ホワイトペーパー Citrix GoToMyPC セキュリティ自宅やオフィスのコンピューターにリモートアクセスする場合、セキュリティに配慮することは不可欠です。GoToMyPCが提供する業界トップレベルの高信頼性セキュリティにより、大切なファイル、アプリケーション、および情報を保護できます。 gotomypc.jp GoToMyPCセキュリティホワイトペーパー 2 はじめに GoToMyPCでは、インターネットに接続された任意のMacやPCへのWebブラウザーを使用したセキュアなアクセスが可能になります。キーボード、マウスおよびディスプレイの更新情報は高度に圧縮・暗号化されて送信され、接続先のホストコンピューターを直接操作しているかのようなユーザーエクスペリエンスが提供されます。GoToMyPCでは、以下の機能がサポートされています。 •画面の共有：任意のWebブラウザーから起動できるサイズ変更可能なビューアーを使用して、ホストコンピューター上のすべてのデスクトップアプリケーションをインタラクティブに操作できます。従来のアプリケーションをWebアプリケーション化する必要もありません。 •ファイル転送：ホストコンピューターとローカルクライアントコンピューター間でファイルを簡単に転送できます。 •リモート印刷：どこにいても、お使いのホストPCから手元のプリンターに印刷できます。 •モバイルアクセス：iPad、iPhone、Androidのデバイスから、MacやPCにアクセスできます。 GoToMyPCは、5つのコンポーネントで構成されるホスト型サービスです。 •コンピューター：アクセス対象のコンピューターに、サイズの小さなサーバーソフトウェアをインストールします。アクセス対象のコンピューターとは、通常、常時インターネットに接続されている自宅またはオフィスのコンピューターで、これを「ホストコンピューター」と呼びます。このサーバーソフトウェアにより、ホストコンピューターがGoToMyPCブローカーに登録され、認証されます。 •Webブラウザー：ユーザーは、リモートの「クライアントコンピューター」上の Webブラウザーを起動して、セキュリティで保護されたGoToMyPC Webサイトを表示します。次に、ユーザー名とパスワードを入力し、接続先コンピューターの［接続］ボタンをクリックして、SSLで暗号化された要求をブローカーに送信します。 •ブローカー：ブローカーは仲介者として機能し、接続要求を待機してそれを登録済みのホストコンピューターに割り当てます。要求と接続先の条件が一致すると、ブローカーは通信サーバーにセッションを割り当てます。次に、クライアントビューアー（セッション固有の小さな実行ファイル）がWebブラウザーのJava仮想マシンにより自動的にロードされます。GoToMyPCビューアーは、ワイヤレスモバイルデバイスを含む、Java対応のWebブラウザーを備えたあらゆるコンピューターで動作します。 •通信サーバー：通信サーバーは、判読が不能な、高度に圧縮および暗号化された GoToMyPCのセッションのデータストリームをクライアントとサーバー間で中継する中間システムです。 •直接接続：ユーザーの認証と接続が完了すると、可能な場合は通信サーバーをバイパスしてクライアントとホストが直接接続され、通信速度とセッションパフォーマンスを向上させます。この直接接続機能では、クライアントとホストの両方が相互に信号を発信し、どちらか最初に到着した信号によって接続が確立されます。クライアントおよびホストは、次にSRPプロトコルを使用したキー合意による認証を実行し、「中間者（man-in-the-middle）」攻撃が不可能なエンドツーエンドのセキュアな接続を確立します。直接接続がブロックまたは中断される場合は、そのセッションを仲介した通信サーバーによる接続がリモートアクセスサービスを維持します。ユーザーのデータの整合性およびプライバシーを保護することは、すべての人にとっての最大の関心事項です。GoToMyPCの使用がビジネス用途であれ個人用途であれ、セキュリティ対策は不可欠です。 gotomypc.jp GoToMyPCセキュリティ徹底したセキュリティ Citrixでは、企業の既存のネットワークおよびセキュリティインフラストラクチャとシームレスに統合しながら、堅牢で安全な運用を確実にするSAASモデルを使用して GoToMyPCを提供します。 GoToMyPCブローカー HTTPS でのセキュアなログオン暗号化されたポーリングプロトコル GoToMyPC 通信サーバーファイアウォールファイアウォールホストコンピューター：接続先のコンピューター。