LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

サービス・製品 | 

TeamViewerをより安全に!リモートデスクトップアクセス時の二要素認証

TeamViewerは遠隔地からPCやスマートフォンを操作するためのリモートデスクトップソリューションです。TeamViewerの最新バージョンは15.17.7(2021年5月17日現在、Windows)ですが、このバージョンからセキュリティを向上させる新機能が追加されたのでご紹介します。

なお、既にTeamViewerに関する紹介記事や様々なTipsを公開していますので、この記事では製品のご紹介は割愛します。

新しい機能について

セキュリティを向上させる新機能は、アプリケーションからも以下のように確認できます。

TeamViewer バージョン15.17.7のアップデート内容

二要素認証(two-factor authentication)は、TeamViewerに限らずSNSや様々なWebサービスでも採用されているので、TeamViewer以外の製品やサービスでも、実際に利用されている方が多いのではないでしょうか。多くはサービス等にログインする際にIDとパスワードだけではログインできず、加えて事前に登録したスマートフォン等でアプリを使って、ログインを許可したりするような認証機構です。

ここでいう二要素とは、二種類の資格情報(要素)を組み合わせた認証方式を意味しています。具体的には、パスワードのように人が記憶する情報をキーとする「知識」による認証、特定のデバイスやアプリを所持していることをキーとする「所持」による認証、そして、特定の個人であることを示す生体的な特徴をキーとする「生体」による認証等を意味します。先ほどの例は、最初にパスワード、次にデバイス所持の確認となるので、「知識」と「所持」による二要素認証ということになります。

ちなみに、二要素認証と似た言葉で多要素認証という言葉がありますが、これは文字通り複数の要素を組み合わせた認証方式を意味しており、結果的には二要素認証も意味合いに含みます。

パスワード認証の例
パスワード認証の例

従来、TeamViewerでリモートデスクトップアクセス(他のPC等を操作しようと)する場合には、パスワードによる認証を基本としていました。これに加え、ACLと呼ばれる特定のデバイスや、ユーザ毎にアクセス可能かを限定する機能が提供されており、このパスワードとACLを組み合わせて必要なセキュリティレベルを確保する仕組みでした。

しかし、ACLは、事前にどのユーザやデバイスからのアクセスを許可(あるいは不許可)にするのかをリストアップした上、それらを事前に漏れなく設定をしておく必要がある等、若干、運用に知識や経験が必要です。そのため、とりあえずTeamViewerを使いたいというようなお客様は、少しハードルが高いと感じる方も少なくありません。

もしACLを採用しない場合、リモートデスクトップアクセス時の認証はパスワードのみになります。TeamViewerでは、パスワードの長さの変更や、パスワードをランダムに変更する機能等も提供しており、それらを正しく運用することでパスワードのみでも一定のセキュリティレベルは確保できます。しかし、万が一に備えるという観点では、パスワードだけに頼った運用に不安のある方もいるでしょう。

今回新たに採用されたリモートデスクトップアクセス時の二要素認証は、まさにそんなユーザに最適な機能だと言えます。従来のパスワードによる認証(知識)に加えて、事前に登録したスマートフォン(iPhone/Android)のデバイス認証(所持)を行うことで、万が一のパスワードの漏洩や、辞書攻撃など非正規ユーザによるアクセスといったセキュリティ事故を防止することができます。

二要素認証を設定してみよう

二要素認証は非常に簡単に利用できるので、実際に設定してみましょう。まず、接続元及び接続先のPC(例ではWindows)にインストールされているTeamViewerのバージョンが、15.17.7以降であることを確認してください。もし、それ以前のバージョンの場合は、バージョンアップを行ってください。

TeamViewerで最新バージョンのお知らせを確認
TeamViewerを最新バージョンに更新します

次にお手持ちのスマートフォン(例ではiPhone)に、TeamViewerアプリを導入します。もし、既に導入済みの場合は、念のため、最新版に更新してください。

TeamViewerアプリを導入もしくは最新版に更新します

次に接続先のPCのTeamViewerにお手持ちのスマートフォンを登録します。接続先のPCでTeamViewerを起動して、メニューから「その他」→「オプション」→「セキュリティ」を選択します。表示された画面の一番下段に「デバイス認証」という項目があるのを確認してください。

TeamViewerのオプション画面。「セキュリティ」メニューに「デバイス認証」の項目を確認します。

「承認デバイスを管理」の右にある「設定」ボタンをクリックすると、承認デバイス管理を行うウィンドウが表示されます。

「承認デバイス管理」ウィンドウ

はじめて二要素認証設定を行う場合、承認デバイスの欄は空欄になっているのを確認してください。なお、現時点の仕様ですが、リモートデスクトップアクセス時の二要素認証は、この承認デバイスの欄が空欄の場合は無効、登録がある場合は有効となり、それ以外に有効/無効を設定する方法はないようです(承認デバイスを登録した状態で二要素認証のみ無効にはできない)。念のため覚えておきましょう。それでは、お手持ちのスマートフォンを登録するために、「追加」のボタンをクリックしてください。

