Citrix GoToMyPC セキュリティ

ホワイトペーパー
Citrix GoToMyPC
セキュリティ
自宅やオフィスのコンピューター
にリモートアクセスする場合、
セキュリティに配慮することは
不可欠です。GoToMyPCが提供
する業界トップレベルの高信頼
性セキュリティにより、大切な
ファイル、アプリケーション、
および情報を保護できます。
gotomypc.jp
GoToMyPCセキュリティ
ホワイトペーパー 2
はじめに
GoToMyPCでは、インターネットに接続された任意のMacやPCへのWebブラウザ
ーを使用したセキュアなアクセスが可能になります。キーボード、マウスおよびデ
ィスプレイの更新情報は高度に圧縮・暗号化されて送信され、接続先のホストコン
ピューターを直接操作しているかのようなユーザーエクスペリエンスが提供されま
す。GoToMyPCでは、以下の機能がサポートされています。
•画面の共有:任意のWebブラウザーから起動できるサイズ変更可能なビューアーを
使用して、ホストコンピューター上のすべてのデスクトップアプリケーションをイ
ンタラクティブに操作できます。従来のアプリケーションをWebアプリケーション
化する必要もありません。
•ファイル転送:ホストコンピューターとローカルクライアントコンピューター間で
ファイルを簡単に転送できます。
•リモート印刷:どこにいても、お使いのホストPCから手元のプリンターに印刷でき
ます。
•モバイルアクセス:iPad、iPhone、Androidのデバイスから、MacやPCにアクセス
できます。
GoToMyPCは、5つのコンポーネントで構成されるホスト型サービスです。
•コンピューター:アクセス対象のコンピューターに、サイズの小さなサーバーソフ
トウェアをインストールします。アクセス対象のコンピューターとは、通常、常時
インターネットに接続されている自宅またはオフィスのコンピューターで、これを
「ホストコンピューター」と呼びます。このサーバーソフトウェアにより、ホスト
コンピューターがGoToMyPCブローカーに登録され、認証されます。
•Webブラウザー:ユーザーは、リモートの「クライアントコンピューター」上の
Webブラウザーを起動して、セキュリティで保護されたGoToMyPC Webサイトを表
示します。次に、ユーザー名とパスワードを入力し、接続先コンピューターの[接
続]ボタンをクリックして、SSLで暗号化された要求をブローカーに送信します。
•ブローカー:ブローカーは仲介者として機能し、接続要求を待機してそれを登録済
みのホストコンピューターに割り当てます。要求と接続先の条件が一致すると、ブ
ローカーは通信サーバーにセッションを割り当てます。次に、クライアントビュー
アー(セッション固有の小さな実行ファイル)がWebブラウザーのJava仮想マシン
により自動的にロードされます。GoToMyPCビューアーは、ワイヤレスモバイルデ
バイスを含む、Java対応のWebブラウザーを備えたあらゆるコンピューターで動作
します。
•通信サーバー:通信サーバーは、判読が不能な、高度に圧縮および暗号化された
GoToMyPCのセッションのデータストリームをクライアントとサーバー間で中継す
る中間システムです。
•直接接続:ユーザーの認証と接続が完了すると、可能な場合は通信サーバーをバイ
パスしてクライアントとホストが直接接続され、通信速度とセッションパフォーマ
ンスを向上させます。この直接接続機能では、クライアントとホストの両方が相互
に信号を発信し、どちらか最初に到着した信号によって接続が確立されます。クラ
イアントおよびホストは、次にSRPプロトコルを使用したキー合意による認証を実行
し、「中間者(man-in-the-middle)」攻撃が不可能なエンドツーエンドのセキュ
アな接続を確立します。直接接続がブロックまたは中断される場合は、そのセッシ
ョンを仲介した通信サーバーによる接続がリモートアクセスサービスを維持します。
ユーザーのデータの整合性およびプライバシーを保護することは、すべての人にとっ
ての最大の関心事項です。GoToMyPCの使用がビジネス用途であれ個人用途であれ、
セキュリティ対策は不可欠です。
gotomypc.jp
GoToMyPCセキュリティ
徹底したセキュリティ
