セキュリティに関するご質問
インターネット経由でアクセスすることに対してどのようなセキュリティ対策をとっているか
RD ポータルのセキュリティについては以下のような対策を実施しております。
- 富士通社内で制度化されている監査を、インフラ観点・Webアプリケーション観点でそれぞれ実施
- 内部で利用しているOSSなどのコンポーネントの脆弱性を監視し、タイムリーなアップデートを実施
- NIST SP800-171(米国政府機関が定めたセキュリティ基準を示すガイドライン)に対して自己評価を実施し、サービス提供側で対処が必要と判断した項目について要求を満たしていることを確認
- NISTには利用者側の対策が必要な項目も定められておりますので、詳細は営業担当またはサポートまでお問い合わせください
- RD ポータル内のデータベースに対し、総務省・経済産業省が公開している以下の基準を満たす強度の暗号化を実施
- 電子政府における調達のために参照すべき暗号のリスト (2023年3月公開)
- 暗号強度要件(アルゴリズム及び鍵長選択)に関する設定基準 (2022年3月公開)
お客様が利用できるセキュリティ機能としては、以下のようなものがあります。
- RD ポータルへのログインは、ID・パスワードによる認証のほか、多要素認証を設定できます
- 多要素認証の設定を強制することもできます
- 外部認証と連携して RD ポータルにログインすることができます
- Microsoft Entra ID をサポートしています
- 特定拠点からのアクセスに絞りたい場合、接続元のIPアドレスを制限できます
- 認証失敗を含むログイン履歴を参照でき、攻撃を検知できます
- 認証失敗が続いた場合に、そのアカウントをロックアウトします
- ロックアウトまでの失敗回数やロックアウト期間を設定できます
- パスワードポリシーを設定し、パスワードの強度を高めることができます
- RD ポータルおよび接続先サーバーにログインした時にメール通知するよう設定できます
- クライアント証明書による認証を追加できます
- クライアント証明書認証を利用する場合、証明書の作成や管理はお客様で実施いただくなど、重要な手順・注意事項がありますので、詳細は営業担当またはサポートまでお問い合わせください
RDエージェントに関するセキュリティ対策はどのようなものか
- インターネット接続について
- RDエージェントのインターネット接続は外向きのhttps通信だけでよく、ファイアウォールのポートを開ける必要はないため、攻撃者はアクセス先自体を知ることができません。
- ローカル接続について
- RDエージェントはいわゆる仮想アプライアンス形式となっており、内部ではOS(非公開)が動作していますが、Tunaclo RD側で許可したコマンドだけが実行可能なため、攻撃に利用することはできません。
- OSS等の脆弱性について
- RD ポータル上の操作でRDエージェントをアップデートする機能を持っており、脆弱性が発覚した場合、アップデートでタイムリーに対処しています。
- ウイルス対策について
- お客様がRDエージェントに対してウイルススキャンを実行する必要はありません。RDエージェントは仮想アプライアンス形式であり、かつ、アップデートに使用するファイルは RD ポータルで管理しておりますので、管理外のファイルにはアクセスしません。
- Tunaclo RDのファイル共有機能でやり取りするファイルは、お客様で安全をご確認の上でご利用ください。Tunaclo RDがファイル共有機能で扱うファイルに対してウイルススキャンを行うことはありません。
RDエージェントに通信する際、ファイアウォールのポートを開けなくてもよいのはなぜか
RDエージェントから RD ポータルへの通信は、HTTPSセションをアウトバウンドで(RDエージェントから RD ポータルの向きで)確立しており、そのセションの中で双方向通信を行います。
そのため、RD ポータルからRDエージェントの方向のセション確立は不要であり、RDエージェント側(お客様環境側)のポート開放は不要となります。
なお、この技術は特許出願・公開済みです。(特開2021-118405)
録画データはどのように保存されるか
録画データは、画像転送の内容を記録したファイルをRDエージェント内で作成し、サーバー接続が完了したあとに RD ポータルに転送します。
RDエージェント上のファイルは転送完了後に削除されますので、環境内に残ったり、直接参照されることはありません。
RD ポータルに転送された録画データファイルは、Tunaclo RDで管理している、暗号化されたクラウドストレージに保管します。
直接録画データファイルをダウンロードすることはできず、RD ポータル上で動画に変換してダウンロードすることで参照できます。
接続元端末(クライアント)に接続先のデータを残したくないが、可能か
Tunaclo RDはブラウザー上で画面転送方式で接続するため、接続元端末には操作内容のデータが残りません。
Tunaclo RDの機能で、接続元端末と接続先サーバーの間でファイル転送・クリップボード転送が可能ですが、お客様の管理者の設定で、その利用を制限できます。
ただし、接続元端末上でスクリーンショットを制限するような機能については、現状では未対応です。
接続元端末(クライアント)を限定できる仕組みはあるか
クライアントSSL証明書による認証に対応しており、特定の証明書を持たない接続元端末からの接続を制限できます。
クライアントSSL証明書を利用されたい場合は、サポートまでお問い合わせください。ただし、ご利用の前に、Tunacloサポート側でお客さま固有のメンテナンス作業が必要となります。
なお、SSL証明書はお客様自身で発行・管理していただく必要があり、発行した証明書が漏洩しないよう、取り扱いにはご注意ください。
多要素認証に関するご質問
多要素認証は必ず有効しなければならないか/強制することはできるか
必須ではありませんが、セキュリティ確保のため、多要素認証を設定して頂くことを推奨しています。
全ユーザーに多要素認証の設定を強制することは可能です。管理者のアカウントメニューのプロファイルより設定できます。
多要素認証はどのような方式を採用しているか
Time-based One-time Password(タイムベースドワンタイムパスワード、TOTP)を採用しています。
時間に基づいて生成されるワンタイムパスワードで、RFC6238で定義されています。
ワンタイムパスワードを発行するためにAuthenticator(ソフトウェアトークン)を利用します。
RFC6238に準拠したAuthenticatorであれば何でも利用可能ですが、開発元で検証しているものについては、
多要素認証設定
を参照してください。
モバイル端末(スマートデバイス)がなくても多要素認証は利用できるか
可能ですが、実際に登録した端末を所持しているという点でセキュリティが確保できること、著名なAuthenticatorアプリケーションが存在することから、モバイル端末でのご利用を推奨しています。
PCにAuthenticatorを導入する場合、開発元ではWinAuthで検証しております。
多要素認証に使用するデバイスを複数登録することができるか
可能です。手順については、操作ガイドの多要素認証を参照してください。