仕事でvmwareのVDI(仮想デスクトップ)を使っています。VDIとは、超簡単に説明すると、インターネット上にある自分専用のパソコンです。
インターネット上にあるので、仕事をする時は常にインターネットを経由してリモート接続しています、たとえ会社内にいても。
これの利点は、家からでもネカフェからでも、インターネットさえあればどこでも仕事が出来ることです。
そしてもう一つ、セキュリティリスクが比較的低いんですね。僕の今の環境の場合、VDIから外部インターネットへの接続はhttp,https,sshのみに絞られています。
ネットを使ってググったりサーバにアクセスするのは良いけど、FTPでファイルをアップロードしたりtorrentを動かしたりなどは許可されていません。
また、VDIにインストールされているソフトウェアも管理・監視されているため、怪しいソフトを入れるとバレます。
堅牢で安心・・・のように思えるのですが、SSHを許可してしまっていることが、最大の脆弱ポイントです。
SSHにはポートフォワードという機能があり、SSHを経由することで色んなプロトコルを通せるんですね。
で、何が言いたいかというと、「VDIからRDPで自宅のパソコンに直接繋げれちゃうけど、大丈夫なん？」ということです。

画像を見てください。
VDIと自宅の間にVPSがあります。これは、個人的に契約してる仮想サーバです(月々1000円くらいで借りれます)。このVPSと自宅の間をVPN接続してやります。
そして、VPSを踏み台に、自宅のPCにRDPすると・・・通っちゃうんですね。
VDIから直接、RDPで自宅へ繋ぐことが可能なんです。VDIが売りにしているセキュリティも魅力が激減してしまいます。
また、情報が漏洩した際に、漏洩元の調査が難しくなります。客観的に見れば、VPSにSSH接続しているだけですから、怪しい通信と見なされません。
VDI側で対策をしようにも、外部へのSSH接続を遮断するなど運用上無理な話ですから、このルートでの情報漏えいは想定しておく必要があります。
このような方法で情報が漏洩することもある、という事実を周知したい気持ちで、この記事を書きました。
具体的な対策については、各々会社やプロジェクトのポリシーがあるでしょうから、状況に応じ対策して頂ければと思います。
改めてSSHポートフォワードは危険だなと思いました。
以上です。