Citrixでは、企業の既存のネットワークおよびセキュリティインフラストラクチャと
シームレスに統合しながら、堅牢で安全な運用を確実にするSAASモデルを使用して
GoToMyPCを提供します。
GoToMyPCブローカー
HTTPS
でのセキュアなログオン
暗号化
されたポーリングプロトコル
GoToMyPC
通信サーバー
ファイアウォール
ファイアウォール
ホストコンピューター:
接続先のコンピューター。
リモートデバイス:
ホストコンピューターにアクセスするときに使用
するコンピューターやモバイルデバイス。
エンドツーエンドの暗号化
オーバーレイネットワーク
安全な設備
すべてのGoToMyPC Web、アプリケーション、通信、およびデータベース用のサーバ
ーは、高度に保護された世界中のデータセンター施設でホスティングされています。
サーバーへの物理的なアクセスは制限されています。カリフォルニア州サンタバーバ
ラのCitrix Online Services部門のネットワークオペレーションセンター(NOC)は、
厳格なセキュリティ措置によって保護されています。
安全なネットワーク
Citrixのアクセスルーターはサービス拒否(DoS)攻撃を監視するように設定されてお
り、拒否された接続はログに記録されます。インターネットとWebサーバー間のファ
イアウォールとGoToMyPCブローカーとバックエンドデータベース間のファイアウォ
ールにより、マルチレイヤーの境界セキュリティが提供されます。
安全なプラットフォーム
Citrixのサーバーは、最新のセキュリティ対策がインストールされた堅牢なLinuxサー
バー上で稼働しています。各サーバーは、侵入テストにより安全性が確認されていま
す。また、システムログを継続的に監査して、疑わしい活動がないかどうかを監視し
ています。
安全な管理
Citrixのサーバーは、サンタバーバラにあるCitrix
Online
Services部門のNOCと
データセンターを接続する専用T1回線で管理されています。CitrixのNOCスタッフ
は、Secure Shell(SSH)により認証および暗号化されるリモートログオンアクセス
を使用しています。中間サーバーがすべてのSSH接続の処理および認証を行うため、
開いたポートのない非常に厳重なアクセス制御が可能です。
gotomypc.jp
ホワイトペーパー 3
GoToMyPCセキュリティ
拡張性および信頼性の高いインフラストラクチャ
Citrixのインフラストラクチャは、堅牢かつ安全です。冗長的なスイッチとルータ
ー、およびクラスター化されたサーバーとバックアップシステムにより、高可用性が
確保されています。高い拡張性および信頼性を実現するため、サーバーへの要求はス
イッチにより複数のCitrix Webサーバー間に透過的に分配されます。また、最適なパ
フォーマンスを提供するため、GoToMyPCブローカーは地理的に分散した通信サーバ
ーにセッションの負荷を自動的に配分します。
お客様のプライバシーの保護
Citrixはプライバシーの重要性を理解しています。Citrix Online Services部門には、
個人や企業の情報を第三者に不正に開示することを禁止する厳格な個人情報保護ポリ
シーがあります。
公開されている個人情報保護ポリシー
Citrix Online Services部門の個人情報保護ポリシーは公開されており、各GoToMyPC
サービス契約書に記載されています。このポリシーでは、収集される情報とその用
途、情報共有の対象、および情報の共有をお客様が拒否できることについて説明して
います。Citrix Online Services部門はTRUSTeのライセンシーであり、確立された
TRUSTeプライバシー原則を順守し、TRUSTeの監視および消費者問題解決プロセス
の準拠に同意しています。
お客様の情報の開示
Citrixは、GoToMyPCのサービスを提供するために、お客様の姓名、メールアドレ
ス、アカウントレベルのパスワードなど、特定のユーザー情報を収集します。Citrix
は、明示的に承認されない限り、この機密情報をいかなる第三者に開示すること
も、同意されたサービス提供方法以外の方法でこの情報を使用することもありませ
ん。Citrixは、ユーザーの明示的な同意の下に、サービス契約時に提供されたメール
