リモートアクセスセキュリティとは
2021年5月、コロニアル・パイプラインへのランサムウェア攻撃は、多要素認証が設定されていなかった1つのVPNアカウントの侵害に端を発しました。この1つの脆弱性により、パイプラインの運用が数日間停止し、報告によれば440万ドルの身代金が支払われました。米国司法省は後に、その身代金に関連する約63.7ビットコイン(当時約230万ドル相当)を押収しました。
リモートアクセスセキュリティは、外部ユーザーやデバイスと社内リソース間のすべての接続に対して構築する多層的な保護フレームワークです。これは、従業員、契約業者、サードパーティがネットワーク境界外から企業システムへ接続する方法を管理するポリシー、技術、制御を含みます。これには、分散した従業員が日常的に利用するすべてのVPNトンネル、SSHセッション、RDP接続、クラウドアプリケーションへのログインが含まれます。
2025 Verizon DBIRによると、確認された侵害の22%に盗まれた認証情報が関与していました。SANS Instituteの調査では、セキュリティインシデントを経験した組織のうち、50%が外部接続またはリモートアクセス経路から発生していました。これらの数字は、リモートアクセス経路が依然として企業侵害の最も狙われる入口の1つであることを示しています。
NIST SP 800-46は、リモートアクセスセキュリティを「企業のテレワーク、リモートアクセス、BYOD(Bring Your Own Device)」環境を包含するものと定義しています。NISTは、これら技術のすべての構成要素(BYODクライアントデバイスを含む)が、脅威モデルで特定された想定される脅威に対して保護されるべきであると規定しています。
この要件を実践するには、リモートアクセスが自社のサイバーセキュリティモデル全体のどこに位置付けられるかを理解する必要があります。
.jpg)
リモートアクセスセキュリティが重要な理由
リモートアクセスセキュリティは、アイデンティティ管理、ネットワークセキュリティ、エンドポイント保護の交差点に位置します。 NISTサイバーセキュリティフレームワークでは、「Protect (PR)」機能の「Identity Management, Authentication, and Access Control (PR.AA)」に位置付けられ、基盤的な制御ドメインとされています。すべてのVPNエンドポイント、ジャンプサーバー、リモートデスクトップゲートウェイは、攻撃者が積極的に狙う入口となります。
本ガイドで参照される基礎用語については、SentinelOneの Cybersecurity 101ライブラリをご参照ください。その上で、リモートアクセス経路を狙う具体的な攻撃パターンを理解することで、優先的に強化すべき箇所を特定できます。
一般的なリモートアクセスセキュリティリスク
攻撃者はリモートアクセス基盤を主要な侵入口と見なしており、二次的なものとは考えていません。具体的な脅威パターンを理解することで、最も重要な箇所の強化を優先できます。
- VPNおよび境界アプライアンスの悪用: VPNゲートウェイやファイアウォールはネットワークの境界に位置し、国家支援グループやランサムウェアオペレーターにとって高価値な標的となります。CISAの 2023年最も頻繁に悪用された脆弱性アドバイザリによれば、その年に最も悪用されたCVEの大半はゼロデイとして最初に悪用され、Citrix、Fortinet、Ivanti製品が目立ちました。2024年も同様の傾向が続き、CISAは脅威アクターがIvanti Connect Secureの複数の脆弱性を連鎖させて認証を回避し、Webシェルを設置し、認証情報を窃取した事例について共同アドバイザリを発表しました。攻撃者はその後、RDP、SSH、nmapなどアプライアンス自体のネイティブツールを用いて横展開を行いました。
- 認証情報の窃取およびブルートフォース攻撃: 盗まれた認証情報は、攻撃者がリモートアクセスを得る最も一般的な手段です。冒頭で述べた通り、確認された侵害のほぼ4分の1が盗まれた認証情報に関与しており、RDP、VPNポータル、SSHエンドポイントに対するブルートフォースやクレデンシャルスタッフィング攻撃は絶えません。 85%以上の組織が、月のうち少なくとも25%の期間、RDPをインターネット経由でアクセス可能な状態にしており、攻撃者にとってパスワードスプレー攻撃の持続的な標的となっています。
