こちらの記事は全てのTeamViewer (Classic)ユーザーに該当する内容です。
TL; DR
TeamViewerのすべてのバージョンは完全な暗号化を使用します。暗号化は、4096ビットのRSA秘密/公開鍵交換と256ビットのAESセッションエンコーディングに基づいています。これはhttps / SSLと同じセキュリティレベルを使用し、今日の標準では完全に安全であると見なされています。キー交換はまた、データ転送がクライアントからクライアントへ完全にエンコードされ、その間のルーターまたはサーバー(ルーターを含む)がデータストリームを読み取ったり分析したりできないことを保証します。セキュリティとプライバシーが常に最優先事項として開発が行われております。
詳細はセキュリティハンドブックをご覧くださいませ。
対象読者
この記事は、プロのネットワーク管理者を対象としています。このドキュメントの情報は、かなり技術的な性質のものです。この情報に基づいて、ITプロフェッショナルはTeamViewerでセキュリティ標準の写真を受け取り、ソフトウェアを展開する前に懸念事項を解決します。セキュリティ上の懸念を軽減するために、この記事をお客様に配布してください。ターゲットグループの一部であると見なさない場合でも、「会社/ソフトウェア」セクションのソフトファクトは、セキュリティを真剣に受け止めている方法を明確に把握するのに役立ちます。
プロのネットワーク管理者でない場合は、セキュリティへの取り組みとアプローチの概要について、TeamViewerとソフトウェアを参照してください。
TeamViewerとソフトウェア
TeamViewerに関して
TeamViewer GmbHは2005年に設立され、ドイツ南部のゲッピンゲン市(シュトゥットガルト近郊)に拠点を置き、オーストラリアと米国に子会社を置いています。私たちは、Webベースのコラボレーションのための安全なシステムを独占的に開発および販売しています。短期間のうちに、フリーミアムライセンスは急速な成長をもたらし、世界200か国以上で14億を超えるデバイスで2億人を超えるTeamViewer ソフトウェアのユーザーがいます。ソフトウェアは30以上の言語で利用可能です。
セキュリティに関する考え
TeamViewerは、常に3,000万人以上のユーザーによって使用されています。
これらのユーザーは、インターネットを介して自発的なサポートを提供し、無人のコンピューターにアクセスし(サーバーのリモートサポートなど)、オンライン会議をホストしています。
設定によっては、TeamViewerを使用して、まるでコンピュータの真正面に座っているかのように、別のコンピュータをリモートで制御できます。
リモートコンピューターにログオンしているユーザーがWindows、Mac、またはLinuxの管理者である場合、このユーザーにはそのコンピューターの管理者権限も付与されます。安全でない可能性のあるインターネットを介したこのような強力な機能は、綿密な調査によって攻撃から保護する必要があることは明らかです。
実際、セキュリティのトピックは私たちの開発目標のすべてを支配し、私たちが行うすべてのことを生き、呼吸するものです。私たちはあなたのコンピュータへのアクセスが安全であることを保証し、私たち自身の利益を保護したいと思っています。世界中の何百万ものユーザーが安全なソリューションのみを信頼し、安全なソリューションのみがビジネスとしての長期的な成功を保証します。
品質管理
私たちの理解では、セキュリティ管理は確立された品質管理システムなしでは考えられません。
TeamViewer GmbHは、ISO9001に準拠した認定品質管理を実践している市場で数少ないプロバイダーの1つです。当社の品質管理は国際的に認められた基準に準拠しています。当社のQMシステムは、毎年外部監査によってレビューされています。
外部専門家の評価
当社のソフトウェアであるTeamViewerは、連邦IT専門家および査読者協会(BundesverbandderIT-SachverständigenundGutachtere.V。、BISG e.V.)から5つ星の品質シール(最大値)を授与されています。 BISGe.Vの独立した査読者資格のある生産者の製品の品質、セキュリティ、およびサービス特性を検査します。
参考文献
金融サービス、ヘルスケア、政府、および機密性の高いデータを使用するその他のセクターなど、業界全体の主要なグローバル企業は、TeamViewerを活用して、安全なリモートアクセスとサポート、顧客エンゲージメント、IoT、および産業用拡張現実ソリューションを提供します。同僚が組織でTeamViewerをどのように使用しているかを確認するには、Webサイトで入手できるカスタマーサクセスストーリーをご覧くださいませ。
TeamViewerセッション
セッションの作成と接続の種類
セッションを確立するときに、TeamViewerは最適な接続タイプを決定します。マスターサーバーを介したハンドシェイク後、すべてのケースの70%でUDPまたはTCPを介した直接接続が確立されます(標準のゲートウェイ、NAT、ファイアウォールの背後でも)。
残りの接続は、TCPまたはhttpトンネリングを介して冗長性の高いルーターネットワークを介してルーティングされます。
TeamViewerを使用するために、ポートを開く必要はありません。
次の段落「セキュア接続」で説明するように、ルーティングサーバーのオペレーターである私たちでさえ、暗号化されたデータトラフィックを読み取ることはできません。
安全な接続
