NTT 東日本 - IPA 「シン・テレワークシステム」 - 組織による本システムの利用規制申請

「シン・テレワークシステム」のエンタープライズ環境や高セキュリティ環境におけるセキュリティ機能について

シン・テレワークシステム開発チームは、企業環境における社内 LAN 管理者の皆様による管理上のご要望を最優先して考えています。この度、企業環境において、「シン・テレワークシステム」を社員が自ら導入した場合に、その動作を適切に規制したり、動作状況を一元把握したりしたいというご要望が数多く寄せられました。そこで、2020 年 5 月 14 日に公開した「Beta 5」から、新たに「エンタープライズ環境用ポリシー規制サーバー」の仕組みを実装しました。このページにおける「組織による本システムの利用規制申請」を検討される前に、まずは、「エンタープライズ環境用ポリシー規制サーバー」の利用をご検討ください。
エンタープライズ環境や高セキュリティ環境におけるセキュリティを高める仕組みとして、他にも「シン・テレワークシステム」では新たに二要素認証・ワンタイムパスワード (OTP) 機能、マイナンバーカードを用いたユーザー認証機能およびクライアント検疫機能・MAC アドレス認証機能を実装しました。これらも簡単に組み合わせて利用できますので、是非お使いください。
これらの仕組みを検討した後でも、なお組織内で「シン・テレワークシステム」の利用を完全に遮断したいと考えられる場合のみ、本 Web ページにおける「利用規制申請」を行なってください。

社内 LAN における「シン・テレワークシステム」の利用禁止規制の仕組み (2020/4/24 ～提供開始)

一部の組織様におかれましては、以前よりテレワーク･システムを導入済み等の理由で、新たなシステムである「シン・テレワークシステム」を、社員が社内 LAN の端末にインストールすることを規制されたい場合もあります。
2020/4/21 (火) に「シン・テレワークシステム」を公開いたしましたところ、「シン・テレワークシステムは中継ゲートウェイの IP アドレスが大量にあり動的に変更されることから、従来のファイアウォールのアクセスリスト等で規制をすることができない」、「そこで、社内システムからの利用を、シン・テレワークシステムの中継ゲートウェイ側で一括して規制する機能を是非追加してほしい」という旨のご要望をいただきました。
そこで、社内 LAN における「シン・テレワークシステム」の利用禁止規制の仕組みを開発し、2020/4/24 (金) より運用を開始しました。
社内システム内のすべての端末から、社員が「シン・テレワークシステム」を利用することを規制することを希望される会社様におかれましては、以下の手続きをご利用ください。
固定 IP アドレスを指定していただいて規制依頼をいただければ、IPA サイバー技術研究室において、中継ゲートウェイに登録をいたします。
登録が完了すると、「当該 IP アドレスをサーバーとする通信」、「当該 IP アドレスをクライアントとする通信」の両方が利用できなくなり、以下のようなエラーメッセージが表示されます。

【画面イメージ】

上図のような規制メッセージが、「サーバー」、「クライアント」の双方に表示されます。
※ サーバーについては、自分自身が規制対象の IP アドレスからインターネットにアクセスしている場合に表示されます。
※ クライアントについては、自分自身の IP アドレス、または通信先のサーバーの IP アドレスのいずれかが規制対象の IP アドレスである場合に表示されます。

要件

社内の FW やプロキシからのインターネットへの出口が、固定 IP アドレスであること。
(可変 IP アドレスを規制することはできません。他の組織・他のユーザーがその IP アドレスを利用することとなったときに、意図に沿わない利用規制が発生することがあるためです。)
1. の固定 IP アドレスに係る利用権に関して、Whois 上で、組織名称が確認でき (IP 1 個単位で固定の場合は Whois に記載がない場合があるので、その場合は ISP との契約内容がわかる書類で代用するものとする)、当該 IP アドレスからの利用規制を行なっても無関係な第三者に影響が生じないことが確認できること。
2. に記載されている組織の代表者の名前で、利用規制の登録の依頼を IPA サイバー技術研究室宛に書面 (スキャンしたものの電子メールへの添付可) で送付いただけること。

※1 規制の登録は、３営業日以内に実施するよう努めますが、保証はいたしません。
※2 別のプロキシや VPN ツールの経由等と組み合わせた、特別に高度なユーザーの通信は、遮断できない場合があります。
※3 本規制機能は、試験的なものです。不具合があった場合においても (規制している筈の状態のとき、不具合によって規制がされない場合等)、提供元では一切責任を負いません。
※4 規制依頼は原則として電子メールで受け付けるものといたします。したがって、一応形式が一致していれば受け付けをするものとし、厳密な認証 (代表者印鑑登録の印影の確認など) は行ないません。
※5 ある IP アドレスについて、規制と規制解除とのリクエストが届いた場合は、後に届いたほうを優先します。その際、以前とは異なる担当者様からのリクエストであっても、原則として、以前の担当者様に連絡は行ないません。
※6 Whois 上の情報が変更され、異なる組織が利用権者となっている場合は、連絡無く規制を解除することがあります。
※7 技術上またはその他の理由により、本規制の仕組みが提供できなくなったときは、規制が解除されることがあります。その場合、事前の連絡をしない場合があります。
※8 本仕組みは、義務的に提供されるものではなく、任意に提供されるものです。なお、本仕組みの提供とその有効性の確認も、本テレワークシステムの実証実験における実験の一部です。

フォーム (PDF, Word)

送付先

記入済みのフォームのスキャンデータ (押印またはデジタル署名されたもの) は、以下のメールアドレスまでお送りください。
Subject は「アクセス規制希望」としてください。

※ SPAM 回避のため、メールアドレスは画像となっております。お手数ですが、直接入力をお願いいたします。

規制の登録は、できる限り、３営業日以内に実施いたしますが、遅くなる場合もあります。
結果をご返信いたします。１週間以上経過しても返信がない場合は、再送をお願いいたします。

例外の登録

上記の規制の仕組みでアクセス規制がされる場合でも、ソフトウェアの評価目的等、正当な理由がある場合は、特定の「サーバー」を指定して規制の対象外として登録することができます。
規制の対象外として登録されたい場合は、以下の情報を記載いただいたメールを、上記フォームですでに登録いただいている連絡先の部署・メールアドレスを送信元として、上記メールアドレスまで送信してください。
- 組織名
- 規制の対象外として例外設定したいサーバーの「固有 ID」 (サーバーの設定ツールの画面上で確認できます)
例外設定の登録についても、3 営業日程度で実施いたします。

行政情報システム (市役所・県庁等) からの利用について

行政情報システム (市役所・県庁等) からの利用につきまして、逆に、「普段すべてのインターネット通信を規制しているが、シン・テレワークシステムに必要な通信のみ例外的に許容したい」というお問い合わせをいただいております。

行政情報システム (市役所・県庁等) からの利用につきましては、「行政情報システム適応モード」をご利用ください。通信する可能性がある IP アドレスのホワイトリストも公開されております。