本ブログでは、IT/OT環境のリモートメンテナンス用途に特化したDispel Secure Remote Accessの利用方法について紹介します。

Dispel Secure Remote Accessの概要については、弊社の製品紹介ページ [Dispel] や公開済みのブログ [ゼロトラスト型セキュアリモートアクセス 「Dispel Secure Remote Access」のご紹介] をご覧ください。

Dispel Secure Remote Accessでは、Dispelクラウド上で提供される仮想デスクトップ（VDI）を経由してIT/OT環境へセキュアにリモートアクセスを行います。今回はRDPでVDIに接続する方法をご紹介します。（標準的なRDP接続以外に、port 443を利用したRDPアクセスや Webブラウザを使ったHTTPSでのVDIアクセスも可能です。また、VDIを使わず Dispel Applicationを使ってリモートアクセスする方法もございます。これらは別の機会にご紹介できればと思います。）

DispelのVDIは、利用終了後に完全に破棄される使い捨てVDIであるという特徴を持ちます。仮にVDIがマルウェア等に感染しても、長期間の潜伏や感染の水平展開を防ぐ役割を果たします。

Dispel VDIの画面操作を録画しておく機能も提供されていますので、リモートメンテナンスの証跡として利用できます。録画データのエクスポートも可能なため、メンテナンス作業の引継ぎや作業教育などにも活用されている事例がございます。

Dispelの利用にあたっては、下記に挙げるような準備が必要です。

• 利用ユーザーの登録
• 接続先の拠点とDispelクラウドの接続
• 接続先機器の登録およびアクセス制御の設定

こちらの詳細についても、別途ご紹介できればと考えております。

ユーザーはDispelクラウド上で提供されるVDIを経由して、接続先拠点(工場・クラウド等)に設置されている機器(デバイス)へアクセスすることになります。

ユーザーがVDIへRDPを用いて接続するまでの流れは以下の通りです。

① ユーザーがVDI利用申請を作成

② 管理者/承認者がVDI利用申請を承認

③ ユーザーがVDIへRDP接続を実施

このような申請/承認のワークフローが、Dispelの提供するDashboard上で標準提供されています。リモートメンテナンスを依頼する会社と別途ワークフローを構築する必要もありません。

VDIへのRDP接続後は、VDIから接続先拠点の機器へアクセスします。接続先拠点の機器へアクセスする際の利用プロトコルに制限はありません。事前に定義したユーザー / 機器(デバイス) / ポート番号をベースとしたアクセス制御に基づいて、ユーザーは許可された機器に許可された接続方法でのみアクセスができます。

VDIへRDP接続する際の手順をご紹介します。

① ユーザーがVDI利用申請を作成

ユーザーはDispel Dashboard上の申請入力フォームに従って、必要な情報を入力します。

接続したい機器が存在する接続先拠点を選択します。

3.リモートアクセスが必要な理由の入力

管理者/承認者に向けて、リモートアクセスを行う背景・理由を記載することができます。

4.VDI利用期間の指定

VDIの利用終了時刻を指定します。

上記申請フォームの場合、利用開始時刻は承認されたタイミングとなります。利用開始時刻を指定して申請を行うことのできる申請フォームも用意されています。VDIの利用開始後、管理者にて終了時刻を延長することも可能です。

 5. 申請内容の確認

入力した申請内容の確認を行い「アクセスリクエストの送信」を押すことで、申請が完了します。

②管理者/承認者がVDI利用申請を承認

ユーザーがVDI利用申請を実施すると、管理者/承認者に対してメールで通知されます。メールには承認画面へのリンクが記載されています。管理者/承認者は承認画面へアクセスし、VDI利用申請に対しての承認/拒否の判断と設定を行います。

• 承認画面

③ユーザーがVDIへRDP接続を実施

管理者/承認者が承認を行うと、ユーザーに対してメールで通知されます。ユーザーがDispel Dashboardに再度アクセス、または画面更新を行うと、以下の画面が表示されます。

Dispel Dashboard上に表示される接続先IPアドレス、ユーザーネーム、パスワードを用いて、VDIへアクセスすることができます。使い捨てVDIであるため、VDIを利用する毎に、この情報は異なります。

「クイック接続」ボタンを利用すると、IPアドレスとユーザーネームが埋め込まれた .rdpファイルがダウンロードされます。同時にクリップボードへのパスワードコピーも自動で行われ、ダウンロードした .rdpファイルを実行する際のパスワード入力の手間が減らせるようになっています。

VDIへの接続には接続元IPアドレス制限が設けられています。VDI利用申請を行った際のクライアントのIPアドレスからのみ接続が可能です。

• RDPによるVDI接続後のVDIの画面

VDIへの接続後は、事前にアクセスが許可された機器(デバイス)に対して許可された方法(プロトコル)で接続を行います。

VDIから機器(デバイス)への接続時に必要なID/パスワード情報を事前に管理者が登録しておくことで、ユーザーによるID/パスワード入力をスキップして機器(デバイス)に接続させる機能も提供されています。（利用できる接続方法に制限があります）

VDIについては、お客様の利用する内容に応じて、柔軟なカスタマイズが可能です。例えば、利用するソフトウェアアプリケーションを事前にインストールしておく、指定のオンラインストレージのみインターネットアクセスを許可する、などが挙げられます。

本ブログを通して、Dispel Secure Remote Access は IT/OT環境へのセキュアなリモートアクセスの”道”を提供するだけでなく、申請/承認のワークフローや接続時の認証情報入力の省略などの機能によって、標準化された効率的なリモートメンテナンス環境を提供することをご理解いただけると嬉しいです。

Dispel Secure Remote Accessにご興味ございましたら、以下サイトからお気軽に弊社までお問い合わせください。