NTT 東日本 - IPA 「シン・テレワークシステム」  - FAQ (よくある質問と回答)

トップ - 本システムについて・使い方・特徴・お知らせ (IPA) | 2020/05/14 成果の中間報告 | 2020/07/09 Beta 6 大規模新機能追加報告 | バージョンアップ履歴 | ダウンロード | ユーザー数・利用状況グラフ

入門 - 今すぐ使ってみよう | クライアント検疫機能・MAC アドレス認証機能 | 二要素認証・ワンタイムパスワード (OTP) 機能 | マイナンバーカードを用いたユーザー認証機能 | 仮想マルチディスプレイ機能

行政情報システムでの利用 | 組織 LAN におけるポリシー規制サーバー設置 | 企業システムにおける VM・HDD クローン対応 | Wake on LAN リモート電源 ON 機能 | 画面撮影・キャプチャ防止のための電子透かし機能

FAQ | 掲示板 (ユーザーサポートフォーラム) | 相互リンク集 | お問い合わせ | 使用条件 | 組織 LAN における利用規制申請 | NTT 東日本の 「シン・テレワークシステム」 サイト


Q. 「シン・テレワークシステム」の「シン」とは、どのような意味ですか?

A. 「シンクライアント」 (Thin Client) の 「シン」 (Thin、薄い) という意味です。また、「新しい」という意味も重ね合わせています。新型コロナウイルスに対抗するためには、人間の側も、新しい仕組みを作る必要があるという意味を込めています。

 

Q. 導入実績数 (ユーザー数) を教えてください。

A. 2020 年 9 月 27 日の時点で、約 78,000 ユーザーです。

 

Q. 導入実績数 (ユーザー数) や、本システムを利用してテレワークを実際に行なっているユーザー数の推移などの統計情報のグラフはありますか?

A. こちらで各種リアルタイムグラフが公開されています。

 

Q. 本実証実験は 2020 年 10 月 31 日以降も利用可能ですか?

A. 2020/10/31 以降も本実証実験を無償で継続することになりました。1 年後の 2021/10/31 までは必ず継続します。また、今後、終了する場合には 6 ヶ月前までにご案内いたします。
延長に関する NTT 東日本による報道発表 (2020/9/15)IPA によるお知らせ (2020/9/15) もお読みください。

 

Q. 開発コストや中継システムの運用コストがかかっていると思われますが、なぜ無料での提供としているのですか?

A. 新型コロナウイルスにかかわる政府による 2020 年 4 月 7 日の緊急事態宣言および 4 月 12 日の出勤者 7 割削減の社会的要請を受け、国内の多くの方々の感染拡大防止と事業継続を支援するため、当面の間、無償で開放することとしました。
現在テレワークシステムの早急な導入を必要としている方々には中小事業者様が多いと考えられますが、コロナウイルスに係る要因により、経済的に厳しい状態が報道されています。IPA は公的機関であることから、このような緊急時においては、当面の間、追加のコストがかからない方法でテレワークを実現する方法をできるだけ多くの国内事業者の方々に向けて提供することが重要であると考えています。

A (追記 2020/5/14): 中継システムの運用コストについては、中間報告により 1 ユーザーあたり月額 5 円 ~ 15 円であることが分かりました。これはほとんど支障にならない極めて安価な金額であり、新型コロナウイルスの感染防止の価値のほうが、かかっている中継システムの運用コストと比較して大変大きいことから、本実証実験を当面の間無償で継続することについては、特段の支障はないと考えております。

  

Q. 実証実験の期間が 2020 年 10 月 31 日までと記載されている理由は何ですか?

A. 本システムを支える中継システム等の技術・インフラについて、複数の連携協力組織によるご協力等をいただいております (特にインターネットインフラ)。これらの連携協力組織には、当初、「開始からおおむね半年間程度の無償協力」をいただくことで協議が整いました。そこで、現在のところ、2020 年 10 月 31 日までを実験期間としております。なお、実験の進捗や新型コロナウイルスの状況によっては、連携協力組織との協議を行なった上で、実験期間を延長する場合があります。

 

Q. 今後有償で提供する予定はありますか?

A. 現在のところ、予定はありません。

 

Q. 「シン・テレワークシステム」を企業環境で導入・利用する際におけるセキュリティポリシーについて、どのように考えればよいか?

A. 2020 年 4 月 28 日に、一般社団法人コンピュータソフトウェア協会 (CSAJ) セキュリティ委員会殿により 『NTT 東日本 - IPA 「シン・テレワークシステム」向けセキュリティポリシー Ver.1』 が策定・公開されました。
12 ページの PDF 資料となっており、一般的な企業環境でそのまま適用可能な、大変充実した内容となっています。
「シン・テレワークシステム」を企業環境で導入・利用する際に、ご参考になるものと思われます。

