NTT 東日本 - IPA 「シン・テレワークシステム」 - クライアント検疫機能・MAC アドレス認証機能

トップ | 中間報告 | 自治体テレワーク for LGWAN | HTML5 Web 版クライアント (Mac, Chromebook 対応) | バージョン履歴 | ダウンロード | ユーザー数グラフ
入門 - 今すぐ使ってみよう | クライアント検疫機能・MAC アドレス認証機能 | 二要素認証・ワンタイムパスワード (OTP) 機能 | マイナンバーカードを用いたユーザー認証機能 | 仮想マルチディスプレイ機能
行政情報システムでの利用 | 組織 LAN におけるポリシー規制サーバー設置 | 企業システムにおける VM・HDD クローン対応 | Wake on LAN リモート電源 ON 機能 | 画面撮影・キャプチャ防止のための電子透かし機能
FAQ | 掲示板 (ユーザーサポートフォーラム) | 相互リンク集 | お問い合わせ | 使用条件 | 組織 LAN における利用規制申請 | NTT 東日本の 「シン・テレワークシステム」 サイト

「シン・テレワークシステム」の初版を 2020 年 4 月 21 日に公開後、相当に多くのご意見、ご要望が頻繁に寄せられました。いただいたご要望には個別に返信をできない場合もありましたが、開発チームでは、すべての内容を検討し、その大半について、ゴールデンウィークの期間を活用して開発し、ほぼすべてを Beta 5 (2020 年 5 月 14 日公開) で実現いたしました。

ここでは、それらの機能のうち、セキュリティを特に高める多層防御セキュリティ機能である、「クライアント検疫機能」および「MAC アドレス認証機能」について説明します。

• エンタープライズ環境や高セキュリティ環境におけるセキュリティを高める仕組みとして、他にも「シン・テレワークシステム」では新たに二要素認証・ワンタイムパスワード (OTP) 機能、マイナンバーカードを用いたユーザー認証機能およびエンタープライズ環境用ポリシー規制サーバー機能を実装しました。これらも簡単に組み合わせて利用できますので、是非お使いください。

クライアント検疫機能 (アンチウイルスおよび Windows Update 適用検査機能)

クライアント端末検疫機能とは、クライアントがサーバーに接続をする際に、クライアント側で「アンチウイルスソフトがインストールされておりパターンファイルがアップデートされているかどうか」、および「最近 Windows Update が適用されているかどうか」を自動的に毎回検査し、検査に不合格であった場合は、合格するまで接続を拒否する機能です。

すなわち、自宅の側のテレワークに使用する PC 端末に、マルウェアや脆弱性のリスクがないかどうかを検査し、そのリスクが高い場合は接続を拒否することができるようになりました。

下図のように、サーバー側の設定ツールで、クライアント検疫機能を有効するだけで、簡単に利用することができます。 

クライアント検疫機能のご注意

• この機能を有効にした「シン・テレワークシステム サーバー」には、Beta 5 またはそれ以降の「シン・テレワークシステム クライアント」しか接続できません。
• この機能を有効にすることにより、クライアントプログラム側でアンチウイルスソフトウェアの動作状態の確認および Windows Update の状態の確認が行なわれますが、その検査に誤判定がある場合は、正しくアンチウイルスソフトウェアがインストールされ、Windows Update も実施されているにもかかわらず、接続ができなくなってしまう場合があります。そのような場合は、この機能を OFF にしてください。
• アンチウイルスソフトウェアの動作およびパターンファイルが最新であるかどうかの検出は、Windows の「セキュリティセンター」に対してその都度問い合わせを行ない、「アンチウイルスソフトウェアが動作しており、かつ、パターンファイルが最新であるものが 1 つ以上存在する」かどうかの回答結果に基づいて判断するようになっています。
• Windows Update が実施されているかどうかの判定は、最近インストールされている Windows の Hotfix のうち、最新のものが、90 日以内であるかどうかで判定を行なっています。ただし、最新ビルドの Windows をインストールした直後は Windows Update で 1 つも Hotfix が存在しない場合もあります (最新版の Windows であるにもかかわらず、Windows Update が 1 つもインストールされていないので、そのままでは不合格となってしまいます)。その場合は、Windows のカーネルのタイムスタンプが 90 日以内であるかどうかで判定を行なっています。

