換え、まずは高価値資産から開始
- アイデンティティ、デバイス状態、行動に基づくセッション単位の判断を実施
- マイクロセグメンテーションを適用し、リモートセッションの影響範囲を限定
- ゼロトラストを既存スタックと統合する段階的なアップグレードとして扱う
SentinelOneの ゼロトラストセキュリティガイドでは、ゼロトラストリモートアクセス原則を実効性のあるアクセス制御ポリシーに落とし込む方法を解説しています。内部アクセス経路のセグメント化が完了した後も、外部パーティによる監視の行き届かない接続が残る場合があります。
サードパーティおよびベンダーアクセス制御
契約業者、MSP、サプライチェーンベンダーには、従業員とは異なる制御が必要です。これらのアカウントは、プロジェクトに必要以上の権限を持ち、セッション監視がなく、作業終了後も長期間有効なまま残ることが多いです。以下の重点的な対策で強化してください:
- メンテナンスウィンドウやプロジェクト終了時に自動的に失効するジャストインタイムアクセスを強制
- ベンダーセッションを必要なアプリケーションやシステムのみに限定し、ネットワーク全体へのアクセスを許可しない
- 特権操作を含むベンダーセッションを記録・監査
- 非アクティブなベンダーアカウントを定期的に見直し・無効化し、年次監査時だけでなく継続的に管理
ベンダーアクセス制御は、多くのチームが最後に実装し、攻撃者が最初に悪用するポイントです。内部プロトコルと同等の厳格さで管理することで、迅速な効果が得られます。
フィッシング耐性のあるMFAの強制
MFAは必須ですが、SMSやプッシュ型方式は推奨されません。攻撃者はリアルタイムフィッシングプロキシやプッシュ疲労キャンペーンを通じて両者を回避します。NSAおよびCISAのガイダンスは明確であり、企業のリモートアクセスにはPKIおよびFIDO2標準に基づくフィッシング耐性方式を使用し、利便性重視の代替手段は避けるべきです。
- 特権アカウントやリモート管理セッションにはハードウェアセキュリティキー(FIDO2)または証明書ベース認証を必須化
- フィッシング耐性オプションが利用可能なリモートアクセス経路では、SMSおよび音声ベースのMFAを無効化
- 個別アプリケーション設定ではなく、集中型AAA層でMFAを強制し、設定ギャップを解消
- MFA承認パターンを監視し、新規デバイス登録からの急速な承認など異常行動をアラート
フィッシング耐性MFAは、認証層での認証情報ベースのリモートアクセス攻撃の大半を排除します。MFAを強化した後は、デバイスポスチャが攻撃者の次の標的となります。
アクセス許可前のデバイスポスチャ確認
認証済みユーザーであっても、管理されていない未パッチデバイスからの接続は安全ではありません。エンドポイントポスチャ検証は、セッション開始前に接続デバイスのセキュリティ状態を確認し、最低限のセキュリティ基準を満たさないマシンからのアクセスを遮断します。
- アクセス許可前にパッチ適用状況、OSバージョン、エンドポイント保護の有効性を確認
- 管理されていないデバイスは、ネットワーク全体アクセスを許可せず、リメディエーション経路に誘導
- リモートアクセスを許可するすべてのデバイスにディスク暗号化を必須化
- セッション開始時にデバイスポスチャを再評価し、長時間接続での構成ドリフトを検知
管理されていないデバイスは、企業資産と同等に検査・パッチ・制御できないため、死角となります。ゲートでデバイスポスチャを確認した後は、セッション中の動作を継続的に可視化することが残された課題です。
セッションの継続的監視
ログイン時の一度きりの認証では、その後の動作を保護できません。有効な認証情報を盗まれたり、セッションをハイジャックされた攻撃者は、正規ユーザーとは異なる行動を取ります。継続的なセッション監視により、横展開が重要資産に到達する前に逸脱を特定できます。
- 通常のパターン(発信元、典型的なアクセス時間、アクセスリソース、サーバー側セッションのコマンド量)をベースライン化
- 不可能な移動、時間外の管理者アクセス、急激なリソースアクセス増加を即時調査対象としてフラグ
- VPN、エンドポイント、アイデンティティのテレメトリを統合し、リモートセッションからのすべての後続アクションを相関付け
