NTT 東日本 - IPA 「シン・テレワークシステム」 - エンタープライズ環境用ポリシー規制サーバー機能

トップ | 中間報告 | 自治体テレワーク for LGWAN | HTML5 Web 版クライアント (Mac, Chromebook 対応) | バージョン履歴 | ダウンロード | ユーザー数グラフ
入門 - 今すぐ使ってみよう | クライアント検疫機能・MAC アドレス認証機能 | 二要素認証・ワンタイムパスワード (OTP) 機能 | マイナンバーカードを用いたユーザー認証機能 | 仮想マルチディスプレイ機能
行政情報システムでの利用 | 組織 LAN におけるポリシー規制サーバー設置 | 企業システムにおける VM・HDD クローン対応 | Wake on LAN リモート電源 ON 機能 | 画面撮影・キャプチャ防止のための電子透かし機能
FAQ | 掲示板 (ユーザーサポートフォーラム) | 相互リンク集 | お問い合わせ | 使用条件 | 組織 LAN における利用規制申請 | NTT 東日本の 「シン・テレワークシステム」 サイト


シン・テレワークシステム開発チームは、企業環境における社内 LAN 管理者の皆様による管理上のご要望を最優先して考えています。この度、企業環境において、「シン・テレワークシステム」を社員が自ら導入した場合に、その動作を適切に規制したり、動作状況を一元把握したりしたいというご要望が数多く寄せられました。そこで、2020 年 5 月 14 日に公開した「Beta 5」から、新たに「エンタープライズ環境用ポリシー規制サーバー」の仕組みを実装しました。

社内 LAN の管理者は、任意の Web サーバー (Apache、IIS、NGINX 等) 上にポリシーを記述したテキストファイルを設置するだけで、その社内 LAN のすべての「シン・テレワークシステム」のサーバーコンピュータは、ポリシーに基づいた規制を受けるようになります。ポリシー規制サーバーは単純な HTTPS サーバーを利用することができ、特殊なソフトウェアのインストールは不要です。

規制は細かく設定することができます。たとえば、OTPMAC アドレス認証検疫の実施 などの高度な多層防御セキュリティ機能の強制、「ファイル共有機能」の利用の強制無効化、「役員からのメッセージ」等の強制表示等が可能です。端末ごとに異なるポリシーを設定することも可能です。

 

「エンタープライズ環境用ポリシー規制サーバー」が企業内 LAN に設置されている場合の挙動

「エンタープライズ環境用ポリシー規制サーバー」が企業内 LAN に設置されている場合は、企業内 LAN のすべての「シン・テレワークシステム サーバー」の設定画面には以下のような規制内容のメッセージが表示されます。

ポリシーサーバーが企業内 LAN に設置されている場合は、それぞれの企業内 LAN のユーザーは、その意思にかかわらず、強制的にポリシーサーバーによる規制を受けることになります。

 

 

「エンタープライズ環境用ポリシー規制サーバー」の概要

 

「エンタープライズ環境用ポリシー規制サーバー」で規制することができる項目の詳細

 

社内 LAN への「エンタープライズ環境用ポリシー規制サーバー」の設置

企業 LAN の管理権限を有されている方は、「エンタープライズ環境用ポリシー規制サーバー」は、任意のサーバーコンピュータ上の任意の HTTPS Web サーバーを用いて、今すぐ、簡単に設置することができます。特別なソフトウェアのインストールは、必要ありません。社内のイントラネット Web サーバーやファイルサーバーなどを公開されたことがある経験をお持ちの方であれば、わずか数十分で準備、設置、試験を行なうことができます。

Web サーバーは、以下を満たしている必要があります。

Web サーバーは、"/get-telework-policy/" という固定クエリパスに対するリクエストを処理する必要があります。「エンタープライズ環境用ポリシー規制サーバー」の動作としては、このクエリパスに対する処理のみで十分です。したがって、新たな Web サーバーを設置する代わりに、既存の社内の Web サーバーなどを、「エンタープライズ環境用ポリシー規制サーバー」として稼働させることもできます。

 

社内 LAN に設置した「エンタープライズ環境用ポリシー規制サーバー」の検出プロセス

社内 LAN に設置された「エンタープライズ環境用ポリシー規制サーバー」を、その社内 LAN の「シン・テレワークシステム サーバー」に、どのように検出させれば良いのでしょうか。単純にブロードキャスト等で検出を試みる方法の場合は、以下のセキュリティ上および機能上の問題があります。

そこで、「シン・テレワークシステム サーバー」の「エンタープライズ環境用ポリシー規制サーバー」では、ブロードキャストベースの検出は行なわず、より良い手法として、

を実装することとなりました。この仕組みは、ほぼすべての社内 LAN で適用でき、小規模な LAN でも、大規模な LAN であっても、容易に利用可能です。

それぞれの PC 端末で、「シン・テレワークシステム サーバー」 (Beta 5 以降) が起動すると、以下の動作により、自己が所属している社内 LAN に「エンタープライズ環境用ポリシー規制サーバー」が設置されているかどうかの検出を開始します。※ Beta 4 またはそれ以前のバージョンの「シン・テレワークシステム サーバー」は、「エンタープライズ環境用ポリシー規制サーバー」に対応していません。