リモートデバイス：ホストコンピューターにアクセスするときに使用するコンピューターやモバイルデバイス。エンドツーエンドの暗号化オーバーレイネットワーク安全な設備すべてのGoToMyPC Web、アプリケーション、通信、およびデータベース用のサーバーは、高度に保護された世界中のデータセンター施設でホスティングされています。サーバーへの物理的なアクセスは制限されています。カリフォルニア州サンタバーバラのCitrix Online Services部門のネットワークオペレーションセンター（NOC）は、厳格なセキュリティ措置によって保護されています。安全なネットワーク Citrixのアクセスルーターはサービス拒否（DoS）攻撃を監視するように設定されており、拒否された接続はログに記録されます。インターネットとWebサーバー間のファイアウォールとGoToMyPCブローカーとバックエンドデータベース間のファイアウォールにより、マルチレイヤーの境界セキュリティが提供されます。安全なプラットフォーム Citrixのサーバーは、最新のセキュリティ対策がインストールされた堅牢なLinuxサーバー上で稼働しています。各サーバーは、侵入テストにより安全性が確認されています。また、システムログを継続的に監査して、疑わしい活動がないかどうかを監視しています。安全な管理 Citrixのサーバーは、サンタバーバラにあるCitrix Online Services部門のNOCとデータセンターを接続する専用T1回線で管理されています。CitrixのNOCスタッフは、Secure Shell（SSH）により認証および暗号化されるリモートログオンアクセスを使用しています。中間サーバーがすべてのSSH接続の処理および認証を行うため、開いたポートのない非常に厳重なアクセス制御が可能です。 gotomypc.jp ホワイトペーパー 3 GoToMyPCセキュリティ拡張性および信頼性の高いインフラストラクチャ Citrixのインフラストラクチャは、堅牢かつ安全です。冗長的なスイッチとルーター、およびクラスター化されたサーバーとバックアップシステムにより、高可用性が確保されています。高い拡張性および信頼性を実現するため、サーバーへの要求はスイッチにより複数のCitrix Webサーバー間に透過的に分配されます。また、最適なパフォーマンスを提供するため、GoToMyPCブローカーは地理的に分散した通信サーバーにセッションの負荷を自動的に配分します。お客様のプライバシーの保護 Citrixはプライバシーの重要性を理解しています。Citrix Online Services部門には、個人や企業の情報を第三者に不正に開示することを禁止する厳格な個人情報保護ポリシーがあります。公開されている個人情報保護ポリシー Citrix Online Services部門の個人情報保護ポリシーは公開されており、各GoToMyPC サービス契約書に記載されています。このポリシーでは、収集される情報とその用途、情報共有の対象、および情報の共有をお客様が拒否できることについて説明しています。Citrix Online Services部門はTRUSTeのライセンシーであり、確立された TRUSTeプライバシー原則を順守し、TRUSTeの監視および消費者問題解決プロセスの準拠に同意しています。お客様の情報の開示 Citrixは、GoToMyPCのサービスを提供するために、お客様の姓名、メールアドレス、アカウントレベルのパスワードなど、特定のユーザー情報を収集します。Citrix は、明示的に承認されない限り、この機密情報をいかなる第三者に開示することも、同意されたサービス提供方法以外の方法でこの情報を使用することもありません。Citrixは、ユーザーの明示的な同意の下に、サービス契約時に提供されたメールアドレス宛にサービスの更新に関するメッセージを送信します。公共のコンピューターからGoToMyPCにアクセスした場合でも、残されたデータがプライバシーに対する脅威になることはありません。GoToMyPCは、オプションによりCookieを使用してトラフィックパターンを記録し、登録情報を取得します。この Cookieは登録時に生成される固有の番号を保持しますが、個人を特定できる情報やパスワードは記録されません。ユーザーは、必要に応じてこのCookieをブロックできます。セッションの終了後、Webブラウザーの履歴にはGoToMyPCにアクセスしたことが示されますが、資格情報のすべてを知っていない限り、この履歴内の情報を使ってアカウントやコンピューターにアクセスすることはできません。この資格情報には、ユーザー名（メールアドレス）およびパスワード、コンピューターのアクセスコード、ワンタイムパスワード（オプション）などがあります。