- 高信頼度の異常に対して自動応答を設定(例:認証情報ダンピングツールへのピボット時にセッションをブロック)
リモートセッション周辺の検知カバレッジ構築については、SentinelOneの 脅威ハンティングガイドをご参照ください。
リモート管理アカウントへの特権アクセス管理の適用
特権アカウントに紐づくリモートセッションは、環境内で最も価値の高い標的です。ネットワーク制限のない管理者セッションが侵害されると、初期アクセスからドメインコントローラー到達まで数分で進行します。特権アクセス管理(PAM)は、管理者認証情報の使用方法・タイミング・場所を制御することで、このリスクウィンドウを制限します。
- 各利用後に特権認証情報を自動ローテーションし、セッション間の再利用を防止
- すべての特権リモートセッションを記録し、フォレンジック調査のためにログを保持
- 管理者セッションには、汎用エンドポイントから分離された専用特権アクセスワークステーション(PAW)を必須化
- 管理者アクセスを特定システム・時間帯に限定し、ジャストインタイムプロビジョニングを適用
これらの制御がない特権アカウントは、初期リモートアクセスからドメイン全体の侵害までの最短経路となります。PAMの適用により、単一の盗難管理者認証情報が環境全体の乗っ取りにつながるリスクを封じます。
SentinelOneによるリモートアクセスセキュリティの強化
分散した従業員環境でリモートアクセスを保護するには、可視性、迅速性、相関性が不可欠ですが、分断されたツールでは実現できません。 Singularity™ Platformは、エンドポイント、アイデンティティ、クラウドのテレメトリを単一コンソールに統合し、疑わしいVPNログインとその後のエンドポイント活動を複数システムを横断せずに調査できます。
ノイズに埋もれるチームにとって、定量的な効率性は重要です。MITRE ATT&CK評価において、SentinelOneは 全ベンダー中央値比で88%少ないノイズを実現し、トリアージ負荷を直接削減、アナリストが実際のリモートアクセス侵害対応に集中できるようにします。Storylineテレメトリはプロセスや接続の連鎖を自動再構築し、攻撃者がリモートセッションを使ってピボットした際の根本原因分析を迅速化します。
午前2時に認証情報侵害から横展開が始まった場合、5つのダッシュボードを手動で相関させるのではなく、自律的な対応が必要です。
SentinelOneの行動AIは、RDPセッション後の異常なプロセス実行やVPNアクセス後の認証情報ダンピングなど、認証後の疑わしい活動を検知します。 Singularity™ Identityは、この保護をアイデンティティ基盤にも拡張し、Active DirectoryやEntra IDへの進行中の攻撃をリアルタイムで検知・防御します。Singularity™ Identityは、弱い・露出した・侵害された認証情報を継続的にスキャンし、自動対応でこれらの認証情報を修復します。これはオンプレミス(Active Directory)とクラウド環境(Entra ID、Okta、Ping、SecureAuth、Duoなど)双方で実現されます。
調査の迅速化には、 Purple AIが自然言語を使った環境全体のスコープハントを可能にします。アーリーアダプターは、Purple AIにより 脅威ハンティングや調査が最大80%高速化したと報告しています。このスピードは、「過去48時間に管理されていないデバイスからのRDPセッションをすべて表示」といった問いに迅速に答える際に重要です。
SentinelOneのデモをリクエストし、Singularity Platformが自社環境のリモートアクセス可視化と対応をどのように強化するかをご確認ください。
重要なポイント
リモートアクセスは、アイデンティティ、エンドポイントポスチャ、ネットワーク制御が交差する領域であり、攻撃者はVPNアプライアンスのゼロデイ、公開RDPへのクレデンシャルスタッフィング、認証後のセッションハイジャック、リモート管理ツールへのサプライチェーン攻撃など、あらゆる隙間を狙います。これらのリスクは、VPN・SSH・RDP制御の強化、フィッシング耐性MFAの強制、デバイスポスチャの検証、最小権限とセグメント化アクセスの適用といったリモートアクセスベストプラクティスの実践で低減できます。