TeamViewerトラフィックは、RSA公開/秘密鍵交換とAES(256ビット)セッション暗号化を使用して保護されます。このテクノロジーはhttps / TLSと同等の形式で使用されており、今日の標準では完全に安全であると見なされています。
秘密鍵がクライアントコンピュータを離れることはないため、この手順により、TeamViewerルーティングサーバーを含む相互接続されたコンピュータがデータストリームを解読できないことが保証されます。各TeamViewerクライアントにはマスタークラスタの証明書があるため、TeamViewerシステムの証明書を確認できます。
これらの証明書は、TeamViewerネットワークの参加者間のハンドシェイクで使用されます。このハンドシェイクの簡単な概要を次の図に示します。
パスワード認証
TeamViewerのパスワード認証中、Secure Remote Password(SRP)プロトコルバージョン6が使用されるため、パスワードに相当するデータは共有されません。
パスワードベリファイアのみがローカルコンピュータに保存されます。詳細については、「TeamViewerアカウント」セクションを確認してください。
TeamViewer IDの検証
TeamViewer IDは、さまざまなハードウェアおよびソフトウェアの特性に基づいており、TeamViewer によって自動的に生成されます。 TeamViewerサーバーはこれらのIDの有効性をチェックします。
ブルートフォース保護
TeamViewerのセキュリティについて問い合わせる見込み客は、暗号化について定期的に質問します。当然のことながら、サードパーティが接続を監視したり、TeamViewerアクセスデータが盗聴されたりするリスクが最も懸念されています。ただし、現実には、かなり原始的な攻撃が最も危険な攻撃であることがよくあります。
コンピュータセキュリティのコンテキストでは、ブルートフォース攻撃は、リソースを保護しているパスワードを推測するための試行錯誤の方法です。標準的なコンピューターの計算能力の向上に伴い、長いパスワードを推測するために必要な時間はますます短縮されています。
ブルートフォース攻撃に対する防御として、TeamViewerは接続試行間の遅延を指数関数的に増加させます。したがって、24回の試行に17時間もかかります。待ち時間は、正しいパスワードを正常に入力した後にのみリセットされます。
TeamViewerには、特定の1台のコンピュータからの攻撃から顧客を保護するだけでなく、特定のターゲットコンピュータにアクセスしようとする多数のコンピュータを制御する攻撃者からも保護するメカニズムがあります。ボットネットを使用します。
コード署名
追加のセキュリティ機能として、すべてのソフトウェアはDigiCertコード署名を介して署名されています。このようにして、ソフトウェアの発行者は常に容易に識別できます。その後、ソフトウェアを変更した場合、デジタル署名は自動的に無効になります。
データセンターとバックボーン
TeamViewerサービスの可能な限り最高のセキュリティと可用性を提供するために、すべてのTeamViewerサーバーはISO 27001に準拠したデータセンターに配置され、マルチ冗長キャリア接続と冗長電源を活用します。さらに、最先端のハードウェアのみが使用されています。さらに、機密データを保存するすべてのサーバーは、ドイツまたはオーストリア内にあります。
ISO27001認定を受けているということは、個人アクセス制御、ビデオカメラ監視、モーションディテクター、24時間年中無休の監視、およびオンサイトのセキュリティ担当者が、データセンターへのアクセスが許可された人にのみ許可され、ハードウェアとデータの可能な限り最高のセキュリティを保証することを意味します。データセンターへの単一のエントリポイントには、詳細な識別チェックもあります。
TeamViewerアカウント
TeamViewerアカウントは、専用のTeamViewerサーバーでホストされます。アクセス制御の詳細については、上記のデータセンターとバックボーンを参照してください。承認には、Secure Remote Password Protocol(SRP)バージョン6が使用されます。このプロトコルは、パスワードストレージの従来の方法の利点を組み合わせたものです。攻撃者が特定のアカウントとして認証するために使用する可能性のある情報をサーバーに保存することはありません。さらに、認証中にパスワードがサーバーに送信されることはありません。代わりに、1回の認証実行にのみ有効で、後で再利用できない証明が使用されます。
アカウントに保存されているデータ(例:パスワード、キー、チャットログなどは、RSAとAESの組み合わせを使用して暗号化されます。暗号化のルートキーは、ユーザーのパスワードから取得されます。これにより、パスワードを持たない攻撃者は、アカウントに保存されているデータにアクセスできなくなります。
Management Console
TeamViewer (Classic) Management Consoleは、ユーザー管理、接続レポート、およびコンピュータと連絡先の管理のためのWebベースのプラットフォームです。
ISO-27001認定のHIPAA準拠のデータセンターでホストされています。すべてのデータ転送は、安全なインターネットネットワーク接続の標準であるTSL(Transport SecurityLayer)暗号化を使用した安全なチャネルを介して行われます。機密データは、TeamViewerアカウントで説明したものと同じ暗号化および認証メカニズムを使用して保存されます。