- セッションハイジャックおよび認証後の悪用: 認証だけではリスクを排除できません。有効なセッショントークンやクッキーを取得した攻撃者は、MFAを完全に回避できます。Citrix NetScalerのCVE-2023-4966(「CitrixBleed」)はセッショントークンの漏洩を許し、攻撃者は認証情報を一切入力せずに認証済みアクセスを得られました。一度侵入されると、RDP、SMB、管理ツールを用いた横展開が標準的な手口となります。Sophosのインシデント対応データによれば、攻撃者は 調査対象インシデントの69%でRDPを横展開に悪用しており、この段階で最も乱用されるプロトコルとなっています。
- サードパーティおよびベンダーアクセスの悪用: 契約業者、マネージドサービスプロバイダー、サプライチェーンベンダーが持つリモートアクセス認証情報は、独自の脅威カテゴリとなります。サードパーティ接続は 2024年の全報告侵害の35.5%を占め、前年から6.5%増加しました。ベンダーアカウントは広範な権限を持ち、セッション監視がなく、プロジェクト終了後も長期間有効なまま残ることが多いため、リスクが増大します。2023年のCaesars Entertainment侵害では、アウトソースITサポートベンダーに対するソーシャルエンジニアリングが初期アクセス獲得に利用され、約1,500万ドルの損害が発生しました。
- リモートアクセスツールのサプライチェーン攻撃: 攻撃者はツール自体も標的とします。2024年のScreenConnect脆弱性(CVE-2024-1708およびCVE-2024-1709)の悪用は、リモート管理プラットフォームがいかに迅速に攻撃経路となるかを示しました。Black BastaやBl00dyなどのランサムウェアグループは、これらの脆弱性を数日以内に悪用し、ツールの組み込み機能を使って接続されたエンドポイント全体にマルウェアを拡散しました。リモートアクセスプラットフォームが侵害されると、それが管理するすべてのデバイスが到達可能となります。
これらの脅威パターンそれぞれに、特定の強化手順が対応します。以下のベストプラクティスは、プロトコルごとにそれらへ対処するものです。
リモートアクセスセキュリティのベストプラクティス
多くのリモートアクセスプログラムは、技術層ではなく運用面で失敗します。VPNログは接続・切断イベントのみを記録し、リソースレベルの文脈が欠如しているため、死角が生じます。VPNとMFAをゴールと見なすのはよくある誤りであり、セグメンテーション、デバイスコンプライアンス、セッション監視がなければ、ログイン後の横展開リスクは依然として残ります。以下の実践は、アーキテクチャ全体を一度に再設計せずとも適用できる、プロトコル重視のリモートアクセスベストプラクティスです。
VPNの強化
NSA/CISAの VPN強化ガイダンスに従ってください。
- CNSA Suite要件に従い、IKEv2/IPsecとAES-GCM-256暗号化を強制する
- レガシー暗号スイートおよび非推奨のDiffie-Hellmanグループを排除する
- すべてのリモートアクセス試行に対し、集中型AAA層でMFAを強制する
- 接続イベントおよびアカウント変更を明確なアラート付きで監視する
ここではパッチ適用の迅速さが他のどの層よりも重要です。 CISAアドバイザリによれば、リモートアクセス脆弱性の悪用は公開から9~13日以内に発生する可能性があり、月次パッチサイクルではインターネット公開VPNゲートウェイに大きなリスクウィンドウが生じます。境界アプライアンスは緊急パッチ対象として、1桁日数での対応を目指してください。
VPNセキュリティが依然として高優先度の課題である理由については、SentinelOneのVPNセキュリティ解説をご参照ください。VPNゲートウェイの強化が完了したら、次はサーバーやインフラアクセスで最も一般的に使われるプロトコルに注目しましょう。
SSHの強化
鍵のスプロールや認証情報リプレイリスクを低減するSSHセキュリティ制御を適用してください。
- SSHプロトコルバージョン2のみとし、最新の暗号(AES-256-GCM、ChaCha20-Poly1305)を使用する
- 鍵認証を必須とし、パスワードログインを完全に無効化する
- 鍵の発行、ローテーション、失効を証明書認証局またはシークレットマネージャで集中管理する
- セッションメタデータを記録し、異常なコマンドパターンを調査する
- 認証試行回数と接続タイムアウトを設定し、ブルートフォース攻撃を遅延させる
SSH鍵管理の集中化は、多くのチームにとって最も効果の高い対策です。長期間稼働するサーバー上の孤立した鍵は、監査で繰り返し指摘される一般的な死角です。
RDPの強化
CISAの RDP排除ガイダンスでは、境界でポート3389をブロックすることが明確に推奨されています。その上で、追加の制御を重ねてください。
- RDPが内部システムに到達する前にVPNまたはブローカー経由のアクセスを必須とする