 

Q. 「二要素認証」、「ワンタイムパスワード (OTP) 認証」 には対応していますか?

A. はい。Ver 0.14 Beta 4 で対応いたしました。詳しくはこちらをご覧ください。

 

Q. 本ソフトウェアには、バックドア機能または通信傍受機能 (政府・捜査機関等がリモートアクセス等できる機能。海外では、政府機関が、ソフトウェア開発者に依頼して秘かに組み込む例がある。) はありますか?

A. ありません。

 

Q. 1 セッションあたり、どれくらいの帯域 (通信量) を消費しますか?

A. 利用様態によって異なりますが、これまでの統計データによる平均で、おおむね約 50 Kbps ~ 150Kbps 程度です。

 

Q. この Web サイト https://telework.cyber.ipa.go.jp/ およびダウンロードサイト https://download.telework.cyber.ipa.go.jp/ が、SSLv3 を有効にしている理由は何ですか?

A. Windows XP の標準状態の Internet Explorer 6.0 (標準状態で SSLv3 のみ通信可能) から本 Web サイトにアクセスし、ソフトウェアをダウンロードできるようにするためです。「シン・テレワークシステム」は、最新の Windows 10 にも対応していますが、Windows XP にも対応しております。中小企業から大企業まで、特に制御系などレガシーシステムにおいて、ファイアウォールの内側に設置されている Windows XP マシンは意外に数が多く、これらのマシンも、コロナウイルス対策期間中は「シン・テレワークシステム」で安全に遠隔操作する需要があります。本 Web サイトやダウンロードサイトでは、個人情報などの機密情報を扱うことはないため、最悪の場合解読される可能性がある SSLv3 を有効にしていても差し支え無いと考えられます。

なお、SSLv3 を有効にしているのは本 Web サイトのみであり、「シン・テレワークシステム」 のプログラム本体は、すべて TLS 1.3 (一部は TLS 1.2) で通信を行ないますので、ご安心ください。

 

Q. システムモードで動作している「シン・テレワークシステム サーバー」に、ユーザーが、万一、第三者によって推測されやすいパスワードを設定するなどしたとき、直ちに第三者がリモートデスクトップにログインするリスクがあるのではないでしょうか?

A. いいえ。システムモードで動作している「シン・テレワークシステム」は、3 段階の認証チェックが行なわれており、仮に「シン・テレワークシステム サーバー」 のパスワードを第三者に推測されたとしても、他の 2 段階のチェックすべても突破しない限り、第三者はリモートデスクトップにログインすることはできません。

第一段階: 「コンピュータ ID」。コンピュータ ID は、使用条件によって、「十分複雑な文字列を設置し、秘密する」ことがユーザーに義務付けられています。しかしながら、パスワード程には厳密な複雑性は要求されません。
第二段階: 「シン・テレワークシステム サーバー」 のパスワード。これには、上記の「パスワード複雑性の規則」が適用されます。
第三段階: Windows のログオン用のパスワード。これは、普段利用している Windows のログオン画面と同じパスワード入力画面のものを入力する必要があります。

したがって、仮に「第一段階」、「第二段階」までを突破することができたとしても、「第三段階」を突破することができない場合は、第三者は結局はシステムにリモートログオンすることができません。

また、ワンタイムパスワード (OTP) 認証 (二要素認証) 機能を利用することで、上記の「第二段階」の認証前に OTP 認証を行なうことを強制することができるようになりました。OTP 認証を有効にすることにより、四段階のセキュリティチェックが実行されます。1 つでも失敗すると、アクセスすることはできなくなり、極めて安全です。

 

Q. 企業 LAN で必要な、二要素認証、多層防御、クライアント検疫、MAC アドレス認証、端末やログの一元管理、ポリシーの強制などの仕組みはあるか?

A. そのようなご要望が多数寄せられたことから、新規開発を行ない、Beta 5 において、二要素認証・ワンタイムパスワード (OTP) 機能クライアント検疫機能・MAC アドレス認証機能およびエンタープライズ環境用ポリシー規制サーバー機能に対応しました。

 

Q. 「シン・テレワークシステム」は中継システムが「クライアント」と「サーバー」との間にありますが、中継システムの成りすましや中間者攻撃の防止はどのように行なわれていますか?

A. RSA 4096 bit 鍵によって署名された RSA 2048 bit のサーバー証明書の確認の手順により、TLS 1.3 (ただし、最初に接続をするロードバランサにおいては現在は TLS 1.2) を用いたPKI 認証が行なわれています。RSA 4096 bit 鍵は、配布されるクライアントおよびサーバーに含まれています。したがって、インターネット上の盗聴者は、解読や中間者攻撃によるメッセージ改ざんを行なうことができません。