アドレス宛にサービスの更新に関するメッセージを送信します。
公共のコンピューターからGoToMyPCにアクセスした場合でも、残されたデータがプ
ライバシーに対する脅威になることはありません。GoToMyPCは、オプションによ
りCookieを使用してトラフィックパターンを記録し、登録情報を取得します。この
Cookieは登録時に生成される固有の番号を保持しますが、個人を特定できる情報やパ
スワードは記録されません。ユーザーは、必要に応じてこのCookieをブロックできま
す。セッションの終了後、Webブラウザーの履歴にはGoToMyPCにアクセスしたこと
が示されますが、資格情報のすべてを知っていない限り、この履歴内の情報を使って
アカウントやコンピューターにアクセスすることはできません。この資格情報には、
ユーザー名(メールアドレス)およびパスワード、コンピューターのアクセスコー
ド、ワンタイムパスワード(オプション)などがあります。
お客様の情報へのアクセス
Citrixサーバーにアクセスできる個人は、Citrix NOCスタッフのみです。NOCスタッ
フには、カスタマーサポートの明確な目的で必要な場合にのみ限定されたアクセス権
が与えられます。Citrixの開発者は、実稼働しているCitrixサーバーへのアクセス権を
持っていません。
GoToMyPCのセッションログは、Citrixがサービス品質を維持し、パフォーマンス分
析を支援するために使用されます。トラフィック管理のために記録される情報には、
ドメイン名、Webブラウザーの種類、MIMEタイプなどが含まれます。ただし、これ
らのデータは総合的に収集され、個人ユーザーや企業アカウントに関連付けられるこ
とは絶対にありません。
gotomypc.jp
ホワイトペーパー 4
GoToMyPCセキュリティ
ホワイトペーパー
トラフィックおよび資格情報のプライバシー保護
GoToMyPC通信サーバーはクライアント側のWebブラウザーとホストコンピューター間の
トラフィックを中継しますが、これらのパケットは暗号化されます。これらのトラフィッ
クには暗号化キーの生成に使用されたアクセスコードがないため、Citrixであってもこの
トラフィックを解読することはできません。侵入者がCitrixサーバーへのアクセスを不正
に取得した場合でも、コンピューターのアクセスコードはそこには保存されておらず、個
々のセッショントラフィックも記録されていないため、接続中のセッショントラフィック
が危害を受けることはありません。
デジタル署名済みアプリケーション
GoToMyPCのソフトウェアは、GoToMyPC Webサイトにアクセスして署名済みJavaアプ
レットを起動することによってインストールされます。WebブラウザーによるJavaアプ
レットの実行やソフトウェアのインストールが禁止されている環境では、代わりにファイ
ルからサーバーやクライアントのソフトウェアをインストールできます。サーバーソフト
ウェアはホストコンピューター上に永続的にインストールされますが、クライアントソフ
トウェア(ビューアー)は永続的にインストールする必要はありません。
ほとんどのセキュリティパラメーターは事前設定されており、ユーザーが設定する必要は
ありません。また、追加のセキュリティ機能として、ユーザーはホストコンピューターの
画面を非表示にしたり、キーボードロックしたり、またはキーロガーなどを悪用した不正
侵入を防ぐワンタイムパスワードを生成したりできます。パスワードおよびコンピュータ
ーのアクセスコードの設定は、常にユーザー自身が行う必要があります。これは、エンド
ユーザーのプライバシーを保護するためにも必要です。
ファイアウォールへの対応
GoToMyPCは、ファイアウォールに対応しています。セッションは、ポート80、443、ま
たは8200への発信HTTP/TCPでのみ開始されます。多くのファイアウォールでは既に発
信Webトラフィックが許可されているため、構成済みのファイアウォールをバイパスした
りセキュリティを緩めたりする必要はありません。
ほかの多くのソリューションでは、サーバーへの着信パケットをパブリックIPアドレス
で受信する必要があります。GoToMyPCホストの場合、GoToMyPCブローカー(poll.
