RDP考察:安全な接続経路と運用ガイド
本稿は、RDP(Remote Desktop Protocol)の“安全な接続経路”の設計指針、運用で押さえる管理フレーム、
セキュリティチェックリスト、代表的な製品比較、よくある落とし穴、設定の実践例、近年の脅威動向までを
ひとまとめにした実務者向けガイドです。
カテゴリセキュリティ / 運用設計 / RDP
著者株式会社ニリアコット
1. RDPの基本と“安全な接続経路”の考え方
- RDPとは:Microsoftが提供するリモート操作用プロトコル。既定ポートは
TCP 3389。近年は TLS暗号化とNetwork Level Authentication(NLA)の利用が前提。 - 安全な接続の原則:インターネットへ直接
3389を公開しない。VPN/ゼロトラスト/RD Gateway/Azure Bastionなどの「中間点(ゲートウェイ)」経由にする。 - 認証・権限・記録:NLA+MFA、最小権限(必要な端末/ユーザーのみ)、監査ログ・セッション記録の標準化。
- 最新パッチの適用:RDP/RDSに加え、RD LicensingやRD Gatewayにも脆弱性が出るため定期更新を前提化。
2. 運用で押さえる管理フレーム(運用ガイド)
A. 構成・ポリシー管理(Windows/Active Directory)
- NLA必須化:[システムのプロパティ]→[リモート]で「NLA必須」。GPOなら
Computer Configuration > Windows Components > Remote Desktop Services > Securityで適用。 - 資格情報の漏えい対策:用途に応じて Remote Credential Guard または Restricted Admin を採用(Kerberosのみ/Pass-the-Hash抑止)。
- 暗号化・TLS:TLS 1.2以上を前提。サーバ・クライアントのTLS設定不整合はNLAエラーの原因になりがち。
- アカウント/ロックアウト/パスワード規則:“長いパスフレーズ”(例:16文字以上)+ロックアウト閾値。
- 監査と可視化:イベントログ(ログオン/アカウント管理)、RD GatewayのCAP/RAPの成功/失敗、セッション記録を保管。
B. 接続パスの設計
- RD Gateway(オンプレ):HTTPS(443)経由で内部RDPへ中継。CAP(誰が)/RAP(どこへ)で許可範囲を制御。
- Azure Bastion(クラウド):VMにPublic IP不要、TLS/443でRDP/SSHを安全にトンネル。Premiumはセッション録画、Entra ID認証。
- Azure Virtual Desktop(AVD):Reverse Connectで“受け口ポート開放ゼロ”。条件付きアクセスや推奨ベンチマークに沿った構成。
- VPN/ZTNA:RDPはVPNフル・トンネルが最も単純に安全(帯域負荷に留意)。ZTNA+RDP転送でも可。
C. 運用監視と更新
- 毎月の更新サイクル:Patch Tuesday後にRDS関連(RD Licensing/Gateway含む)のCVE確認・適用。
- 露出監査:外部スキャンで
3389/TCPが開いていないか定期確認。 - インシデント備え:BastionやRDGのセッション録画/詳細ログを保管。
3. セキュリティ“必須”チェックリスト(すぐ使える)
- NLA必須(既定化/GPO適用)。
- 認証はMFA(RD Gateway+Azure MFA NPS拡張やIdPのMFA)。
- 資格情報保護:Remote Credential GuardまたはRestricted Admin、保存済み資格情報の禁止。
- ポート直公開禁止:VPN/RDG/Azure Bastion/AVDのいずれかへ。
- TLS 1.2+/古い暗号スイート無効/証明書更新管理。
- アカウントロックアウトと長いパスフレーズ。
- RBAC(最小権限):対象PC/サーバをアクセスグループで最小化。
- 監査・記録:RDGのCAP/RAP、セッション録画、イベントログ整備。
- 定期パッチ:特にRD Licensing(
CVE-2024-38074)やRD GatewayのRCE類。 - 境界防御:ファイアウォールで対象サブネット/ユーザーだけ許可。
- クラウドならAVDの“Reverse Connect”で公開ポートゼロ設計。
- 教育:CRD/TeamViewer/AnyDesk等はMFA+ACL必須、遠隔詐欺への注意喚起。
4. 代表的なメーカー/製品と“どこで使うか”の目安
4-1. Microsoft系
- RDP(Windows/Server):NLA+TLSで保護。Remote Credential Guard等の“資格情報保護”が強力。
- RD Gateway:HTTPSで中継、CAP/RAPで誰がどこへを細かく制御。
