自宅のMacからWindows仮想マシンへのリモートアクセスで、Microsoft Remote Desktopに不具合が出たため代替を検討しました。
TeamViewerのような第三者設備を経由する仕組みはセキュリティ的に気持ち悪く、極力避けるようにしています。ただし、設定次第でそこそこ安全に使えると判断したので、利便性とのバランスを考慮して採用しました。
選定の経緯
最初はVNC(UltraVNC)を試しましたが、テキスト入力が不安定で画面転送が止まってしまいます。事象の切り分けに時間をかける気にもならなかったので、以前からインストールしていたTeamViewerをセキュアに使う方向で検討を始めました。
セキュリティ設計のポリシー
- 自分だけが使えればいい
- 何よりセキュアを優先する
- 自宅内(同一LAN)ではインターネットを経由しない接続にしたい
TeamViewerの認証要素を整理する
TeamViewerには複数のID/パスワードが存在してわかりにくいです。自分だけが使う前提で整理すると以下の通りです。
| 設定項目 | 用途 | 自分専用の場合 |
|---|---|---|
| 使用中のID | 他人からの接続受付用 | 無効にできないので無視 |
| パスワード | 上記IDとセット | 同上 |
| 個人的なパスワード | デバイスへのリモート接続時に入力 | 強固なものを設定 |
| WebサインインID | アカウントログイン。複数端末の一覧管理 | ホワイトリストで使用 |
| WebサインインPW | 上記とセット | 二段階認証を追加 |
必須の設定:ホワイトリスト+パスワード強度
ホワイトリスト設定が最重要です。 許可したアカウントからしか接続できないようにすることで、他人からの接続リスクを最小限にします。
- 接続許可アカウントのホワイトリスト設定(自分のメールアドレスのみ許可)
- 遠隔操作受付用パスワードを「非常に安全(10文字)」に設定
- 個人的なパスワードも強固なものに
ホワイトリストさえ守れば他は補足的ですが、多層防御としてやっておくべきです。
推奨の設定:二段階認証
アカウントが乗っ取られてはホワイトリストの意味がないので、二段階認証を設定します。Google認証アプリ(TOTP)が利用可能です。
LAN接続で高速化
TeamViewerは接続先としてLAN内のIPアドレスも指定できます。インターネット経由が必須だと思い込んでいたので、これは嬉しい発見でした。
| 受信LAN設定 | 動作 |
|---|---|
| 非アクティブ化済 | インターネット接続のみ |
| 同意 | LAN接続とインターネット接続が共存 |
| 同意のみ | LAN接続しか許可しない |
自宅内での利用であれば「同意のみ」にしておくのが最もセキュアです。
余談:VPN+RDP/VNCとの比較
徹底的にセキュリティを追い求めるならVPN接続+RDP/VNCがベストです。ただし以下の不満がありました。
- スマホからの接続時にVPN→RDPの二段階操作が面倒
- VPN接続中のバッテリ消費が増加する
- VPN接続用のLinuxサーバを建てるか、VPN対応ルーターを購入する必要がある
TeamViewerは各環境にアプリをひとつインストールするだけで済むので、セキュリティ設定を適切に行えば十分な選択肢だと思います。