gotomypc.com)との永続的なTCP接続を確立して、そこから接続要求が通知されます。
ホストは、約60秒ごとにTCPの「キープアライブ」パケットを送信して接続を維持しま
す。これにより、アプリケーションのプロキシファイアウォール、動的IPアドレス、およ
びネットワーク/ポートアドレス変換(NAT/PAT)が使用される環境でもGoToMyPCが正
しく動作します。
一部のファイアウォールでは、直接接続がブロックされたり、直接接続の許可を求める警
告メッセージが表示されたりする場合があります。これは、着信接続が単一ポイントで作
成されるためです。ただし、これはGoToMyPC製品のファイアウォール対応に制限がある
ということではありません。直接接続がブロックまたは中断されても、自動的に通信サー
バー経由で発信信号による接続が継続されます。GoToMyPCユーザーは、必要に応じて直
接接続を無効にすることもできます。
また、GoToMyPCはファイアウォールによる既存のセキュリティ対策の影響を受けない
ため、IT担当者を悩ませることなく社内のコンピューターでGoToMyPCを使用できま
す。会社は、GoToMyPCブローカーのIPアドレス宛てのトラフィックをブロックするだけ
で、GoToMyPCトラフィックを制御することができます。ご要望に応じて、Citrixでは特
定のネットワークアドレスブロックに対するGoToMyPC接続をフィルターして、許可さ
れたユーザーのみが特定のコンピューターにのみアクセスできるようにすることもできま
す。これにより、会社の訪問者がGoToMyPCを使用して自分のコンピューターにアクセス
することを許可しながら、社内のコンピューターへのアクセスを禁止できます。
gotomypc.jp
5
GoToMyPCセキュリティ
コンピューターアクセスの保護
リモートからアクセスするには、接続先のホストコンピューターにGoToMyPCソフ
トウェアがインストールされており、実行中である必要があります。ホストコンピ
ューターにGoToMyPCをインストールするには、そのコンピューターに物理的にア
クセスする必要があります。GoToMyPCをリモートから有効化したり、トロイの木
馬を使用してこっそり仕掛けたりことはできません。
ホストコンピューターは、そのコンピューターからGoToMyPC Webサイトにアク
セスすることによって追加されます。ユーザー、つまりホストコンピューターの所
有者は、ユーザー名と、そのユーザーのみが知っているアカウントパスワードおよ
びコンピューターアクセスコードを入力する必要があります。コンピューターを登
録するときに使用したユーザー名およびアカウントパスワードを入力せずに、コン
ピューターアクセスコードをリセットすることはできません。さらなる認証レベル
を提供するために、オプションでワンタイムパスワードを生成できます。これによ
り、公共のコンピューターからホストコンピューターにアクセスする場合など、キ
ーロガーなどの悪用によるセキュリティ上の脅威を排除できます。
機密データの保護
GoToMyPCは、高度に圧縮および暗号化されたストリームを使用して、パフォーマ
ンスを犠牲にすることなくデータの機密性を保証します。画面イメージ、ファイル
転送、コピーアンドペースト操作、キーボードやマウスからの入力、チャットテキ
ストを含め、GoToMyPCブラウザークライアントとホストコンピューター間のすべ
てのトラフィックは、128ビットAES(Advanced Encryption Standard)暗号化
によりエンドツーエンドで保護されます。
高度な暗号化
G o To M y P C は 、 カ ウ ン タ ー モ ー ド ( C T R ) で 1 2 8 ビ ッ ト A E S ( A d v a n c e d
Encryption
Standard)を使用します。2001年初頭、米国標準技術局(NIST)
は、広範な4年間の評価プロセスを経てAESをDESの後継として選定しました。当初
「Rijndael(ラインダール)」と呼ばれたこのAESが選定された理由は、その計算
効率、メモリ要件が少量で済むこと、柔軟性、簡潔性、そしてもちろんセキュリテ
ィでした。
強力な暗号キー
強力な暗号技術でも、強力で機密性の高い暗号キーを使用しないと脆弱化してしま
います。GoToMyPCは、接続ごとに固有の秘密キーを生成します。これらは、SRP
と呼ばれるゼロ知識の公開キーベースのプロトコルを使用して生成されます(以下
を参照)。アクセスコードベリファイアはホストコンピューター上に暗号化されて
保持され、Citrixサーバー上に転送されたり保存されたりすることはありません。こ
のため、暗号化データを解読するためのキーを侵入者が傍受または生成することは
できません。
メッセージリプレイ攻撃や改ざんに対する保護
画面共有機能とファイル転送機能のパケットには、メッセージリプレイ攻撃を防ぐ
ための連続番号が含まれます。これらのパケットは、独自のプロトコルでフレーム