お客様の情報へのアクセス Citrixサーバーにアクセスできる個人は、Citrix NOCスタッフのみです。NOCスタッフには、カスタマーサポートの明確な目的で必要な場合にのみ限定されたアクセス権が与えられます。Citrixの開発者は、実稼働しているCitrixサーバーへのアクセス権を持っていません。 GoToMyPCのセッションログは、Citrixがサービス品質を維持し、パフォーマンス分析を支援するために使用されます。トラフィック管理のために記録される情報には、ドメイン名、Webブラウザーの種類、MIMEタイプなどが含まれます。ただし、これらのデータは総合的に収集され、個人ユーザーや企業アカウントに関連付けられることは絶対にありません。 gotomypc.jp ホワイトペーパー 4 GoToMyPCセキュリティホワイトペーパートラフィックおよび資格情報のプライバシー保護 GoToMyPC通信サーバーはクライアント側のWebブラウザーとホストコンピューター間のトラフィックを中継しますが、これらのパケットは暗号化されます。これらのトラフィックには暗号化キーの生成に使用されたアクセスコードがないため、Citrixであってもこのトラフィックを解読することはできません。侵入者がCitrixサーバーへのアクセスを不正に取得した場合でも、コンピューターのアクセスコードはそこには保存されておらず、個々のセッショントラフィックも記録されていないため、接続中のセッショントラフィックが危害を受けることはありません。デジタル署名済みアプリケーション GoToMyPCのソフトウェアは、GoToMyPC Webサイトにアクセスして署名済みJavaアプレットを起動することによってインストールされます。WebブラウザーによるJavaアプレットの実行やソフトウェアのインストールが禁止されている環境では、代わりにファイルからサーバーやクライアントのソフトウェアをインストールできます。サーバーソフトウェアはホストコンピューター上に永続的にインストールされますが、クライアントソフトウェア（ビューアー）は永続的にインストールする必要はありません。ほとんどのセキュリティパラメーターは事前設定されており、ユーザーが設定する必要はありません。また、追加のセキュリティ機能として、ユーザーはホストコンピューターの画面を非表示にしたり、キーボードロックしたり、またはキーロガーなどを悪用した不正侵入を防ぐワンタイムパスワードを生成したりできます。パスワードおよびコンピューターのアクセスコードの設定は、常にユーザー自身が行う必要があります。これは、エンドユーザーのプライバシーを保護するためにも必要です。ファイアウォールへの対応 GoToMyPCは、ファイアウォールに対応しています。セッションは、ポート80、443、または8200への発信HTTP/TCPでのみ開始されます。多くのファイアウォールでは既に発信Webトラフィックが許可されているため、構成済みのファイアウォールをバイパスしたりセキュリティを緩めたりする必要はありません。ほかの多くのソリューションでは、サーバーへの着信パケットをパブリックIPアドレスで受信する必要があります。GoToMyPCホストの場合、GoToMyPCブローカー（poll. gotomypc.com）との永続的なTCP接続を確立して、そこから接続要求が通知されます。ホストは、約60秒ごとにTCPの「キープアライブ」パケットを送信して接続を維持します。これにより、アプリケーションのプロキシファイアウォール、動的IPアドレス、およびネットワーク/ポートアドレス変換（NAT/PAT）が使用される環境でもGoToMyPCが正しく動作します。一部のファイアウォールでは、直接接続がブロックされたり、直接接続の許可を求める警告メッセージが表示されたりする場合があります。これは、着信接続が単一ポイントで作成されるためです。ただし、これはGoToMyPC製品のファイアウォール対応に制限があるということではありません。直接接続がブロックまたは中断されても、自動的に通信サーバー経由で発信信号による接続が継続されます。GoToMyPCユーザーは、必要に応じて直接接続を無効にすることもできます。また、GoToMyPCはファイアウォールによる既存のセキュリティ対策の影響を受けないため、IT担当者を悩ませることなく社内のコンピューターでGoToMyPCを使用できます。会社は、GoToMyPCブローカーのIPアドレス宛てのトラフィックをブロックするだけで、GoToMyPCトラフィックを制御することができます。