  1. PC 端末の所属している企業 LAN の「DNS サフィックス」の値に、「thin-telework-policy-server.」を前方付加した FQDN (DNS ホスト名) の A レコードの解決を試みます。例えば、DNS サフィックスが corp.example.org (例) の場合、「thin-telework-policy-server.corp.example.org」 (例) という A レコードが DNS サーバーに登録されているかどうかを検出します。DNS サーバーに登録されている場合は、https://thin-telework-policy-server.corp.example.org/get-telework-policy/ (例) というアドレス宛に HTTPS 通信を試みます。
    PC 端末の所属している「DNS サフィックス」は、
    (1) Windows のグローバルなネットワーク設定における所属 DNS ドメインサフィックス
    (2) DHCP を使用している場合は、DHCP サーバーによって指定される DNS ドメインサフィックス
    (3) ネットワーク設定で LAN カードに対して DNS サフィックスを設定している場合は、その DNS ドメインサフィックス
    の 3 種類がすべて探索されます。 (2), (3) で複数の設定がある場合は、すべてが探索されます。
    なお、A レコードの値が「プライベート IPv4 アドレス」以外の場合 (すなわち、グローバル IPv4 アドレスやマルチキャスト IPv4 アドレス) の場合は、無視されます。
  2. PC 端末の所属している企業 LAN を用いて、直接「10.255.255.127」という宛先 IPv4 アドレス (固定) で通信を試みます。
    すなわち、https://10.255.255.127/get-telework-policy/ (例) というアドレス宛に HTTPS 通信を試みます。

上記の 1. および 2. は、並行して行なわれます。1. および 2. は、300 秒 (5 分) ごとに 1 回ずつ試行されます。その結果、検出されたいずれかのサーバーで /get-telework-policy/ クエリパスでポリシーファイルをダウンロードした場合は、そのポリシー内容がロードされ、直ちに適用されます。

 

「/get-telework-policy/」 というクエリパスで応答すべきポリシー定義ファイルの内容

「/get-telework-policy/」 というクエリパスで応答すべきポリシー定義ファイルの内容は、極めて簡単です。

以下にサンプルのポリシーテキストファイルを用意してあります。このファイルをダウンロードしていただき、フィールドを書換えてご利用ください。

sample_policy.txt ファイルのダウンロード

 

「シン・テレワークシステム サーバー」をインストールした PC 端末ごと (社員ごと) に異なるポリシー内容を配信することも可能

ポリシーサーバーの役割を担っている HTTP サーバーから見ると、/get-telework-policy/ クエリパスでポリシーファイルをダウンロードするリクエストが届いた際に、HTTP QueryString 文字列には、「シン・テレワークシステム サーバー」のビルド番号が「server_build」値として、また、コンピュータのホスト名 (Windows コンピュータ名) が「server_hostname」値として追記されます。また、接続元 IP アドレスは、HTTPS 通信の接続元 IP アドレスを取得すれば、容易に認識可能です。

この仕組みを活用して、任意の CGI スクリプト、PHP スクリプト、Java サーブレット、Node.JS プログラムまたは ASP.NET Web アプリケーション等により、ポリシーサーバー側で、従業員ごとに異なる内容のポリシーファイルを応答することが可能です。

 

企業内 LAN からの社員による完全な使用禁止規制

社内 LAN 上の「シン・テレワークシステム サーバー」の稼働を一切禁止したい場合は、中継システム側で規制することが可能です。

2020 年 4 月 24 日より、組織による本システムの利用規制 の仕組みを提供しておりますので、こちらをご利用ください。

 

その他のエンタープライズ環境や高セキュリティ環境におけるセキュリティ機能

 

  


トップ | 中間報告 | 自治体テレワーク for LGWAN | HTML5 Web 版クライアント (Mac, Chromebook 対応) | バージョン履歴 | ダウンロード | ユーザー数グラフ
入門 - 今すぐ使ってみよう | クライアント検疫機能・MAC アドレス認証機能 | 二要素認証・ワンタイムパスワード (OTP) 機能 | マイナンバーカードを用いたユーザー認証機能 | 仮想マルチディスプレイ機能
行政情報システムでの利用 | 組織 LAN におけるポリシー規制サーバー設置 | 企業システムにおける VM・HDD クローン対応 | Wake on LAN リモート電源 ON 機能 | 画面撮影・キャプチャ防止のための電子透かし機能
FAQ | 掲示板 (ユーザーサポートフォーラム) | 相互リンク集 | お問い合わせ | 使用条件 | 組織 LAN における利用規制申請 | NTT 東日本の 「シン・テレワークシステム」 サイト


© 2020-2021 独立行政法人情報処理推進機構 (IPA) 産業サイバーセキュリティセンター サイバー技術研究室
© 2020-2021 東日本電信電話株式会社 (NTT 東日本) 特殊局