- Azure Bastion:Public IP不要、TLS 1.2/443で安全接続、Premiumはセッション録画/Entra ID認証。
- Azure Virtual Desktop(AVD):Reverse Connectで外向きポート開放不要。推奨事項が体系化。
4-2. VDI/アプリ仮想化
- Citrix DaaS/Virtual Apps and Desktops(ICA/HDX):TLS/DTLSやSecureICA(AES-256)。低帯域・高遅延に強い。
- VMware(Omnissa)Horizon/Blast Extreme:H.264/HEVC/AV1、独自BlastCodec、TCP/UDPに適応。
- Parallels RAS:SSL/TLS+FIPS 140-2準拠の暗号化、MFA、細粒度フィルタリング。
4-3. リモートサポート/特権アクセス
- BeyondTrust(Remote Support/Privileged Remote Access):FIPS 140-2検証済み暗号、詳細なセッション記録、最小権限を強制可能。
- TeamViewer:RSA-4096/AES-256だが、2025年の脆弱性(CVE-2025-36537)が報告。常に最新へ更新。
- AnyDesk:TLS 1.2+AES-256、ACL/2FA。オンプレ版あり。ホワイトリスト等の運用ルールで安全に。
- Dameware(SolarWinds):MFAやFIPS準拠の暗号に対応するエディションあり。
4-4. 画面共有/汎用リモート
- RealVNC(VNC Connect):エンドツーエンド暗号(AES-GCM 128/256、PFS)。セッション録画、2FA、画面ブランク。
- Chrome Remote Desktop(CRD):TLS+AES。企業利用ではPIN/2段階認証/クリップボードやファイル転送の無効化などのポリシー設定。
4-5. RDPゲートウェイ系(OSS/アプライアンス)
- Apache Guacamole:HTML5でクライアントレスRDP/SSH/VNC。過去に逆RDP攻撃の脆弱性が複数報告、最新版適用と堅牢な境界設計が必須。
5. よくある落とし穴と対処
- NLAエラーで接続不可:DC到達性/CredSSPパッチ/TLS設定不整合を確認。必要に応じ一時的にNLAを外して復旧→根本原因を修正。
- RD Gateway/AVDが“重い”:帯域・遅延の影響。VDI系(Blast/ICA)はUDPやコーデック最適化で改善余地。
- VPN経由でRDPが落ちる/名前解決できない:SSL-VPNのSplit Tunnel設定やDNSサフィックスの見直し。
6. 設定の“すぐ使える”実践例
例A:オンプレでRD Gatewayを安全導入(要点)
- RDGロールを追加 → 公開用証明書を設定 → CAP/RAPでユーザー/宛先を厳密化。
- MFA(Azure MFA NPS Extensionなど)をRDGに連携。
- TLS 1.2/強暗号、管理者アクセスの最小化/ログ記録を適用。
例B:Azure Bastionで“公開無し”のRDP
- VNetにBastion(Standard/Premium)を展開 → VMはPrivate IPのみ。
- ポータル/ネイティブクライアントからTLS/443で接続。Premiumならセッション録画・Entra ID認証。
例C:AVDのセキュリティ“お作法”
- Reverse Connect、条件付きアクセス/MFA、ネットワーク分割(NSG/Azure Firewall)。
- DefenderとBitLocker連携などの推奨事項に沿って構成。
7. 近年のRDP/RDS関連の脅威動向(パッチ前提)
- Windows RD LicensingのRCE(
CVE-2024-38074)など、RDSコンポーネント側も狙われるため、毎月の更新と脆弱性情報の監視が必須。 - RD Gateway関連のRCE(2024年12月)対策を含む月例での修正もあり。サーバ群の同時更新と再起動計画を用意。
8. まとめ:組み合わせの指針
- 社内サーバの保守中心:VPN(フル)+RD Gateway+NLA+MFA。外向き露出ゼロ、監査も確保。
- Azure中心の運用:Azure Bastion(踏み台管理)+AVD(ユーザー用デスクトップ)。公開ポートゼロ設計。
- 大規模ヘルプデスク/委託先対応:BeyondTrust等のFIPS準拠の特権リモートアクセスで監査と最小権限を徹底。
- 軽量のスポット支援:AnyDesk/TeamViewer/RealVNCをMFA/ACL/ポリシー込みで。常に最新版。
RDP/リモート運用のご相談はこちら
設計レビュー、RD Gateway/Bastion/AVDの構築、運用ガイドの内製化支援まで、技術部門が伴走します。
“