ご要望に応じて、Citrixでは特定のネットワークアドレスブロックに対するGoToMyPC接続をフィルターして、許可されたユーザーのみが特定のコンピューターにのみアクセスできるようにすることもできます。これにより、会社の訪問者がGoToMyPCを使用して自分のコンピューターにアクセスすることを許可しながら、社内のコンピューターへのアクセスを禁止できます。 gotomypc.jp 5 GoToMyPCセキュリティコンピューターアクセスの保護リモートからアクセスするには、接続先のホストコンピューターにGoToMyPCソフトウェアがインストールされており、実行中である必要があります。ホストコンピューターにGoToMyPCをインストールするには、そのコンピューターに物理的にアクセスする必要があります。GoToMyPCをリモートから有効化したり、トロイの木馬を使用してこっそり仕掛けたりことはできません。ホストコンピューターは、そのコンピューターからGoToMyPC Webサイトにアクセスすることによって追加されます。ユーザー、つまりホストコンピューターの所有者は、ユーザー名と、そのユーザーのみが知っているアカウントパスワードおよびコンピューターアクセスコードを入力する必要があります。コンピューターを登録するときに使用したユーザー名およびアカウントパスワードを入力せずに、コンピューターアクセスコードをリセットすることはできません。さらなる認証レベルを提供するために、オプションでワンタイムパスワードを生成できます。これにより、公共のコンピューターからホストコンピューターにアクセスする場合など、キーロガーなどの悪用によるセキュリティ上の脅威を排除できます。機密データの保護 GoToMyPCは、高度に圧縮および暗号化されたストリームを使用して、パフォーマンスを犠牲にすることなくデータの機密性を保証します。画面イメージ、ファイル転送、コピーアンドペースト操作、キーボードやマウスからの入力、チャットテキストを含め、GoToMyPCブラウザークライアントとホストコンピューター間のすべてのトラフィックは、128ビットAES（Advanced Encryption Standard）暗号化によりエンドツーエンドで保護されます。高度な暗号化 G o To M y P C は、カウンターモード（ C T R ）で 1 2 8 ビット A E S （ A d v a n c e d Encryption Standard）を使用します。2001年初頭、米国標準技術局（NIST）は、広範な4年間の評価プロセスを経てAESをDESの後継として選定しました。当初「Rijndael（ラインダール）」と呼ばれたこのAESが選定された理由は、その計算効率、メモリ要件が少量で済むこと、柔軟性、簡潔性、そしてもちろんセキュリティでした。強力な暗号キー強力な暗号技術でも、強力で機密性の高い暗号キーを使用しないと脆弱化してしまいます。GoToMyPCは、接続ごとに固有の秘密キーを生成します。これらは、SRP と呼ばれるゼロ知識の公開キーベースのプロトコルを使用して生成されます（以下を参照）。アクセスコードベリファイアはホストコンピューター上に暗号化されて保持され、Citrixサーバー上に転送されたり保存されたりすることはありません。このため、暗号化データを解読するためのキーを侵入者が傍受または生成することはできません。メッセージリプレイ攻撃や改ざんに対する保護画面共有機能とファイル転送機能のパケットには、メッセージリプレイ攻撃を防ぐための連続番号が含まれます。これらのパケットは、独自のプロトコルでフレーム化され、AESで暗号化された圧縮バイナリデータを保持します。攻撃者は、受信者に検出されることなくこれらのパケットを改ざんすることはできません。認証されたアクセスブラウザークライアントとホストコンピューター間のGoToMyPCの機密性は、認証により提供される強力な基盤上に築かれています。認証は、GoToMyPCブローカーおよび通信サーバーからブラウザークライアントおよびホストコンピューターのすべての識別情報を検証します。さらに、アクセス制御により、認証されたユーザーだけが認証されたリソースにアクセスできます。 gotomypc.jp ホワイトペーパー 6 GoToMyPCセキュリティモバイルセキュリティデスクトップコンピューターやラップトップコンピューターでGoToMyPCを使用するためのすべてのセキュリティプロトコルは、モバイルデバイス上でGoToMyPCを使用する場合にも同様に適用されます。スマートフォンやタブレットデバイスを紛失した場合でも、そのユーザーが設定したアクセスコードを知らなければGoToMyPCアプリケーションを使ってホストコンピューターにアクセスすることはできません。