はじめに
ハッキング攻撃の急増や、米国のSOX法(Sarbanes-Oxley Act)やHIPAA法(Health Insurance Portability and Accountability Act)、欧州連合のGDPR(General Data Protection Regulation)のようなシステムアクセス制御の規制要件のために、組織の企業および顧客データの完全性とセキュリティは最も重要です。GO-Global®は入手可能な最善のセキュリティ技術を活用し、データセキュリティと顧客のプライバシーを保証する多層的なセキュリティシステムを顧客に提供しております。GO-Globalの統合セキュリティ機能と追加機能の詳細は以下のとおりです。
GO-グローバル・セッション・プロトコル
GraphOn®は、クライアントリモートアクセス技術の初期のイノベーターでした。GO-Globalの基盤となっているのは、RapidX Protocol (RXP)と呼ばれるシリアル回線を介した接続用の独自の低帯域幅プロトコルです。RXPは適応性があり、多層圧縮を使用し、可能な限り低い帯域幅利用を保証するように最適化されています。RXPはクローズドソースであるため、セキュリティ上の弱点が発見され悪用されているMicrosoft® RDPのようなオープンソースのプロトコルに比べ、攻撃者に対する防御が強化されています。
基本インストールとデフォルト設定
GO-Globalは、GO-Globalソフトウェアのインストールまたはアップグレードを行うホスト上の単一のインストーラー実行ファイルを使用して簡単にインストールできます。インストールが完了したら、レジストリ設定を初期化し、GO-Globalソフトウェアとドライバーを有効にするためにホストを再起動する必要があります。
設計上、サーバーまたはクライアントリソースの共有を可能にするすべての設定オプションは無効になっています。さらに、GO-Globalはデフォルトのアプリケーションを発行しません。GO-Globalホストの構成、管理、およびセキュリティ関連の機能は、管理コンソールの[ホストオプション]メニューからアクセスできます。管理者はこのメニューを使用して、アプリケーションの公開、ユーザーとホストのアクティビティの監視、クライアント印刷、クライアントクリップボード、暗号化、認証などの機能の有効化を行うことができます。
クライアント・セッションの暗号化
デフォルトでは、GO-Globalはすべてのクライアントセッション接続に56ビットキー強度のDES(データ暗号化標準)を使用してセッションを暗号化し、基本的なパケットスニッファーやクライアントが生のデータ通信を傍受することから保護します。これは高速で信頼性が高く、GO-Global経由のLANベースの接続に即時レベルのセキュリティを提供します。
インターネット通信とセキュリティを重視する環境のために、GO-Globalは128ビットRC4、168ビット3DES、256ビットAESの暗号化アルゴリズムでTLSベースのトランスポートを提供します。これらの高い暗号化アルゴリズムでは、管理者がホスト上に署名付きTLS証明書を適用する必要があります。管理者は、GO-Globalホストが公に登録されたDNSアドレスを持っている場合、管理コンソールのホストオプションダイアログのセキュリティタブを通してGO-Globalホストの信頼されたTLS証明書を生成することもできます。これにより、管理者はサードパーティの認証局から証明書を購入することなく、強力な暗号化とTLSセキュリティを有効にすることができます。
GO-GlobalでVPNを使用する
GO-Globalを使用する管理者は、クライアントデバイスからGO-Globalホストへの安全で暗号化されたトンネルを作成するためにサードパーティの仮想プライベートネットワーキング(VPN)ソフトウェアを使用することができます。リモートのエンドユーザーはVPNトンネルを通してGO-Globalセッションを起動できます。VPNを使用する場合、GO-Global独自のRXPを直接暗号化する必要はありませんが、セキュリティレベルを高めるために暗号化することは可能です。VPNを経由する場合、RXPはVPNソフトウェアによって暗号化されます。
プロキシサーバー・トンネリング
GO-GlobalはHTTPコネクトとしても知られるプロキシサーバートンネリングをサポートしています。これにより、ウェブプロキシサーバー経由でインターネットにアクセスするユーザーは、インターネット上のGO-Globalホストに接続することができます。プロキシサーバーを使用する場合、デフォルトではすべてのホストポートですべてのトラフィックが拒否されることに留意してください。
アプリケーション・セキュリティとユーザー認証
ソフトウェアアプリケーションは、それがインストールされているオペレーティングシステムと同じくらい安全です。GO-Globalは独自のユーザーまたはアプリケーションデータベースをインストールまたは維持しません。その代わりに、Windows Server®オペレーティングシステムからユーザーとデータのセキュリティのすべての側面を継承します。ユーザーとアプリケーションのセキュリティ設定はWindows® OSレベルで構成され、ログオンプロセス中にGO-Globalに渡されます。
さらに、Windowsのファイル、フォルダ、共有、プリンタ、およびレジストリの権限はすべてGO-Globalによって尊重され、あらゆるWindowsシステムのセキュリティの中心です。エンドユーザーに管理者権限または昇格権限が与えられていない限り、システムフォルダーにアクセスしたり、サーバーを破損または破壊したり、その他のセキュリティ上の脅威を引き起こすことはできません。
グラフオンでは、特に負荷分散されたサーバーファームでは、すべてのホストで一貫性を確保するために、すべてのシステム側のセキュリティ設定にWindowsグループポリシーを使用することを推奨しています。
シングルサインオン対応
シングルサインオン(SSO)とは、ユーザがユーザ名とパスワードという一元管理された認証情報を使用して、複数のアプリケーション、ウェブサイト、データ、ワークステーションにログインし、アクセスできるようにするユーザ認証ツールである。全体として、シングルサインオンは、組織にとってIDアクセスの確保とクラウドへの移行を大幅に容易にした。さらに、シングルサインオンは、パスワードを紛失したり忘れたりした場合のヘルプデスクへの問い合わせを減らす。
