TeamViewerをより安全に！リモートデスクトップアクセス時の二要素認証

TeamViewerは遠隔地からPCやスマートフォンを操作するためのリモートデスクトップソリューションです。TeamViewerの最新バージョンは15.17.7（2021年5月17日現在、Windows）ですが、このバージョンからセキュリティを向上させる新機能が追加されたのでご紹介します。

なお、既にTeamViewerに関する紹介記事や様々なTipsを公開していますので、この記事では製品のご紹介は割愛します。

新しい機能について

セキュリティを向上させる新機能は、アプリケーションからも以下のように確認できます。

二要素認証（two-factor authentication）は、TeamViewerに限らずSNSや様々なWebサービスでも採用されているので、TeamViewer以外の製品やサービスでも、実際に利用されている方が多いのではないでしょうか。多くはサービス等にログインする際にIDとパスワードだけではログインできず、加えて事前に登録したスマートフォン等でアプリを使って、ログインを許可したりするような認証機構です。

ここでいう二要素とは、二種類の資格情報（要素）を組み合わせた認証方式を意味しています。具体的には、パスワードのように人が記憶する情報をキーとする「知識」による認証、特定のデバイスやアプリを所持していることをキーとする「所持」による認証、そして、特定の個人であることを示す生体的な特徴をキーとする「生体」による認証等を意味します。先ほどの例は、最初にパスワード、次にデバイス所持の確認となるので、「知識」と「所持」による二要素認証ということになります。

ちなみに、二要素認証と似た言葉で多要素認証という言葉がありますが、これは文字通り複数の要素を組み合わせた認証方式を意味しており、結果的には二要素認証も意味合いに含みます。

従来、TeamViewerでリモートデスクトップアクセス（他のPC等を操作しようと）する場合には、パスワードによる認証を基本としていました。これに加え、ACLと呼ばれる特定のデバイスや、ユーザ毎にアクセス可能かを限定する機能が提供されており、このパスワードとACLを組み合わせて必要なセキュリティレベルを確保する仕組みでした。

しかし、ACLは、事前にどのユーザやデバイスからのアクセスを許可（あるいは不許可）にするのかをリストアップした上、それらを事前に漏れなく設定をしておく必要がある等、若干、運用に知識や経験が必要です。そのため、とりあえずTeamViewerを使いたいというようなお客様は、少しハードルが高いと感じる方も少なくありません。

もしACLを採用しない場合、リモートデスクトップアクセス時の認証はパスワードのみになります。TeamViewerでは、パスワードの長さの変更や、パスワードをランダムに変更する機能等も提供しており、それらを正しく運用することでパスワードのみでも一定のセキュリティレベルは確保できます。しかし、万が一に備えるという観点では、パスワードだけに頼った運用に不安のある方もいるでしょう。

今回新たに採用されたリモートデスクトップアクセス時の二要素認証は、まさにそんなユーザに最適な機能だと言えます。従来のパスワードによる認証（知識）に加えて、事前に登録したスマートフォン（iPhone/Android）のデバイス認証（所持）を行うことで、万が一のパスワードの漏洩や、辞書攻撃など非正規ユーザによるアクセスといったセキュリティ事故を防止することができます。

二要素認証を設定してみよう

二要素認証は非常に簡単に利用できるので、実際に設定してみましょう。まず、接続元及び接続先のPC（例ではWindows）にインストールされているTeamViewerのバージョンが、15.17.7以降であることを確認してください。もし、それ以前のバージョンの場合は、バージョンアップを行ってください。

 

次に接続先のPCのTeamViewerにお手持ちのスマートフォンを登録します。接続先のPCでTeamViewerを起動して、メニューから「その他」→「オプション」→「セキュリティ」を選択します。表示された画面の一番下段に「デバイス認証」という項目があるのを確認してください。

「承認デバイスを管理」の右にある「設定」ボタンをクリックすると、承認デバイス管理を行うウィンドウが表示されます。

はじめて二要素認証設定を行う場合、承認デバイスの欄は空欄になっているのを確認してください。なお、現時点の仕様ですが、リモートデスクトップアクセス時の二要素認証は、この承認デバイスの欄が空欄の場合は無効、登録がある場合は有効となり、それ以外に有効/無効を設定する方法はないようです（承認デバイスを登録した状態で二要素認証のみ無効にはできない）。念のため覚えておきましょう。それでは、お手持ちのスマートフォンを登録するために、「追加」のボタンをクリックしてください。

正しく読み込みが完了すると、承認デバイスの欄にお手持ちのスマートフォンが登録されます。これでリモートデスクトップアクセス時の二要素認証に関する設定は完了しました。非常に簡単ですね。

二要素認証、本当に使えるようになっている？

それでは実際に二要素認証を使ってアクセスしてみましょう。接続元のPCでTeamViewerを起動したら、いつもと同じように接続先のTeamViewer IDを入力して「接続」をクリックします。

二要素認証の場合も、まず、パスワードの入力を求められます。正しいパスワードを入力すると、二要素認証を設定していない場合（かつACLによる制御で遮断されない場合）、このままリモートデスクトップ画面が表示されます。

二要素認証を設定している場合は、登録済みのスマートフォンに通知が行われます。スマートフォンで通知を開くと、TeamViewerアプリが起動。アプリ上に表示されたダイアログからアクセスを許可するかどうかの選択を求められます。

ここで、「許可する」とした場合、リモートデスクトップ画面に進むことができます。ちなみに「ブロック」とした場合は、下記のようにステータスに「認証ブロック」と表示され、最終的にアクセスに失敗します。

運用上、少しだけ注意が必要な点は、承認デバイスの登録が複数可能だという点です。これは個人で通知して欲しいデバイスを複数持っているような場合には便利ですが、例えば、複数人でリモートデスクトップアクセスを利用して共用するPCのような場合、各人のスマートフォンを承認デバイスとして登録すると、誰がリモートデスクトップアクセスした場合でも、登録した全てのスマートフォンに通知がされ、全てのスマートフォンで、承認処理（許可/ブロック）が可能です（実際には一番早かった承認結果に従うことになります）。

そのため、こういった場合には、各自が自身に覚えのない通知は無視する、あるいは接続元のTeamViewer IDをみて判断する等の対応が必要です。

おわりに

今回はTeamViewerの新機能である、リモートデスクトップアクセス時の二要素認証機能をご紹介しました。パスワードのみでの運用に比べて、より高い認証レベルで、より安全なリモートデスクトップ環境の実現が可能です。

さらに、例えば、パスワード漏洩や辞書攻撃等による不正アクセスが試行され、仮にパスワード認証が突破された場合でも、パスワードのみではリモートデスクトップアクセスができません。承認デバイス所有者が、通知で身に覚えのないアクセスを知ることができる点が、不正アクセスに対する早期警報的にも役立ちそうです。

なお、この二要素認証機能は、TeamViewerの有償ライセンスをお持ちのユーザ、個人利用の範囲において無償でお使いのユーザ、いずれでも利用が可能です。さっそく導入して、より安全なリモートデスクトップ環境を実現してみてはいかがでしょうか。

TeamViewerを含めたリモートデスクトップ製品の多くに共通するセキュリティの考え方について、わかりやすい資料にまとめています。これからリモートデスクトップを導入する方、既に導入済みでセキュリティ運用の見直しをされる方におすすめです。