複雑なパスワードの使用 GoToMyPCでは、すべてのパスワードを8文字以上の文字および数字で設定する必要があります。この要件により、辞書攻撃によって簡単に推測されるような短い、一般的なパスワードをユーザーは設定できなくなります。パスワードが長く複雑になるほど、保護は強力になります。ログオン試行回数の制限 GoToMyPCでは、ユーザーが間違った資格情報で何回もログオン試行を繰り返すことはできません。この措置は、パスワード推測攻撃に対する保護にもなります。デフォルトでは、認証に3回失敗するとユーザーのアカウントおよびコンピューターへのアクセスが一時的に5分間無効になります。複数パスワードの使用 GoToMyPCでは、複数のネストされたパスワードを使用して部外者を遮断できます。ユーザー名およびパスワードの機密データは、平文で送信されないように暗号化されます。ユーザーは、ワンタイムパスワードを生成してさらに保護を強化することもできます。 GoToMyPCブローカーは、信頼される認証機関が発行したデジタル証明書をブラウザークライアントに送信して同一性を証明します。クライアントは、SSLで交換されるアカウントのユーザー名およびパスワードをGoToMyPCブローカーに送信して同一性を証明します。エンドツーエンド認証ブラウザークライアントがホストコンピューターに接続するたびに、エンドユーザーおよび接続先コンピューターにのみ知られる共有シークレットを使用して相互認証を行います。このアクセスコードをCitrixが閲覧したり保管したりすることはありません。ユーザーがアクセスコードを秘密にしている限り、そのユーザーのみがホストコンピューターへのGoToMyPC接続を確立できます。GoToMyPCは、セキュアリモートパスワード（SRP）プロトコルを使用したエンドツーエンドのキー合意による認証を行います。特許取得済みのこのプロトコルは、優れた暗号強度とパフォーマンス、およびさまざまな潜在的攻撃に対する回復力で高く評価されています。詳しくは、http://srp. stanford.edu/を参照してください。ユーザーがワンタイムパスワード認証を有効にするには、ホストコンピューター上でボタンをクリックしてパスワードのリストを生成します。以降、クライアントコンピューターからこのホストコンピューターに接続するときには、正しいアクセスコードを入力した後、指定された番号のパスワードをリストから選択して入力します。各パスワードの使用は1回の接続だけに限られ、ユーザーはいつでもリストをキャンセルしたり再生成したりできます。ワンタイムパスワードを使用すると、セキュリティインフラストラクチャを追加しなくても認証の安全性を高めることができます。無操作状態によるタイムアウトユーザーがGoToMyPCセッションからログオフせずに公共のコンピューターから離れてしまうと、接続先コンピューターのデスクトップが公の目にさらされてしまいます。GoToMyPCでは、無操作タイムアウトを使用して接続先コンピューターをこのような脅威から守ることができます。GoToMyPC Webサイトでは、SSLセッションでの gotomypc.jp ホワイトペーパー 7 GoToMyPCセキュリティ無操作状態が15分間続くと、ユーザーは自動的にログオフされます。また、ユーザーは特定の無操作期間の後でビューアーがログオフされるように設定することもできます。さらに、ホストのセキュリティ機能によってホスト画面を非表示にして、ホストのキーボードおよびマウスが入力を受け付けないようにロックすることもできます。オペレーティングシステムレベルのアクセス制御 GoToMyPCでは、社内LANで既に構成されているオペレーティングシステムレベルのアクセス制御がそのまま適用されます。アクセス対象のホストコンピューターは、画面ロック状態またはログオフ状態のまま電源を切らずにおきます。GoToMyPCで接続するときに、リモートユーザーはそのホストコンピューター用のユーザー名とパスワードを入力して、自分のアカウントに関連付けられたファイル、ホスト、およびドメインレベルの権限の許可を受ける必要があります。つまり、GoToMyPC接続により社内ネットワーク全体へのアクセスが付与されるわけではなく、そのホストコンピューターに適用される既存のアクセス制御による制限を受けます。ゲストの招待 GoToMyPCを使用するユーザーは、デスクトップを共有して同僚、顧客、クライアントと共同作業を行えます。ゲストアクセスは便利ですが、安全な運用が必要です。