IT

IPAシン・テレワークシステムのセキュリティー設定がすばらしい

2020年6月16日

新型コロナウイルス感染症の影響により、テレワークの需要が増大されました。
私の勤め先ではVPNが導入されていたのですぐに対応ができましが、環境がない会社は大慌てで対応し、テレワーク助成金の申請は申込が殺到していました。

そんななか、独立行政法人 情報処理推進機構(IPA)が発表したソフトが 「シン・テレワークシステム」 で、独立行政法人情報処理推進機構 (IPA) と 東日本電信電話株式会社 (NTT 東日本) がシステムを共同構築、無償で提供開始しました。

期限
当初は 2020 年 10 月 31 日まで実証実験を継続する予定でしたが、国の「新型コロナウイルス感染症専門家会議」の提言を受け、当面の間、延長との事です。

NTT 東日本 - IPA 「シン・テレワークシステム」 の現在のユーザー数: 36,706 人
その中の1人が私です。

NTT 東日本 – IPA 「シン・テレワークシステム」 新型コロナウイルス対策用 テレワークシステム 緊急構築・無償開放・配布ページ

設定することは単純に以下の2つ、申込もユーザー登録も不要、なんて素晴らしい対応なのでしょう。
・会社の パソコン に「シン・テレワークシステム サーバー」 をインストール
・自宅の パソコンに「シン・テレワークシステム クライアント」をインストール
これだけ

一般ユーザー権限でインストールできるので、システム管理者権限不要。


簡単に会社のパソコンをシンクライアント化できる優れものです。
シンクライアント化とは、自宅のパソコンに会社のパソコンの画面が表示されて操作できるもの。

一昔前の映画で、ハッカー(クラッカー)が敵のコンピューターをのっとるシーンのようです。
でも、よく考えると簡単に接続できるということは、少し怖いような、でも安心あれ
セキュリティー機能も充実しています。

NTT 東日本 - IPA 「シン・テレワークシステム」 のホームページより抜粋

セキュリティー機能

  • SSL-VPN 暗号化トンネルでは TLS 1.3 が使用されています。
  • ユーザー認証は、単純なパスワード認証のほか、PKI (証明書) 認証や企業の RADIUS サーバーと連携した認証が可能です。
  • サーバー側ログの syslog 送付が可能です。
  • 接続元 IP アドレスを制限することができます。(IP アドレス単位またはサブネット単位で複数のルールを設定できます。)
  • 二重・三重のセキュリティチェックによる多層防御。システムモードで動作させている「シン・テレワークシステム サーバー」を用いてログインするには、「コンピュータ ID」、「シン・テレワークシステムのパスワード」、「Windows のログオンパスワード」の 3 つの秘密の文字列をすべて知っている必要があります。
  • 二要素認証・ワンタイムパスワード (OTP) 機能
  • マイナンバーカードを用いたユーザー認証機能
  • クライアント検疫機能・MAC アドレス認証機能
  • エンタープライズ環境用ポリシー規制サーバー機能
  • 行政情報システム適合モード (中継システムの IP 範囲の限定)

 


 

私が実施しているセキュリティー設定は以下の3つ
・高度なユーザー認証を使用する(会社はActiveDirectoryを利用)
・クライアント端末のセキュリティチェック機能
・ワンタイムパスワード(OPT)機能の設定

 


会社のパソコン「サーバー」側を設定

セキュリティ設定をクリック

利用しない時は、[接続を禁止する]をクリックしておきましょう。現在の状態は禁止です。

接続を許可して、再びセキュリティ設定場面にて「高度なユーザー認証を使用する」にチェックを入れ、[ユーザー管理]をクリック

[新規作成をクリック]

「ユーザー名」「本名」を入力後、認証方法を「NTドメイン認証」をクリック、認証サーバー上のユーザー名を指定するのチェックを入れ、認証サーバーにおけるユーザー名を入力

クライアント端末のセキュリティチェック機能にて、クライアント検疫の実施(アンチウイルスおよび Windows Update 適用検査)のチェックを入れ、クライアントMACアドレス認証のチェックを入れ
[接続許可 MAC アドレスの登録]をクリック

自宅パソコンのMACアドレスを確認、コマンドプロンプトで
ipconfig /all と入力しエンター

上記の画面で物理アドレス XX-XX-XX-XX-XX-XX を確認し入力

再びセキュリティ設定場面にて、[ワンタイムパスワード(OPT)機能の設定]をクリック

ワンタイムパスワード(OPT)機能を有効にするにチェックを入れ、OPT送付先のメールアドレスを入力
かかしはスマホでのみ受信しているメールアドレスを利用

これで会社側のパソコン設定は完了


自宅側のパソコンで接続

会社側のパソコンで設定した接続先コンピュータを入力し[接続]

次の画面が表示され、MACアドレスが違うとの警告画面がでました。
自宅のノートパソコンから接続したので、MACアドレスを登録したデスクトップパソコンで再接続

ワンタイムパスワード画面が表示されました
スマホのメールを確認し、届いている番号を入力
44回利用していますが、メール受信にてタイムラグはありません

接続完了、素晴らしいセキュリティー機能です。

-IT
-, ,

© 2021 かかしログ