ポリシーベースの設定
TeamViewer (Classic) Management Console内から、ユーザーは、自分に特に属するデバイスへのTeamViewerソフトウェアインストールの設定ポリシーを定義、配布、および適用できます。
設定ポリシーは、それを生成するアカウントによってデジタル署名されます。これにより、デバイスにポリシーを割り当てることが許可されているアカウントは、デバイスが属するアカウントのみになります。
TeamViewerのアプリケーションセキュリティ
ブロックリストと許可リスト
特にTeamViewer がコンピュータの無人メンテナンスに使用されている場合(つまり、コンピュータの前に誰もいない場合)、Allowlistを使用するとセキュリティを強化できます。このオプションを使用すると、マシンにアクセスできる人の数が制限されます。パスワードが盗まれた場合、攻撃者はデバイスにアクセスできません。
制限は、特定のTeamViewer IDまたはTeamViewerアカウントのみがコンピュータにリモートでアクセスできるようにするために行うことができます。許可リストは、マネージメントコンソールのセクションで説明されているポリシーを使用して管理できます。
📌注意:ブロックリストのパートナーとの発信TeamViewerセッションを引き続き設定できます。
チャット
チャットメッセージとその履歴はエンドツーエンドで暗号化され、TeamViewerアカウントの章で説明されているようにRSA / AESを使用してTeamViewerアカウントに保存されます。メッセージと履歴にアクセスできるのは、チャットルームまたは1:1チャットの参加者のみです。
ステルスモードなし
TeamViewerを完全にバックグラウンドで実行できるようにする機能はありません。
アプリケーションがバックグラウンドでWindowsサービスとして実行されている場合でも、TeamViewerはシステムトレイのアイコンによって常に表示されます。接続を確立した後、システムトレイの上に常に小さなコントロールパネルが表示されます。したがって、TeamViewerは、コンピュータや従業員を密かに監視するのには意図的に不適切です。これにより、ユーザーはTeamViewerセッション中に機密データが画面に表示されないようにすることができます。
信頼できるデバイス
信頼できるデバイスは、2要素認証に代わるものであり、TeamViewerアカウントのセキュリティを強化します。
2要素認証を設定しない場合、信頼できるデバイスが自動的に適用されます。アカウントのセキュリティを確保するための予防措置として、新しいデバイスまたはブラウザから初めてTeamViewerアカウントにサインインしてアクセスする場合は、手動で認証する必要があります。
認証プロセスの一環として、TeamViewerアカウントに関連付けられた電子メールアドレスに電子メールが送信されます。デバイス、ブラウザ、またはIPを信頼済みデバイスに追加しないと、ログインできません。これにより、ログインを承認するために電子メールの受信トレイにもアクセスする必要があるため、他者がログインしようとするのを防ぐことができます。
信頼できるデバイスと信頼できるデバイスの管理については、こちらをご覧ください:
パスワード保護
インストール不要の実行型ファイルであるTeamViewerクイックサポートは、いつでも変更できるランダムなパスワードを生成します。顧客がパスワードを接続をする側に伝えた場合に初めて、IDとパスワードを入力してコンピューターに接続できます。設定に応じて、TeamViewerの再起動後、セッション後、または手動で要求されたときに、顧客のコンピュータに新しいパスワードが生成されます。
また無人リモートサポート(サーバーなど)にTeamViewerを使用する場合は、以下の設定をお勧めします。(TeamViewer・TeamViewerホストを使用)
2要素認証と組み合わせることで、アカウントおよびTeamViewerを介してサポートしているすべての端末へのアクセスをカバーします。
すべてのパスワードは、「TeamViewerアカウント」セクションで説明されているのと同じSRPプロトコルを使用して検証されます。
着信および発信アクセス制御
TeamViewerの接続モードを個別に設定できます。たとえば、着信接続が不可能になるように、リモートサポートまたは会議用コンピューターを構成できます。
機能を実際に必要な機能に制限することは、潜在的な攻撃の潜在的な弱点を制限することを常に意味します。
2要素認証
TeamViewerは、HIPAAおよびPCIコンプライアンス要件で企業を支援します。2要素認証は、TeamViewerアカウントを不正アクセスから保護するためのセキュリティレイヤーを追加します。
ユーザー名とパスワードの両方に加えて、ユーザーは認証するためにコードを入力する必要があります。このコードは、時間ベースのワンタイムパスワード(TOTP)アルゴリズムを介して生成されます。したがって、コードは短期間のみ有効です。
TeamViewerは、2要素認証とホワイトリストによるアクセスの制限を通じて、HIPAAおよびPCI認証に必要なすべての基準を満たすのを支援します。
セキュリティテスト
TeamViewerインフラストラクチャとTeamViewerソフトウェアの両方が、定期的に侵入テストの対象になります。テストは、セキュリティテストを専門とする独立した会社によって実行されます。