GoToMyPCユーザーは、アカウントやコンピューターのパスワードを開示せずに、GoToMyPCをインストールした自分のコンピューターへのアクセスを一時的に第三者に与えることができます。招待状の有効期限許可される場合、ユーザーはほかのユーザーを自分のホストコンピューターに招待できます。これを行うには、システムトレイの［MYPC］アイコンを右クリックして、1 時間後、2時間後、または3時間後に有効期限が切れる招待状をメールで送信します。このときに、アカウントのユーザー名（メールアドレス）およびパスワードを入力するためのダイアログボックスが開きます。これは、ブローカーによる認証と招待状のデジタル署名を行うために必要です。次に、1度だけのアクセスが許可されるURLがブローカーによりメールでゲストに送信されます。ゲストは、そのメッセージに従ってGoToMyPC Webサイトにアクセスします。必要なアクセスの付与 GoToMyPC Webサイトにアクセスしたゲストは、ボタンをクリックしてGoToMyPC ビューアーをダウンロードします。ゲストの送信されるURLにはダイナミックログオン用のワンタイムトークンが含まれているため、ゲストはアクセスコードやユーザーパスワードを入力する必要はありません。その代わり、ホストコンピューター上にポップアップウィンドウが開き、ここでユーザーがゲストの接続を承認する必要があります。アカウントレベルのパスワードおよびアクセスコードを持っている人が、アクセス対象のホストコンピューター上で招待状を生成することが必須であるため、不正な招待状はさらに防止されます。完全制御アクセスと表示専用アクセスゲストには、表示専用モードと完全制御モードのいずれかのアクセスレベルを付与できます。表示専用モードでは、ホストコンピューターのデスクトップを表示することだけが許可され、デスクトップを操作したりファイルを転送したりすることはできません。完全制御モードでは、そのホストコンピューターの所有者と同じようにデスクトップを操作できます。ただし、ローカルマウスは常にリモートマウスよりも優先されます。ホストコンピューターの所有者は、いつでもゲストを切断してGoToMyPC接続を終了できます。アクセス通知 GoToMyPCが動作するホストコンピューターにクライアントが接続すると、そのコンピューター画面に通知が表示されます。コンピューターの所有者は常にGoToMyPCの接続を認識できるため、そのコンピューターでの操作内容を盗み見する侵入者をシャットアウトできます。さらに、GoToMyPC Webサイトでは、ホストコンピューターの gotomypc.jp ホワイトペーパー 8 GoToMyPCセキュリティ一覧でアクティブなセッションを確認することができます。また、ユーザーがログオンするたびに、最後のログオン試行についての通知が表示されます。これにより、その間に不正なアクセスが発生していないかどうかを確認できます。さらに、疑わしい活動がなかったかどうかを確認するために、失敗したログオン試行数を含む接続履歴を表示できます。 GoToMyPC Corporateでのアカウントの管理外出先でモバイルデバイスを使用する社員にインターネット経由でのリモートアクセスを提供する場合、セキュリティが最大の考慮事項になります。一方で、総導入コスト（TCI）を抑えるには、安全なリモートアクセスソリューションを各組織の既存のセキュリティインフラストラクチャにスムーズに統合して、IT部門のサポート業務やユーザーごとの設定を最小限にする必要があります。Citrixのエンタープライズ製品は、このような重要なセキュリティの問題を考慮して開発されています。 GoToMyPC Corporateでは、安全なオンラインの管理センターを使用して、社員のリモートアクセス権を管理したり、不正なアクセスや機能を遮断したりできます。セキュアな管理インターフェイス管理者は、さまざまなWebブラウザーを使用してこの管理センターにアクセスできます。GoToMyPC Corporateの組織アカウントが作成されると、管理者に各アクセス権の設定方法が提供されます。特定の管理権限を中堅管理者に委任することもできるため、大規模な環境にもGoToMyPC Corporateを簡単に展開できます。Webサイトへのすべての接続は、128ビット以上の対称暗号化および1024ビットのキー合意による SSL認証により保護されます。必要な暗号セットをサポートしていないWebブラウザーを使用するユーザーには、ブラウザーのアップグレード方法を説明したページが表示されます。GoToMyPCサーバーはX.509デジタル証明書により認証され、管理者はユーザー名とパスワードにより認証されます。