化され、AESで暗号化された圧縮バイナリデータを保持します。攻撃者は、受信者
に検出されることなくこれらのパケットを改ざんすることはできません。
認証されたアクセス
ブラウザークライアントとホストコンピューター間のGoToMyPCの機密性は、認証
により提供される強力な基盤上に築かれています。認証は、GoToMyPCブローカー
および通信サーバーからブラウザークライアントおよびホストコンピューターのす
べての識別情報を検証します。さらに、アクセス制御により、認証されたユーザー
だけが認証されたリソースにアクセスできます。
gotomypc.jp
ホワイトペーパー
6
GoToMyPCセキュリティ
モバイルセキュリティ
デスクトップコンピューターやラップトップコンピューターでGoToMyPCを使用する
ためのすべてのセキュリティプロトコルは、モバイルデバイス上でGoToMyPCを使用
する場合にも同様に適用されます。スマートフォンやタブレットデバイスを紛失した
場合でも、そのユーザーが設定したアクセスコードを知らなければGoToMyPCアプリ
ケーションを使ってホストコンピューターにアクセスすることはできません。
複雑なパスワードの使用
GoToMyPCでは、すべてのパスワードを8文字以上の文字および数字で設定する必要
があります。この要件により、辞書攻撃によって簡単に推測されるような短い、一般
的なパスワードをユーザーは設定できなくなります。パスワードが長く複雑になるほ
ど、保護は強力になります。
ログオン試行回数の制限
GoToMyPCでは、ユーザーが間違った資格情報で何回もログオン試行を繰り返すこと
はできません。この措置は、パスワード推測攻撃に対する保護にもなります。デフォ
ルトでは、認証に3回失敗するとユーザーのアカウントおよびコンピューターへのア
クセスが一時的に5分間無効になります。
複数パスワードの使用
GoToMyPCでは、複数のネストされたパスワードを使用して部外者を遮断できます。
ユーザー名およびパスワードの機密データは、平文で送信されないように暗号化され
ます。ユーザーは、ワンタイムパスワードを生成してさらに保護を強化することもで
きます。
GoToMyPCブローカーは、信頼される認証機関が発行したデジタル証明書をブラウザ
ークライアントに送信して同一性を証明します。クライアントは、SSLで交換される
アカウントのユーザー名およびパスワードをGoToMyPCブローカーに送信して同一性
を証明します。
エンドツーエンド認証
ブラウザークライアントがホストコンピューターに接続するたびに、エンドユーザー
および接続先コンピューターにのみ知られる共有シークレットを使用して相互認証を
行います。このアクセスコードをCitrixが閲覧したり保管したりすることはありませ
ん。ユーザーがアクセスコードを秘密にしている限り、そのユーザーのみがホストコ
ンピューターへのGoToMyPC接続を確立できます。GoToMyPCは、セキュアリモート
パスワード(SRP)プロトコルを使用したエンドツーエンドのキー合意による認証を
行います。
特許取得済みのこのプロトコルは、優れた暗号強度とパフォーマンス、およびさま
ざまな潜在的攻撃に対する回復力で高く評価されています。詳しくは、http://srp.
stanford.edu/を参照してください。
ユーザーがワンタイムパスワード認証を有効にするには、ホストコンピューター上で
ボタンをクリックしてパスワードのリストを生成します。以降、クライアントコンピ
ューターからこのホストコンピューターに接続するときには、正しいアクセスコード
を入力した後、指定された番号のパスワードをリストから選択して入力します。各パ
スワードの使用は1回の接続だけに限られ、ユーザーはいつでもリストをキャンセル
したり再生成したりできます。ワンタイムパスワードを使用すると、セキュリティイ
ンフラストラクチャを追加しなくても認証の安全性を高めることができます。
無操作状態によるタイムアウト
ユーザーがGoToMyPCセッションからログオフせずに公共のコンピューターから離
れてしまうと、接続先コンピューターのデスクトップが公の目にさらされてしまいま
す。GoToMyPCでは、無操作タイムアウトを使用して接続先コンピューターをこのよ
うな脅威から守ることができます。GoToMyPC Webサイトでは、SSLセッションでの
gotomypc.jp
ホワイトペーパー
7
GoToMyPCセキュリティ
無操作状態が15分間続くと、ユーザーは自動的にログオフされます。また、ユーザー
は特定の無操作期間の後でビューアーがログオフされるように設定することもできま
す。さらに、ホストのセキュリティ機能によってホスト画面を非表示にして、ホスト
のキーボードおよびマウスが入力を受け付けないようにロックすることもできます。
オペレーティングシステムレベルのアクセス制御
GoToMyPCでは、社内LANで既に構成されているオペレーティングシステムレベルの
アクセス制御がそのまま適用されます。アクセス対象のホストコンピューターは、画