「新しい承認デバイスの追加」ウィンドウ

画面にQRコードが表示されます。これを承認デバイスとしたいスマートフォンで読み取るので、スマートフォンでTeamViewerアプリを起動します。起動後メニューから「設定」→「接続用 TFA」(あるいはTFA for connections)を選択すると、QRコードを読み取るためのカメラを開くオプション画面が表示されます。画面下にある「QRコードのスキャン」を選択して、起動したカメラで接続先PCに表示されているQRコードを読み取ってください。

スマートフォンでTeamViewerアプリを起動後、メニューから「設定」→「接続用TFA」を選択

正しく読み込みが完了すると、承認デバイスの欄にお手持ちのスマートフォンが登録されます。これでリモートデスクトップアクセス時の二要素認証に関する設定は完了しました。非常に簡単ですね。

承認デバイスのリストに追加することができました
承認デバイスのリストにお手持ちのスマートフォンが登録されていることを確認できます

二要素認証、本当に使えるようになっている?

それでは実際に二要素認証を使ってアクセスしてみましょう。接続元のPCでTeamViewerを起動したら、いつもと同じように接続先のTeamViewer IDを入力して「接続」をクリックします。

TeamViewerを起動後、IDとパスワードを入力して接続

二要素認証の場合も、まず、パスワードの入力を求められます。正しいパスワードを入力すると、二要素認証を設定していない場合(かつACLによる制御で遮断されない場合)、このままリモートデスクトップ画面が表示されます。

二要素認証を設定している場合は、登録済みのスマートフォンに通知が行われます。スマートフォンで通知を開くと、TeamViewerアプリが起動。アプリ上に表示されたダイアログからアクセスを許可するかどうかの選択を求められます。

スマートフォンに通知が届いた様子
TeamViewerアプリからアクセスを許可するかどうか選択します

ここで、「許可する」とした場合、リモートデスクトップ画面に進むことができます。ちなみに「ブロック」とした場合は、下記のようにステータスに「認証ブロック」と表示され、最終的にアクセスに失敗します。

TeamViewerで「認証ブロック」となりアクセスが失敗している様子

運用上、少しだけ注意が必要な点は、承認デバイスの登録が複数可能だという点です。これは個人で通知して欲しいデバイスを複数持っているような場合には便利ですが、例えば、複数人でリモートデスクトップアクセスを利用して共用するPCのような場合、各人のスマートフォンを承認デバイスとして登録すると、誰がリモートデスクトップアクセスした場合でも、登録した全てのスマートフォンに通知がされ、全てのスマートフォンで、承認処理(許可/ブロック)が可能です(実際には一番早かった承認結果に従うことになります)。

そのため、こういった場合には、各自が自身に覚えのない通知は無視する、あるいは接続元のTeamViewer IDをみて判断する等の対応が必要です。

おわりに

今回はTeamViewerの新機能である、リモートデスクトップアクセス時の二要素認証機能をご紹介しました。パスワードのみでの運用に比べて、より高い認証レベルで、より安全なリモートデスクトップ環境の実現が可能です。

さらに、例えば、パスワード漏洩や辞書攻撃等による不正アクセスが試行され、仮にパスワード認証が突破された場合でも、パスワードのみではリモートデスクトップアクセスができません。承認デバイス所有者が、通知で身に覚えのないアクセスを知ることができる点が、不正アクセスに対する早期警報的にも役立ちそうです。

なお、この二要素認証機能は、TeamViewerの有償ライセンスをお持ちのユーザ、個人利用の範囲において無償でお使いのユーザ、いずれでも利用が可能です。さっそく導入して、より安全なリモートデスクトップ環境を実現してみてはいかがでしょうか。

TeamViewerを含めたリモートデスクトップ製品の多くに共通するセキュリティの考え方について、わかりやすい資料にまとめています。これからリモートデスクトップを導入する方、既に導入済みでセキュリティ運用の見直しをされる方におすすめです。

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • テレワークが本格化する2021年にラックが提供する2大リモートワークソリューション、Akamai EAAとTeamViewer

  • TeamViewer QuickSupportで社員のスマホトラブルを楽々解消!テレワーク中の情報システム部門を徹底サポート

  • エンジニアが自分の働き方を変えるために開発した「TeamViewer」とは?