新規ユーザーの招待ユーザーアカウントやそのグループを新規作成できるのは管理者のみです。管理者は、管理センターにログオンして、GoToMyPC Corporateに招待するユーザーのメールアドレスのリストを入力します。招待された各ユーザーには、アクティブ化方法の説明と、1度だけの使用が許可されるアクティブ化用URLを含むカスタマイズ可能なメールメッセージが送信されます。新規ユーザーは、このURLにアクセスして個人パスワードを定義し、ホストコンピューターを自分のアカウントに追加します。管理者は、各ユーザーが追加できるホストコンピューターの数を制限したり、ホストコンピューターとクライアントビューアーシステムの両方の明示的管理承認を要求したりできます。さらに、ネットワーク内のホストコンピューターを特定のGoToMyPC Corporateアカウントに限定することで、許可されていないGoToMyPCアクセスを防ぐことができます。これらのアプローチにより、GoToMyPC Corporateの大規模展開が効率化される一方で、リモートアクセスの許可やエンドユーザーのプライバシーおよびアカウンタビリティをエンタープライズレベルで管理できます。ユーザーアカウントおよび接続の一時停止と取り消し管理センターでは、個人やグループのアクティブ化状態もチェックできます。特定のユーザーアカウントやグループアカウントを一時的に使用停止にしたり、完全に抹消したりできます。停止または抹消されたアカウントのユーザーにはメールによる通知が送信され、以降そのアカウントからのログオンは拒否されます。さらに、GoToMyPC Corporateの管理者はユーザーの接続状況をリアルタイムに確認でき、必要なときは直ちに接続を終了することができます。ユーザーアカウントの管理 GoToMyPC Corporateの管理者は、セキュリティやプライバシーに関する組織のポリシーに準拠する形でユーザーアカウントを構成することができます。たとえば、特定 gotomypc.jp ホワイトペーパー 9 GoToMyPCセキュリティのユーザーまたはグループに対して、ファイル転送、ゲストの招待、クリップボードの共有、リモート印刷などの機能の使用を禁止できます。また、パスワードの更新頻度や再使用に関するポリシーを適用したり、タイムアウト期間を設定したり、認証に失敗したアカウントやコンピューターをロックしたり、ワンタイムパスワードの使用を必須にしたりできます。これらの設定を詳細に管理することで、組織のさまざまなセキュリティポリシーに準拠できます。また、マルチレベルでグループをカスタマイズできるので、大規模な展開環境でもポリシーを全社的に適用したり迅速に更新したりできます。 RSA SecurIDの統合 GoToMyPC Corporateは、組織の既存のRSA SecurIDインフラストラクチャに統合させることもできます。これにより強力な2要素認証が提供され、ユーザーが自分で所有するSecurIDトークンを使用しないとセッションを開始できなくなります。 SecurID認証を許可するには、特定のRSAサーバーを使ってホストコンピューターが構成されている必要があります。さらに、ユーザーはコンピューターのアクセスコードと、自分のSecurIDトークンに表示されている値を入力することが必要になります。表示される値は絶えず変化するので、SecurIDトークンを実際に持っていないユーザーがアクセスすることは不可能です。2要素認証は、社内ネットワークへのリモートアクセスを堅牢にするために広く採用されています。GoToMyPC Corporateは、組織の既存のSecurIDインフラストラクチャとシームレスに統合でき、複雑な設定や Citrixサーバーへの信用委譲は必要ありません。社内のアクセスの監視 GoToMyPC Corporateの管理センターでは、すべてのユーザー接続の追跡、詳細レポートの作成、セキュリティ監査や会計上の目的での接続ログの保管などを社内で行うことができます。使用状況の監視 GoToMyPC Corporateの管理者は、特定の日における接続状況のレポートを表示することができます。また、必要なときはユーザーの接続を直ちに終了することもできます。各接続ログには、ユーザーの姓名、ホストコンピューターの名前、接続を開始したクライアントのIPアドレス、接続開始および終了時間、接続の持続時間、およびセッションの種類（標準またはゲスト招待）などの情報が記録されます。管理センターでは、特定の日付および日付範囲におけるユーザー、接続時刻、平均接続継続時間などで構成されるレポートを生成したりアーカイブしたりできます。