- ゲートウェイでNLAおよび強力なTLS構成を強制する
- ブローカーまたはゲートウェイアクセス時にMFAを適用する
- アイドルセッションタイムアウトを設定し、データ機密性が求められる場合はクリップボードやドライブリダイレクトを制限する
管理されていないデバイスがポスチャチェックなしで接続できる状態は、検査・パッチ・制御できないマシンからの認証情報窃取リスクを受け入れることになります。BYODをサポートする環境では、デバイスの健全性を検証してからアクセスを許可するブローカー経由の経路を利用してください。プロトコルごとの強力な制御を導入しても、ログイン後のネットワークレベルアクセスは横展開リスクを残すため、ゼロトラストアーキテクチャでそのギャップを埋めます。
ゼロトラストの導入
ログイン後の横展開を抑制するため、CISAの Zero Trust Maturity Modelを活用し、段階的にゼロトラストを導入してください。
- ネットワークレベルのVPNアクセスをアプリケーションレベルアクセスに置き換え、高価値資産から開始する
- アイデンティティ、デバイス状態、行動に基づくセッション単位の判断を行う
- マイクロセグメンテーションを適用し、リモートセッションの影響範囲を限定する
- ゼロトラストを既存スタックと統合する段階的なアップグレードとして扱う
SentinelOneの ゼロトラストセキュリティガイドでは、ゼロトラストリモートアクセス原則を実効的なアクセス制御ポリシーに落とし込む方法を解説しています。内部アクセス経路のセグメント化が完了した後も、残るリスクは自社スタッフより監督が緩い外部関係者の接続にあります。
サードパーティおよびベンダーアクセス制御
契約業者、MSP、サプライチェーンベンダーには、従業員とは異なる制御が必要です。これらのアカウントは、プロジェクトに必要以上の権限を持ち、セッション監視がなく、作業終了後も長期間有効なまま残ることが多いです。以下の重点的な対策でこのカテゴリを強化してください。
- メンテナンスウィンドウやプロジェクト終了時に自動的に失効するジャストインタイムアクセスを強制する
- ベンダーセッションを必要なアプリケーションやシステムのみに限定し、ネットワーク全体へのアクセスを許可しない
- 特権操作を含むベンダーセッションを記録・監査する
- 非アクティブなベンダーアカウントを定期的に見直し、年次監査時だけでなく定められたサイクルで無効化する
ベンダーアクセス制御は、多くのチームが最後に実装し、攻撃者が最初に悪用するポイントであるため、内部プロトコルと同等の厳格さで管理することが早期の効果につながります。
フィッシング耐性のあるMFAの強制
MFAは必須ですが、SMSやプッシュ型方式は推奨されません。攻撃者はリアルタイムフィッシングプロキシやプッシュ疲労キャンペーンを通じて両者を回避し、繰り返し承認要求を送ることでユーザーが承認ボタンを押すまで疲弊させます。NSAおよびCISAのガイダンスでは、企業のリモートアクセスにはPKIおよびFIDO2標準に基づくフィッシング耐性方式を使用し、利便性重視の代替手段は避けるよう明記されています。
- 特権アカウントやリモート管理セッションにはハードウェアセキュリティキー(FIDO2)または証明書ベース認証を必須とする
- フィッシング耐性方式が利用可能なリモートアクセス経路では、SMSおよび音声ベースのMFAを無効化する
- 個別アプリケーション設定ではなく、集中型AAA層でMFAを強制し、設定ギャップを解消する
- MFA承認パターンを監視し、新規デバイス登録からの急速な承認など異常行動をアラートする
フィッシング耐性MFAは、認証層での認証情報ベースのリモートアクセス攻撃の大半を排除します。MFAが強化された後は、デバイスポスチャが攻撃者の次の標的となります。
アクセス許可前にデバイスポスチャを検証
認証済みユーザーであっても、管理されていない未パッチデバイスからの接続は安全ではありません。エンドポイントポスチャ検証は、接続デバイスのセキュリティ状態をセッション開始前に確認し、最低限のセキュリティ基準を満たさないマシンからのアクセスを遮断します。
- アクセス許可前にパッチ適用状況、OSバージョン、アクティブなエンドポイント保護を確認する
- 管理されていないデバイスはフルネットワークアクセスを許可せず、リメディエーション経路に誘導する
- リモートアクセスを許可するすべてのデバイスにディスク暗号化を必須とする
- セッション開始時にデバイスポスチャを再評価し、長時間接続での構成ドリフトを検知する
管理されていないデバイスは、企業資産と同等に検査・パッチ・制御できないため、死角となります。ゲートでデバイスポスチャを検証した後は、セッション中の動作を継続的に可視化することが残る課題です。
