実は危ない:
リモート接続診断の落とし穴
コロナ禍以降、「リモートで診断します」というセキュリティサービスが急増しました。しかし、リモート接続診断にはそれ自体にリスクが潜んでいます。何が問題なのか、安全に診断を受けるためには何が必要なのかを解説します。
リモート接続診断とは何か
セキュリティ診断をリモートで実施する場合、診断会社のエンジニアがお客様の環境に「外部からアクセスする」必要があります。この「外部からのアクセス」を実現する方法は主に3つです。
① VPN接続
お客様のネットワークにVPNで接続し、内部から確認する方法。
② TeamViewer・AnyDesk等のリモートデスクトップ
お客様の端末に直接接続し、画面を遠隔操作する方法。
③ 監査専用端末の設置
お客様環境内に専用端末を設置し、必要時だけ接続する方法。
①②の方法に潜む落とし穴
落とし穴1:診断後もアクセスできる状態が続く
VPN接続情報やリモートデスクトップの認証情報が診断会社側に残ると、診断終了後もアクセスできる状態が続きます。悪意がなくても、情報管理が甘い会社では情報漏洩のリスクがあります。
落とし穴2:何をされているかわからない
リモートデスクトップでお客様の端末を操作している場合、「どんなファイルにアクセスしているか」「何をコピーしているか」が見えません。画面が見えていても、バックグラウンドの操作は把握できないことがあります。
落とし穴3:ソフトウェアのインストールを求められる
「診断のために必要です」と言って、実際には不要なソフトウェアやエージェントをインストールさせるケースがあります。インストール後の動作を完全に把握できなくなるリスクがあります。
落とし穴4:接続ログが存在しない
「いつ、誰が、何にアクセスしたか」のログが残らない方法での診断は、後から問題が発生した際に原因の特定ができません。
③ 監査専用端末が安全な理由
当社が内部診断に「監査専用端末」を使う理由は、上記の落とし穴を回避するためです。
監査専用端末の安全設計
診断作業中以外はインターネット接続がありません。バックドアとして機能することがありません。
接続のたびにお客様が許可を出す仕組みで、勝手なアクセスが物理的に不可能です。
何にアクセスしたか、いつ接続したかのログをすべて記録し、お客様に開示します。
お客様が「もう不要」と判断した瞬間に接続を終了でき、物理的に電源を切れます。
リモート診断を依頼する前に確認すべきこと
具体的な廃棄方法を答えられない会社は要注意。
「はい、開示できます」と即答できる会社が信頼できます。
無料診断の段階でインストールが必要な場合は慎重に。
リアルタイムで確認できる体制があるかを確認しましょう。
まとめ
リモート診断はコロナ禍以降に普及しましたが、「何をされているかわからない」リスクもあります。安全な診断を受けるためには、接続方法・ログの開示・診断後の情報廃棄について事前に確認することが重要です。
「どこまで見せていいのか不安」という方はご安心ください
当社では、パスワード不要・接続制御付きの
安全な診断を提供しています
まずは30分の無料診断で、現在のリスク状況をご確認ください。
無料診断を申し込む(完全無料)