また、許可されたユーザー、各ユーザー/グループに対して許可された機能、アクセス時間、最終ログオン時刻、あるいは失敗したログオンの頻度などのデータを評価するための追加レポートを生成することもできます。これらの標準レポートを分析することで、極端に長時間の接続や、予期しないクライアントIPアドレスなどの異常なアクセスパターンを検知できます。これはまた、だれがいつどのコンピューターにアクセスしたのかをチェックする監査証跡としても使用できます。ユーザーは、GoToMyPCのWebサイトにログオンして自分の接続履歴を確認することができます。さらに、接続履歴を各コンピューターのWindowsイベントログに記録することで、セッション情報を既存のレポートインフラストラクチャに統合できます。詳細な接続ログ GoToMyPCのブローカーは、各接続についての追加情報を記録します。これには、前回のユーザーアクセス時間、ブラウザー（ユーザーエージェント）の種類、ビューア gotomypc.jp ホワイトペーパー 10 GoToMyPCセキュリティホワイトペーパー 11 ーのダウンロード状態、通信サーバーのID、接続終了原因（サーバー/クライアント/ ブローカー/タイムアウト）、終了時のエラーコード、コンピューターのビルド番号などが含まれます。これらの情報は問題解決のために使用され、Citrixのカスタマーサポート担当者により必要に応じてアクセスされます。まとめ Citrixのアプローチは明快です。安全なホスト型サービスおよび運用手順を提供して、お客様のプライバシーを保護します。また、ユーザー情報の漏えいを防ぐため、マルチレベルの認証手段および最先端の暗号化によってリモートアクセス接続を保護します。その結果、GoToMyPCは、高速、高信頼性、使いやすい、堅牢で安全なリモートアクセスを提供します。 GoToMyPC Corporateのアカウントはこの基礎の上に構築され、これにエンタープライズクラスのセキュリティ、管理、監視を実現するツールが追加されています。GoToMyPC Corporateは、企業の既存のネットワークやセキュリティインフラストラクチャとシームレスに統合でき、アカウントニーズの増大に応じて規模を拡張できます。これにより、総導入コストを抑えながら堅牢で安全なリモートアクセスを実現できます。お問い合わせ GoToMyPCのセキュリティの詳細については、Webサイト（www.gotomypc.jp）をご覧ください。北米 Citrix Online, LLC 7414 Hollister Avenue Goleta, CA 93117 U.S.A. T +1 805 690 6400 [email protected] ヨーロッパ、中東、アフリカ Citrix Online, UK Ltd Chalfont Park House Chalfont Park, Gerrards Cross Bucks SL9 0DZ United Kingdom T +44 (0) 800 011 2120 [email protected] アジア太平洋 Citrix Online, AUS Pty Ltd Level 3, 1 Julius Avenue Riverside Corporate Park North Ryde NSW 2113 Australia T +61 2 8870 0870 [email protected] Citrixについて Citrixは、クラウド時代におけるビジネスおよびITのしくみやコラボレーションの形を変えるソリューションを提供しています。GoToクラウドサービスの製品ポートフォリオにより、場所を問わずにいつ誰とでも作業できる、使いやすいクラウドベースのコラボレーション、リモートアクセス、およびITサポートソリューションが提供されます。詳しくは、www.citrix.co.jpおよびwww. citrixonline.comをご覧ください。 © 2013 Citrix Online, LLC.All rights reserved.Citrix、GoToAssist、GoToMeeting、GoToMyPC、GoToTraining、GoToWebinar、 Podio、およびShareFileは、Citrixまたはその子会社の商標であり、米国特許商標庁およびそのほかの国において登録されている可能性があります。その他のすべての商標は、該当する各社の財産です。 Mac、iPad、およびiPhoneは、米国および他の国々で登録されたApple Inc.の商標です。Androidは、Google Inc.の商標です。 3.25.2013/B-88279/PDF gotomypc.jp