面ロック状態またはログオフ状態のまま電源を切らずにおきます。GoToMyPCで接続
するときに、リモートユーザーはそのホストコンピューター用のユーザー名とパスワ
ードを入力して、自分のアカウントに関連付けられたファイル、ホスト、およびドメ
インレベルの権限の許可を受ける必要があります。つまり、GoToMyPC接続により社
内ネットワーク全体へのアクセスが付与されるわけではなく、そのホストコンピュー
ターに適用される既存のアクセス制御による制限を受けます。
ゲストの招待
GoToMyPCを使用するユーザーは、デスクトップを共有して同僚、顧客、クライ
アントと共同作業を行えます。ゲストアクセスは便利ですが、安全な運用が必要で
す。GoToMyPCユーザーは、アカウントやコンピューターのパスワードを開示せず
に、GoToMyPCをインストールした自分のコンピューターへのアクセスを一時的に第
三者に与えることができます。
招待状の有効期限
許可される場合、ユーザーはほかのユーザーを自分のホストコンピューターに招待で
きます。これを行うには、システムトレイの[MYPC]アイコンを右クリックして、1
時間後、2時間後、または3時間後に有効期限が切れる招待状をメールで送信します。
このときに、アカウントのユーザー名(メールアドレス)およびパスワードを入力す
るためのダイアログボックスが開きます。これは、ブローカーによる認証と招待状の
デジタル署名を行うために必要です。次に、1度だけのアクセスが許可されるURLが
ブローカーによりメールでゲストに送信されます。ゲストは、そのメッセージに従っ
てGoToMyPC Webサイトにアクセスします。
必要なアクセスの付与
GoToMyPC Webサイトにアクセスしたゲストは、ボタンをクリックしてGoToMyPC
ビューアーをダウンロードします。ゲストの送信されるURLにはダイナミックログオ
ン用のワンタイムトークンが含まれているため、ゲストはアクセスコードやユーザー
パスワードを入力する必要はありません。その代わり、ホストコンピューター上にポ
ップアップウィンドウが開き、ここでユーザーがゲストの接続を承認する必要があり
ます。アカウントレベルのパスワードおよびアクセスコードを持っている人が、アク
セス対象のホストコンピューター上で招待状を生成することが必須であるため、不正
な招待状はさらに防止されます。
完全制御アクセスと表示専用アクセス
ゲストには、表示専用モードと完全制御モードのいずれかのアクセスレベルを付与で
きます。表示専用モードでは、ホストコンピューターのデスクトップを表示すること
だけが許可され、デスクトップを操作したりファイルを転送したりすることはできま
せん。完全制御モードでは、そのホストコンピューターの所有者と同じようにデスク
トップを操作できます。ただし、ローカルマウスは常にリモートマウスよりも優先さ
れます。ホストコンピューターの所有者は、いつでもゲストを切断してGoToMyPC接
続を終了できます。
アクセス通知
GoToMyPCが動作するホストコンピューターにクライアントが接続すると、そのコン
ピューター画面に通知が表示されます。コンピューターの所有者は常にGoToMyPCの
接続を認識できるため、そのコンピューターでの操作内容を盗み見する侵入者をシャ
ットアウトできます。さらに、GoToMyPC Webサイトでは、ホストコンピューターの
gotomypc.jp
ホワイトペーパー
8
GoToMyPCセキュリティ
一覧でアクティブなセッションを確認することができます。また、ユーザーがログオ
ンするたびに、最後のログオン試行についての通知が表示されます。これにより、そ
の間に不正なアクセスが発生していないかどうかを確認できます。さらに、疑わしい
活動がなかったかどうかを確認するために、失敗したログオン試行数を含む接続履歴
を表示できます。
GoToMyPC Corporateでのアカウントの管理
外出先でモバイルデバイスを使用する社員にインターネット経由でのリモートアクセ
スを提供する場合、セキュリティが最大の考慮事項になります。一方で、総導入コス
ト(TCI)を抑えるには、安全なリモートアクセスソリューションを各組織の既存の
セキュリティインフラストラクチャにスムーズに統合して、IT部門のサポート業務や
ユーザーごとの設定を最小限にする必要があります。Citrixのエンタープライズ製品
は、このような重要なセキュリティの問題を考慮して開発されています。
GoToMyPC Corporateでは、安全なオンラインの管理センターを使用して、社員のリ
モートアクセス権を管理したり、不正なアクセスや機能を遮断したりできます。
セキュアな管理インターフェイス
管理者は、さまざまなWebブラウザーを使用してこの管理センターにアクセスできま
す。GoToMyPC Corporateの組織アカウントが作成されると、管理者に各アクセス権
の設定方法が提供されます。特定の管理権限を中堅管理者に委任することもできるた
