在宅勤務をしようと思うとき、自宅のノートPCが使えないのに忸怩たる思いをしている人も多いと思う。会社がリモートワーク環境を整えてくれれば問題は無いはずだが、単にVDIやDaaSを用意するだけではセキュリティ的にやや弱い。例えばウィルスが横から画面や操作を盗み見できるし、仮想デスクトップからアクセスされたら、その親OSから、好きなだけ操作やキャプチャが可能である。
これを防ぐには、第一に、相手が仮想マシンではないことを確認し、第二にディスプレイとキーボードを完全に乗っ取れる必要がある。まあ完璧ではないにしても、ハードウェア的にこのことを保証することは、不可能ではない。その方法とは、こうだ。
- ハードウェアのキーボードコントローラー(マウス・タッチパネル含)とディスプレイコントローラーに、暗号化機構と、各々専用の電子証明書を搭載しておく。
- 組み立てて完成したPCなりシンクライアントは、このペアが搭載されることになる。これを、機器ベンダが登録しておく。
- 一方で、ホスト(DaaS/VDI)側も、電子証明書を用意しておく。こちらは公開する必要はない。電子証明書は、できればID単位で作っておく。
- これらの電子証明書から、「このホスト(のこのID)とこの(ハードウェア的な)PCのみが通信可能なRDPソフト」を生成する。このソフトは、キーボードとディスプレイの情報を暗号化して通信するため、機器のOSやその他の機器上のソフトからは読み取れない。また、RDP通信自体も当然暗号化されているので、通信路での傍受はできない。
また、そのソフトを盗めたとしても、その機器でアクセスしなければ繋がらないし、機器まで盗めたとしても、接続先へのログインには当然認証(パスワードや二要素認証等)があるので、それでもまだセキュリティは保たれる。
このソフトは、機器にコピーしておくのではなく、会社支給のスマホに入れておくのが良いと思う。これなら二要素認証や生体認証を組み合せられるので更にセキュリティは高まる。また、WiFiとの自動接続機能などをこのスマホに搭載しておけば、利便性が高まる。自宅では自宅PC、会社では会社PCと、二つのRDPソフトを入れておけば、各々のPCからは自分用のソフトを立ち上げれば良いだけで済む。尚、機器との接続はBluetoothを使い、通信路の方にWiFiを使うのが良いと思う。
0 件のコメント:
コメントを投稿