企業内 LAN のシステム管理者は、すべてのユーザーにクライアント検疫機能の強制が可能

• 「エンタープライズ環境用ポリシー規制サーバー」でポリシーを配布することにより、社内 LAN 上の全ユーザーに、クライアント端末検疫機能の利用を強制することができます。

クライアント MAC アドレス認証機能

クライアント MAC アドレス認証機能により、社員は、予め自宅の PC などの MAC アドレスを、「シン・テレワークシステムサーバー」の側に登録しておくことを義務付けられます。MAC アドレスが異なっている場合は、リモート接続ができず、ユーザー認証のフェーズに進みません。

これにより、たとえコンピュータ ID・パスワード・OTP などが破られたとしても、クライアント端末の登録 MAC アドレスが一致しない限り、悪意がある第三者はリモート接続ができなくなります。

下図のように、サーバー側の設定ツールで、MAC アドレス認証機能を有効するだけで、簡単に利用することができます。  

MAC アドレス認証機能のご注意

• この機能を有効にした場合は、必ず、MAC アドレスを事前登録してください。登録を忘れると、いずれのクライアントも、自宅から職場のサーバーに接続できません。
• この機能を有効にした「シン・テレワークシステム サーバー」には、Beta 5 またはそれ以降の「シン・テレワークシステム クライアント」しか接続できません。
• クライアント PC 側に複数の MAC アドレスが存在する場合は、そのうち 1 つが、サーバー側に事前登録されている MAC アドレスと一致していれば、認証が成功します。
• LAN カードが 1 枚も存在しない PC (例: モデムのみ装着されており、PPP のダイヤルアップ回線で利用している) は、MAC アドレスが存在しませんので、MAC アドレス認証を利用することはできません。

企業内 LAN のシステム管理者は、すべてのユーザーにクライアント MAC アドレス認証機能の強制が可能

• 「エンタープライズ環境用ポリシー規制サーバー」でポリシーを配布することにより、社内 LAN 上の全ユーザーに、クライアント MAC アドレス認証機能の利用を強制することができます。

企業内 LAN のシステム管理者は、クライアント MAC アドレス認証のポリシーサーバーによるリスト一元管理機能

• Beta 6 では、組織全体に設置されている「エンタープライズ環境用ポリシー規制サーバー」がある場合は、ポリシー規制サーバー上でもクライアント MAC アドレスの一覧の設定が可能となりました。これにより、各社員からの MAC アドレス追加・削除の申請を、システム管理者に依頼して行なってもらうことができるようになり、MAC アドレス追加・削除が楽になります。

その他のエンタープライズ環境や高セキュリティ環境におけるセキュリティ機能

• エンタープライズ環境や高セキュリティ環境におけるセキュリティを高める仕組みとして、他にも「シン・テレワークシステム」では新たに二要素認証・ワンタイムパスワード (OTP) 機能、マイナンバーカードを用いたユーザー認証機能およびエンタープライズ環境用ポリシー規制サーバー機能を実装しました。これらも簡単に組み合わせて利用できますので、是非お使いください。

トップ | 中間報告 | 自治体テレワーク for LGWAN | HTML5 Web 版クライアント (Mac, Chromebook 対応) | バージョン履歴 | ダウンロード | ユーザー数グラフ
入門 - 今すぐ使ってみよう | クライアント検疫機能・MAC アドレス認証機能 | 二要素認証・ワンタイムパスワード (OTP) 機能 | マイナンバーカードを用いたユーザー認証機能 | 仮想マルチディスプレイ機能
行政情報システムでの利用 | 組織 LAN におけるポリシー規制サーバー設置 | 企業システムにおける VM・HDD クローン対応 | Wake on LAN リモート電源 ON 機能 | 画面撮影・キャプチャ防止のための電子透かし機能
FAQ | 掲示板 (ユーザーサポートフォーラム) | 相互リンク集 | お問い合わせ | 使用条件 | 組織 LAN における利用規制申請 | NTT 東日本の 「シン・テレワークシステム」 サイト

© 2020-2021 独立行政法人情報処理推進機構 (IPA) 産業サイバーセキュリティセンター サイバー技術研究室
© 2020-2021 東日本電信電話株式会社 (NTT 東日本) 特殊局