用語集
RD Gateway(リモート デスクトップ ゲートウェイ)とは
2020年は新型コロナウイルスによる感染症の影響もあり、テレワークの必要性がさらに高まった1年であったと言えるでしょう。テレワークを実現するための手段はさまざまですが、「短期間」「低コスト」「小規模」にテレワークを始めたいと考えた場合の現実的な選択肢の1つが「リモートデスクトップ方式」です。
これは、主に「Microsoft Officeを使った日常業務を少人数(数名程度)が自宅から行う」といったユースケースを想定した方式です。Windows Serverに搭載されているマルチセッション(複数ユーザーの同時接続)機能を利用し、複数名が同一のWindows Serverにリモートデスクトップ接続(RDS、Remote Desktop Service)して業務を行います。
しかし、リモートデスクトップ接続に使用されるプロトコル(RDP、Remote Desktop Protocol)は、セキュリティ上の理由から社内ネットワークポリシーによって利用が制限されている場合も多いでしょう。そのような時は、HTTPS(443ポート)でRDP接続を可能にするRD Gatewayの利用がお勧めです。
目次
リモートデスクトップ方式とは
業務PCを利用したリモートデスクトップ方式は、テレワークを実現する最も簡単な方法の1つです。これは、オフィスに設置されている個人用の業務PCのデスクトップを自宅のテレワーク端末からインターネット経由で遠隔操作することで実現します。自宅の端末はキーボードやマウスの操作と画面の出力しか行わず、実際の処理はオフィスのPC上で行われます。そのため、機密データを社外に持ち出す必要がありません。業務PCそのものを社外に持ち出す「持ち帰り方式」に比べて、非常にセキュアな点がメリットです。また、普段利用している業務PCをそのまま利用できるため、自宅にいながらオフィスと同じPC環境で業務をおこなうことができます。
リモートデスクトップ方式は、仮想デスクトップ(VDI)方式や会社PCの持ち帰り方式などに比べて初期導入コストも低く、手軽に導入が可能です。しかし、その半面でIT管理者側で「個々のリモートデスクトップ接続の状況が把握できない」「誤ってPCをシャットダウンすると電源を入れ直すためだけにオフィスに出社しなければならない」など、運用上のデメリットも存在します。
Windows Serverを利用したリモートデスクトップ
個人利用の業務PCに対して、ユーザーが個々にリモートデスクトップ接続を行うと、前述のようなデメリットが発生します。しかし、Windows Serverのマルチセッションを利用すれば、こうしたデメリットを解消できます。
まず、リモートデスクトップの接続先となるWindows Serverを用意し、ここに業務に必要なアプリケーションのインストールとテレワークを行う(複数の)ユーザーの登録を行います。つまり、ユーザーは個人の業務PCではなく、共有のサーバーにログインして、サーバーのデスクトップ上で業務を行うのです。
この方式は、全員が共用のサーバー上で作業を行うため、個人の業務PCとまったく同じ使い勝手を実現できるとは限りません。しかし、IT管理者が各ユーザーの利用状況の把握やコントロールが可能になり、前述のような運用上のデメリットを解消できるということを考慮すると、導入を検討する価値は十分にあると言えるでしょう。
ただし、Windows Serverでマルチセッションを使う場合は、接続するユーザーごとにリモートデスクトップ用のアクセスライセンスが必要となる点に注意してください。
RD Gatewayとは
リモートデスクトップ接続には、TCPの3389番ポートで「RDP」というプロトコルを利用します。リモートデスクトップは接続に成功すればPCを乗っ取れるため、RDPは攻撃の対象になりやすいプロトコルの1つです。そのため、インターネットから直接RDP接続を可能にする(インターネットに対して3389番ポートを公開する)ようなネットワーク設定は、絶対に行ってはいけません。そもそも企業ネットワークであれば、RDPを外部ネットワークへ公開するような行為は、ポリシーやファイアウォールで禁じられているのが一般的です。
そのため、インターネットを経由して安全にリモートデスクトップを運用するには、よりセキュアなネットワーク環境や認証方式を用意する必要があります。このようなニーズを解決してくれるのが、Windows Serverの機能である「RD Gateway」です。RD Gatewayは、リモートデスクトップへのプロキシとして動作するソフトウェアです。インターネットからは、HTTPS(TCPの443番ポート)で接続を受け付け、その接続を内部ネットワークのリモートデスクトップサーバー(TCPの3389番ポート)へ中継します。
RD Gatewayのメリット
RD Gatewayのメリットは、ポリシーによる柔軟なアクセスコントロールです。ユーザーやグループ単位でネットワーク上のどんなリソースへの接続を許可するかをコントロールできるため、セキュリティ強化に繋がります。
また、セキュアなネットワークを手軽に確保できる点も見逃せません。通常、インターネットから社内ネットワークへセキュアに接続するには、「VPN」などの通信経路を別途確保する必要があります。しかし、RD Gatewayを利用するとクライアントとRD Gateway間の通信をHTTPSで暗号化できるため、リモートデスクトップのためだけにVPNを用意しなくてもよくなります。
RD Gatewayでセキュアなリモートデスクトップを
低コストでテレワークの利用を開始するには、手軽に導入できるリモートデスクトップ方式の利用がお勧めです。テレワークであれば、インターネット越しの利用が前提となるため、その際はセキュアにリモートデスクトップを利用できるRD Gatewayの導入も併せて検討するとよいでしょう。
なお、RD Gatewayの導入からサーバーへ接続するまでの手順も別途解説していますので、こちらもあわせてご覧ください。