SSOは歴史的に、Webアプリケーションでのみ利用可能であった。Windows OS 内の認証イベントは、Winlogon を介して発生する。Winlogon は、ユーザがユーザ名とパスワー ドを使用してオペレーティングシステムに直接ログオンする、セッションの対話型ログオンを実行する Windows 認証モジュールである。Windows はログオンにユーザ名とパスワードを必要とするため、IT 部門は、カスタマイズされたクレデンシャル・プロバイダを使用しない限り、シングルサインオンを使用するクラウド実装に Windows アプリケーションを含めることはできない。
GO-GlobalはOpenID® Connect (OIDC)のためのシングルサインオンサポートによりその要件を排除し、組織がGO-Global WindowsホストへのシングルサインオンのためにOkta®やMicrosoft® Active Directory Federated Services (ADFS)のようなOIDC IDプロバイダーを使用することを可能にします。GO-Globalにより、OktaやADFSのようなIDプロバイダーを使用して企業のウェブアプリケーションやポータルにサインインするユーザーは、認証情報を再入力することなくブラウザからGO-Globalホストにアクセスすることができ、組織の認証ポリシーを実施し、ヘルプデスクへのパスワードの紛失や忘却の電話を減らすことができます。
ユーザーがOIDCを介して認証されると、GO-Globalは管理者にWindows上で自動的にユーザーを認証するためのいくつかのオプションを提供します。例えば、識別プロバイダが組織のActive Directoryと統合されている場合、GO-Globalは自動的にユーザーのドメインアカウントにサインインすることができます。あるいは、Active Directoryの統合が必要でない、または必要でない場合、GO-Globalは自動的にユーザーのローカルWindowsアカウントを作成することができます。
二要素認証
GO-Globalの二要素認証(2FA)(「2段階認証」とも呼ばれる)は、ユーザー名とパスワードに加えて、スマートフォンの認証アプリから6桁のコードを入力するようユーザーにオプションで要求することで、セキュリティの追加レイヤーを提供する高度な認証機能です。これにより、ユーザーのパスワードが漏洩した場合でも、攻撃者はユーザーのロック解除された携帯電話にアクセスすることなく、ホストシステムにアクセスすることができなくなります。これは、ブルートフォースや辞書によるパスワード検索を無意味なものにし、脆弱なリモート・デスクトップ・クライアントを使ったリモート作業を可能にする組織が増える中、特に重要なことである。2FAはまた、複雑なパスワード・ポリシーを強制する負担を軽減する。
GO-Globalの二要素認証では、すべてのユーザーがGoogle Authenticator™またはAuthyなどの認証アプリをインストールしたスマートフォンを持つ必要があります。
統合されたWindows認証
管理者は、管理コンソールのホストオプションダイアログの認証タブで標準認証(ユーザー名とパスワードのプロンプト)を無効にし、統合Windows認証を有効にすることにより、GO-Globalエンドユーザーのネットワークセキュリティを強化することができます。この設定では、すべての非WindowsクライアントはGO-Globalホストへのアクセスを拒否されるため、GO-GlobalエンドユーザーはGO-Globalホストが信頼するActive DirectoryアカウントでWindowsクライアントOSにログオンする必要があります。さらに、GO-Globalホストにローカルなユーザーアカウントはアクセスを許可されません。ユーザーはNETWORKグループのメンバーとして認証され、GO-Globalホストからのネットワークリソースへのアクセスは制限されます。
エンドユーザーがGO-Globalホストから無制限のネットワークアクセスを必要とする場合、より安全でないオプションは、ホスト設定のキャッシュパスワードを有効にすることです。これは、GO-Globalホストが有効なユーザー名とパスワードをユーザーに問い合わせるよう促します。パスワードはユーザーのセキュリティコンテキストで暗号化され、GO-Global Hostのユーザープロファイルに保存されます。GO-Globalへのその後の接続で、エンドユーザーは自動的にログインし、ホストのINTERACTIVEグループに追加され、ホストコンソールにログオンしたのと同じアクセス権が付与されます。
アプリケーションのサンドボックス化
GO-Globalはアプリケーションを個別に公開しますが、一部のアプリケーションは他のアプリケーションを起動し、ファイルやレジストリキーにアクセスすることができます。セキュリティ、ライセンス、またはパフォーマンスの懸念のためにその動作を防止したい管理者は、GO-Globalホスト上のファイルやプログラムへのユーザーアクセスを制限することができるGO-Globalのサンドボックス機能を使用してそうすることができます。これらの制限はエンドユーザーのみに適用され、管理者や管理者グループのメンバーには適用されません。
GO-Globalのサンドボックスにより、管理者はプロセスの動作を厳しく制限し、ロックダウンされたアプリケーションをエンドユーザーに提供することができます。
GO-Globalクライアントの接続性とポート番号
TCP/IPネットワーキングにおいて、ポートとは、コンピュータがネットワーク上のコンピュータやプログラムとの複数の通信セッションを同時にサポートできるようにする仕組みのことである。ポートは、リクエストをそのIPアドレスの特定のサービスに向ける。パケットの宛先は、固有のポート番号を使用することでさらに定義することができます。ポート番号は接続確立時に決定される。
IANA(Internet Assigned Numbers Authority)は、インターネットの運用と将来の発展に必要な固有のパラメータとプロトコル値を定義している。詳しくは、http://www.iana.org/assignments/port-numbers。