セッションを継続的に監視
ログイン時の一度きりの認証では、その後の動作を保護できません。有効な認証情報を盗まれたり、セッションをハイジャックされた攻撃者は、正規ユーザーとは異なる行動を取ります。継続的なセッション監視により、横展開が重要資産に到達する前にその逸脱を特定できます。
- 通常のパターン(発信元、典型的なアクセス時間、アクセスリソース、サーバー側セッションのコマンド量)をベースライン化する
- 不可能な移動、時間外の管理者アクセス、急激なリソースアクセス増加を即時調査対象としてフラグする
- VPN、エンドポイント、アイデンティティのテレメトリを統合し、リモートセッションからのすべての後続アクションを相関付ける
- 高信頼度の異常に対して自動応答を設定し、認証情報ダンピングツールへのピボットなどのセッションをブロックする
リモートセッション周辺の検知カバレッジ構築については、SentinelOneの 脅威ハンティングガイドもご参照ください。
リモート管理アカウントへの特権アクセス管理の適用
特権アカウントに紐づくリモートセッションは、環境内で最も価値の高い標的です。無制限のネットワーク到達性を持つ管理者セッションが侵害されると、初期アクセスからドメインコントローラー到達まで数分で進行します。特権アクセス管理(PAM)は、管理者認証情報の利用方法・タイミング・場所を制御することで、そのリスクウィンドウを制限します。
- 各利用後に特権認証情報を自動ローテーションし、セッション間の再利用を防止する
- すべての特権リモートセッションを記録し、フォレンジック調査のためにログを保持する
- 管理者セッションには、汎用エンドポイントから隔離された専用の特権アクセスワークステーション(PAW)を必須とする
- 管理者アクセスを特定システムおよび時間帯に限定し、ジャストインタイムプロビジョニングを活用する
これらの制御がない特権アカウントは、初期リモートアクセスからドメイン全体の侵害までの最短経路となります。PAMの適用により、単一の盗まれた管理者認証情報が環境全体の乗っ取りにつながるギャップを封じます。
SentinelOneによるリモートアクセスセキュリティの強化
分散した従業員環境でリモートアクセスを保護するには、サイロ化されたツールでは実現できない可視性、迅速性、相関性が必要です。 Singularity™ Platformは、エンドポイント、アイデンティティ、クラウドのテレメトリを単一コンソールに統合し、複数システムを横断せずに疑わしいVPNログインとその後のエンドポイント活動を調査できます。
ノイズに埋もれるチームにとって、定量的な効率は重要です。MITRE ATT&CK評価において、SentinelOneは 全ベンダー中央値より88%少ないノイズを記録し、トリアージ作業を直接的に削減し、アナリストが実際のリモートアクセス侵入への対応に集中できるようにします。Storylineテレメトリはプロセスや接続の連鎖を自動的に再構築し、攻撃者がリモートセッションを利用してピボットした際の根本原因分析を迅速化します。
午前2時に認証情報の侵害が横展開を引き起こした場合、5つのダッシュボードを手動で相関させるのではなく、自律的な対応が必要です。
SentinelOneの行動AIは、RDPセッション後の異常なプロセス実行やVPNアクセス後の認証情報ダンピングなど、認証後の不審な活動を検知します。 Singularity™ Identityは、その保護をアイデンティティ基盤にも拡張し、Active DirectoryやEntra IDに対する進行中の攻撃をリアルタイムで防御します。Singularity™ Identityは、弱い・露出した・侵害された認証情報を継続的にスキャンし、自動対応でこれらの認証情報を修復します。これはオンプレミス(Active Directory)およびクラウド環境(Entra ID、Okta、Ping、SecureAuth、Duoなど)双方で実施されます。
調査の迅速化には、 Purple AIが自然言語を用いた環境全体のスコープドハントを実現します。早期導入企業は、Purple AIにより 脅威ハンティングや調査が最大80%高速化されたと報告しています。このスピードは、「過去48時間に管理されていないデバイスからのRDPセッションをすべて表示」といった問いに迅速に答える際に重要です。
SentinelOneのデモをリクエストし、Singularity Platformが自社環境のリモートアクセス可視化と対応をどのように強化するかをご確認ください。
主なポイント