「VPN+MFA」に依存したプログラムの場合、攻撃者がログイン後にピボットできると想定し、認証情報窃取がドメイン全体に波及する実際の経路については、SentinelOneの ランサムウェアガイドでリモートアクセス主導の侵害時に見られる隣接戦術を確認してください。
よくある質問
いいえ。VPNは接続時にユーザーを認証し、通信中のトラフィックを暗号化しますが、ログイン後に最小権限を強制することはありません。一度接続されると、ユーザーは広範なネットワークアクセス権を継承することが多く、認証情報が盗まれたりセッションがハイジャックされた場合、ラテラルムーブメントが容易になります。
このギャップを埋めるには、セッションが到達できる範囲を制限するセグメンテーション、接続元を検証するデバイスポスチャーチェック、重要資産に到達する前にログイン後の悪用を検知する継続的な監視が必要です。
最も頻度の高いリスクは、認証情報の窃取とセッションの悪用です。盗まれた認証情報により、攻撃者は境界制御を回避して認証済みのVPNやRDPアクセスを取得できます。CitrixBleed(CVE-2023-4966)で示されたように、セッションハイジャックでは有効なセッショントークンを利用してMFAを完全に回避することが可能です。
サードパーティアクセスの悪用、未修正のリモートアクセス機器、リモート管理ツールに対するサプライチェーン攻撃もリスク要因となります。各攻撃パターンには直接的なハードニングコントロールがありますが、複数のギャップが同時に存在するとリスクは急速に増大します。
MFAは、接続している人物がパスワードを知っているだけの他人ではなく、本人であることを検証します。リモートアクセスにおいては、認証情報の詰め込み攻撃やブルートフォース攻撃を阻止する主要なコントロールです。
しかし、MFAの有無だけでなく、その品質も重要です。SMSやプッシュベースの方式は、リアルタイムのフィッシングプロキシやプッシュ疲労攻撃に対して脆弱です。FIDO2やPKI証明書に基づくフィッシング耐性のある方式は、これらの弱点を排除し、NSAやCISAが企業のリモートアクセスに推奨する標準となっています。
管理されていない個人デバイス、契約業者所有のノートパソコン、BYODエンドポイントは、パッチの適用状況、インストールされているソフトウェア、構成のベースラインを確認できないため、最もリスクが高くなります。攻撃者は、組織がこれらのデバイスにも管理された企業資産と同様のネットワークアクセスを許可していることを知っており、これらのデバイスを標的にします。
管理されていないデバイスは、セッションを開始する前にポスチャーを確認する仲介アクセス経路を経由させ、ポスチャーチェックを通過した後でもアクセス可能なリソースを制限してください。
露出と悪用の可能性が重なる箇所から始めてください。RDPがインターネットから到達可能な場合は、ポート3389を直ちにブロックし、ブローカー経由のアクセスを強制します。次に、VPNアプライアンスの未修正CVE、脆弱な認証、レガシー暗号を監査します。
その後、SSHについては鍵の棚卸しと発行・ローテーションの集中管理を実施します。インターネット露出、権限レベル、インシデント履歴に基づいて優先順位を決定してください。
境界のリモートアクセスシステムは緊急パッチ対象として扱ってください。攻撃者は迅速に悪用するためです。CISAは公開から9~13日以内に悪用が発生した事例を記録しています。つまり、月次サイクルでは大きなリスクが残ります。
インターネット公開VPNゲートウェイ、RDPブローカー、SSHバスチオンについては、検証やロールバック計画も含めて一桁日数でのパッチ適用を目標としてください。迅速なパッチ適用が困難な場合は、代替コントロールで露出を低減してください。
ログイン成功だけでなく、行動やセッションのコンテキストに注目してください。送信元の地理情報、デバイス種別、時間帯、通常アクセスされるリソースなどの正常パターンをベースライン化します。
その上で、不可能な移動、リモートログイン直後の異常な管理ツール起動、重要ファイル共有への突然のアクセスなどの異常を検知します。VPN、エンドポイント、IDのテレメトリを組み合わせ、リモートセッションとログイン後の活動を相関させてください。