め、大規模な環境にもGoToMyPC
Corporateを簡単に展開できます。Webサイトへ
のすべての接続は、128ビット以上の対称暗号化および1024ビットのキー合意による
SSL認証により保護されます。必要な暗号セットをサポートしていないWebブラウザ
ーを使用するユーザーには、ブラウザーのアップグレード方法を説明したページが表
示されます。GoToMyPCサーバーはX.509デジタル証明書により認証され、管理者は
ユーザー名とパスワードにより認証されます。
新規ユーザーの招待
ユーザーアカウントやそのグループを新規作成できるのは管理者のみです。管理者
は、管理センターにログオンして、GoToMyPC
Corporateに招待するユーザーのメ
ールアドレスのリストを入力します。招待された各ユーザーには、アクティブ化方法
の説明と、1度だけの使用が許可されるアクティブ化用URLを含むカスタマイズ可能
なメールメッセージが送信されます。新規ユーザーは、このURLにアクセスして個人
パスワードを定義し、ホストコンピューターを自分のアカウントに追加します。管理
者は、各ユーザーが追加できるホストコンピューターの数を制限したり、ホストコン
ピューターとクライアントビューアーシステムの両方の明示的管理承認を要求した
りできます。さらに、ネットワーク内のホストコンピューターを特定のGoToMyPC
Corporateアカウントに限定することで、許可されていないGoToMyPCアクセスを防
ぐことができます。これらのアプローチにより、GoToMyPC Corporateの大規模展開
が効率化される一方で、リモートアクセスの許可やエンドユーザーのプライバシーお
よびアカウンタビリティをエンタープライズレベルで管理できます。
ユーザーアカウントおよび接続の一時停止と取り消し
管理センターでは、個人やグループのアクティブ化状態もチェックできます。特定
のユーザーアカウントやグループアカウントを一時的に使用停止にしたり、完全に
抹消したりできます。停止または抹消されたアカウントのユーザーにはメールに
よる通知が送信され、以降そのアカウントからのログオンは拒否されます。さら
に、GoToMyPC
Corporateの管理者はユーザーの接続状況をリアルタイムに確認で
き、必要なときは直ちに接続を終了することができます。
ユーザーアカウントの管理
GoToMyPC Corporateの管理者は、セキュリティやプライバシーに関する組織のポリ
シーに準拠する形でユーザーアカウントを構成することができます。たとえば、特定
gotomypc.jp
ホワイトペーパー
9
GoToMyPCセキュリティ
のユーザーまたはグループに対して、ファイル転送、ゲストの招待、クリップボード
の共有、リモート印刷などの機能の使用を禁止できます。また、パスワードの更新頻
度や再使用に関するポリシーを適用したり、タイムアウト期間を設定したり、認証に
失敗したアカウントやコンピューターをロックしたり、ワンタイムパスワードの使用
を必須にしたりできます。
これらの設定を詳細に管理することで、組織のさまざまなセキュリティポリシーに準
拠できます。また、マルチレベルでグループをカスタマイズできるので、大規模な展
開環境でもポリシーを全社的に適用したり迅速に更新したりできます。
RSA SecurIDの統合
GoToMyPC Corporateは、組織の既存のRSA SecurIDインフラストラクチャに統合さ
せることもできます。これにより強力な2要素認証が提供され、ユーザーが自分で所
有するSecurIDトークンを使用しないとセッションを開始できなくなります。
SecurID認証を許可するには、特定のRSAサーバーを使ってホストコンピューターが
構成されている必要があります。さらに、ユーザーはコンピューターのアクセスコ
ードと、自分のSecurIDトークンに表示されている値を入力することが必要になりま
す。表示される値は絶えず変化するので、SecurIDトークンを実際に持っていないユ
ーザーがアクセスすることは不可能です。2要素認証は、社内ネットワークへのリモ
ートアクセスを堅牢にするために広く採用されています。GoToMyPC Corporateは、
組織の既存のSecurIDインフラストラクチャとシームレスに統合でき、複雑な設定や
Citrixサーバーへの信用委譲は必要ありません。
社内のアクセスの監視
GoToMyPC Corporateの管理センターでは、すべてのユーザー接続の追跡、詳細レポ
ートの作成、セキュリティ監査や会計上の目的での接続ログの保管などを社内で行う
ことができます。
使用状況の監視
GoToMyPC Corporateの管理者は、特定の日における接続状況のレポートを表示する
ことができます。また、必要なときはユーザーの接続を直ちに終了することもできま
す。各接続ログには、ユーザーの姓名、ホストコンピューターの名前、接続を開始し
たクライアントのIPアドレス、接続開始および終了時間、接続の持続時間、およびセ