リモートアクセスは、アイデンティティ、エンドポイントポスチャ、ネットワーク制御が交差する領域であり、攻撃者はVPNアプライアンスのゼロデイ、公開RDPへのクレデンシャルスタッフィング、認証後のセッションハイジャック、リモート管理ツールへのサプライチェーン攻撃など、あらゆる隙間を狙います。これらのリスクは、VPN・SSH・RDP制御の強化、フィッシング耐性MFAの強制、デバイスポスチャの検証、セグメント化された最小権限アクセスの適用といったリモートアクセスベストプラクティスの実践で低減できます。
「VPN+MFA」に依存したプログラムの場合、攻撃者がログイン後にピボットできると想定し、認証情報窃取がドメイン全体に波及する実際の流れについては、SentinelOneの ランサムウェアガイドでリモートアクセス主導の侵入時に見られる隣接戦術を確認してください。
よくある質問
いいえ。VPNは接続時にユーザーを認証し、通信中のトラフィックを暗号化しますが、ログイン後に最小権限を強制することはありません。一度接続されると、ユーザーは広範なネットワークアクセス権を継承することが多く、認証情報が盗まれたりセッションがハイジャックされた場合、ラテラルムーブメントが容易になります。
このギャップを埋めるには、セッションがアクセスできる範囲を制限するセグメンテーション、接続元を検証するデバイスポスチャーチェック、重要資産に到達する前にログイン後の悪用を検知する継続的な監視が必要です。
最も頻度の高いリスクは、認証情報の窃取とセッションの悪用です。盗まれた認証情報により、攻撃者は境界制御を回避して認証済みのVPNやRDPアクセスを取得できます。CitrixBleed(CVE-2023-4966)で実証されたように、セッションハイジャックでは有効なセッショントークンを利用してMFAを完全に回避することが可能です。
サードパーティアクセスの悪用、未修正のリモートアクセス機器、リモート管理ツールに対するサプライチェーン攻撃もリスク要因となります。各攻撃パターンには直接的なハードニングコントロールがありますが、複数のギャップが同時に存在するとリスクは急速に増大します。
MFAは、接続している人物がパスワードを知っているだけの誰かではなく、主張通りの本人であることを検証します。リモートアクセスにおいては、認証情報の詰め込み攻撃やブルートフォース攻撃を阻止する主要な制御手段です。
しかし、MFAの有無だけでなく、その品質も重要です。SMSやプッシュベースの方式は、リアルタイムのフィッシングプロキシやプッシュ疲労攻撃に対して脆弱です。FIDO2やPKI証明書に基づくフィッシング耐性のある方式は、これらの弱点を排除し、エンタープライズのリモートアクセスに対してNSAやCISAが推奨する標準となっています。
管理されていない個人デバイス、契約業者所有のノートパソコン、BYODエンドポイントは、パッチの適用状況、インストールされているソフトウェア、構成のベースラインを確認できないため、最もリスクが高くなります。攻撃者は、組織がこれらのデバイスにも管理された企業資産と同様のネットワークアクセスを許可していることを知っており、これらのデバイスを標的にします。
管理されていないデバイスは、セッションを開始する前にポスチャーを確認する仲介アクセス経路を経由させ、ポスチャーチェックを通過した後でもアクセス可能なリソースを制限してください。
露出と悪用の可能性が重なる箇所から着手してください。RDPがインターネットから到達可能な場合は、ポート3389を直ちにブロックし、ブローカー経由のアクセスのみ許可します。次に、VPNアプライアンスの未修正CVE、脆弱な認証、レガシー暗号を監査します。
その後、SSHについては鍵の棚卸しと発行・ローテーションの集中管理を実施します。インターネット露出、権限レベル、インシデント履歴に基づき優先順位を決定してください。
境界のリモートアクセスシステムは緊急パッチ適用対象として扱ってください。攻撃者は迅速に悪用するためです。CISAは公開から9~13日以内に悪用が発生した事例を記録しており、月次サイクルでは大きなリスクが残ります。
インターネット公開VPNゲートウェイ、RDPブローカー、SSHバスチオンについては、検証やロールバック計画も含めて一桁日数でのパッチ適用を目標としてください。迅速なパッチ適用が困難な場合は、代替コントロールで露出を低減してください。
ログイン成功だけでなく、行動やセッションのコンテキストに注目してください。発信元の地理情報、デバイス種別、時刻、通常アクセスされるリソースなどの正常パターンをベースライン化します。
その上で、不可能な移動、リモートログイン直後の異常な管理ツール起動、重要ファイル共有への突然のアクセスなどの異常を検知します。VPN、エンドポイント、IDテレメトリを組み合わせ、リモートセッションとログイン後の活動を相関させてください。