ッションの種類(標準またはゲスト招待)などの情報が記録されます。
管理センターでは、特定の日付および日付範囲におけるユーザー、接続時刻、平均接
続継続時間などで構成されるレポートを生成したりアーカイブしたりできます。ま
た、許可されたユーザー、各ユーザー/グループに対して許可された機能、アクセス時
間、最終ログオン時刻、あるいは失敗したログオンの頻度などのデータを評価するた
めの追加レポートを生成することもできます。
これらの標準レポートを分析することで、極端に長時間の接続や、予期しないクライ
アントIPアドレスなどの異常なアクセスパターンを検知できます。これはまた、だれ
がいつどのコンピューターにアクセスしたのかをチェックする監査証跡としても使用
できます。
ユーザーは、GoToMyPCのWebサイトにログオンして自分の接続履歴を確認すること
ができます。さらに、接続履歴を各コンピューターのWindowsイベントログに記録す
ることで、セッション情報を既存のレポートインフラストラクチャに統合できます。
詳細な接続ログ
GoToMyPCのブローカーは、各接続についての追加情報を記録します。これには、前
回のユーザーアクセス時間、ブラウザー(ユーザーエージェント)の種類、ビューア
gotomypc.jp
ホワイトペーパー 10
GoToMyPCセキュリティ
ホワイトペーパー 11
ーのダウンロード状態、通信サーバーのID、接続終了原因(サーバー/クライアント/
ブローカー/タイムアウト)、終了時のエラーコード、コンピューターのビルド番号
などが含まれます。これらの情報は問題解決のために使用され、Citrixのカスタマー
サポート担当者により必要に応じてアクセスされます。
まとめ
Citrixのアプローチは明快です。安全なホスト型サービスおよび運用手順を提供し
て、お客様のプライバシーを保護します。また、ユーザー情報の漏えいを防ぐため、
マルチレベルの認証手段および最先端の暗号化によってリモートアクセス接続を保護
します。その結果、GoToMyPCは、高速、高信頼性、使いやすい、堅牢で安全なリモ
ートアクセスを提供します。
GoToMyPC
Corporateのアカウントはこの基礎の上に構築され、これにエンター
プライズクラスのセキュリティ、管理、監視を実現するツールが追加されていま
す。GoToMyPC Corporateは、企業の既存のネットワークやセキュリティインフラス
トラクチャとシームレスに統合でき、アカウントニーズの増大に応じて規模を拡張で
きます。これにより、総導入コストを抑えながら堅牢で安全なリモートアクセスを実
現できます。
お問い合わせ
GoToMyPCのセキュリティの詳細については、Webサイト(www.gotomypc.jp)
をご覧ください。
北米
Citrix Online, LLC
7414 Hollister Avenue
Goleta, CA 93117
U.S.A.
T +1 805 690 6400
info@citrixonline.com
ヨーロッパ、中東、アフリカ
Citrix Online, UK Ltd
Chalfont Park House
Chalfont Park, Gerrards
Cross
Bucks SL9 0DZ
United Kingdom
T +44 (0) 800 011 2120
europe@citrixonline.com
アジア太平洋
Citrix Online, AUS Pty Ltd
Level 3, 1 Julius Avenue
Riverside Corporate Park
North Ryde NSW 2113
Australia
T +61 2 8870 0870
asiapac@citrixonline.com
Citrixについて
Citrixは、クラウド時代におけるビジネスおよびITのしくみやコラボレーションの形を変えるソリューションを提供していま
す。GoToクラウドサービスの製品ポートフォリオにより、場所を問わずにいつ誰とでも作業できる、使いやすいクラウドベースのコ
ラボレーション、リモートアクセス、およびITサポートソリューションが提供されます。詳しくは、www.citrix.co.jpおよびwww.
citrixonline.comをご覧ください。
©
2013 Citrix Online, LLC.All rights reserved.Citrix、GoToAssist、GoToMeeting、GoToMyPC、GoToTraining、GoToWebinar、
Podio、およびShareFileは、Citrixまたはその子会社の商標であり、米国特許商標庁およびそのほかの国において登録されている可能
性があります。その他のすべての商標は、該当する各社の財産です。
Mac、iPad、およびiPhoneは、米国および他の国々で登録されたApple Inc.の商標です。Androidは、Google Inc.の商標です。
3.25.2013/B-88279/PDF
gotomypc.jp