 

Q. 「シン・テレワークシステム サーバー」の利用にあたり、なんらかの TCP/UDP ポートをインターネット側から着信できるように開放する必要はありますか?

A. 一切不要です。一般的なリモートアクセスシステムは、ポートの開放またはグローバル IP アドレスでの利用を必須としていますが、「シン・テレワークシステム」はそれらが不要なことが特徴となっています。

 

Q. 「シン・テレワークシステム サーバー」には、「共有機能有効版」と「共有機能無効版」とがあるようです。社員には、「共有機能無効版」を利用させたいと思います。そのため、一般ユーザー権限しか有さない社員ユーザーが、システム管理者に無断で「共有機能有効版」をインストールしてしまうことを防止したいと思います。どのようにすれば良いでしょうか?

A. 管理者の方が、「シン・テレワークシステム サーバー」の「共有機能無効版」を一旦システムモードでインストールして稼働させていただければ、一般ユーザー権限でのユーザーモードでのインストールはできなくなります (インストール時にエラーが表示されます)。一般ユーザー権限の社員の方は、システムモードで動作している「シン・テレワークシステム サーバー 共有機能無効版」を停止させることができません。また、「サーバー設定ツール」を開くためのパスワードを予め設定しておけば、一般ユーザーである社員の方は設定画面を開くこともできません。この方法により、管理者のみがシステムモードでインストールした「シン・テレワーク サーバー」を、管理者が行なった設定下で、一般ユーザー権限の社員に安全に利用してもらうこともできます。なお、一度「共有機能無効版」をインストールしてシステムモードで稼働を開始させた場合は、アンインストールするまで、「共有機能有効版」を上書きインストールすることはできません。一般ユーザー権限では、システムモードで動作させている「共有機能無効版」をアンインストールすることができないため、これは「共有機能無効版」のみを社員ユーザーに利用してもらう有効な方法となります。

 

Q. 「シン・テレワークシステム サーバー」のインストールは、一般ユーザー権限で行えてしまうことが特徴となっています。当社では、社員には一般ユーザー権限しか付与しておらず、Administrators 権限はシステム管理者のみが有していますが、一般ユーザー権限でサーバー機能をインストールできることは問題であると考えています。社内システム (一般的な Windows の Pro または Enterprise) において、これを防止する方法はありますか?

A. はい。管理者の方が、一旦管理者権限を用いて「シン・テレワークシステム サーバー」を一旦システムモードでインストールして稼働させていただければ、一般ユーザー権限でのユーザーモードでのインストールはできなくなります (インストール時にエラーが表示されます)。一般ユーザー権限の社員の方は、システムモードで動作している「シン・テレワークシステム サーバー」を停止させることができません。また、「サーバー設定ツール」を開くためのパスワードを予め設定しておけば、一般ユーザーである社員の方は設定画面を開くこともできません。この方法により、管理者のみがシステムモードでインストールした「シン・テレワーク サーバー」を、管理者が行なった設定下で、一般ユーザー権限の社員に安全に利用してもらうこともできます。

 

Q. 「シン・テレワークシステム サーバー」のインストールが、一般ユーザー権限でも行えるようになっている理由は何ですか?

A. セキュリティをできるだけ高めることができるようにするためです。一般に、Windows におけるサーバープロセスは高い特権レベルで動作していますので、プログラムにバグや脆弱性があった場合は、システム全体が侵害されます。一方、Linux や UNIX での考え方は、サーバープロセスであってもできるだけ一般ユーザー権限で動作させるという思想が一般的です。いかなるプログラムにも、脆弱性が将来発見される可能性がある以上、後者のような、「一般ユーザー権限でサーバーサービスを動作させる仕組み」を用いたほうが、セキュリティは高く維持されます。このようなセキュリティの考え方については、最小権限の原則 (Wikipedia)最小権限の原則 (JPCERT/CC)特権処理の局所化 (IPA セキュリティセンター) などの解説記事があります。なお、プログラムはできるだけ一般ユーザー権限で実行するべきであるという考え方は Linux や UNIX では当初より一般的でしたが、Windows においても、Windows Vista 以降の UAC (ユーザーアカウント制御) の登場以降は同様の考え方が普及しており、システム管理者権限が必要でない場合はできる限りユーザー権限のみで動作するようにプログラムを実装することが要求されつつある状況となっています。

 

Q. 一般ユーザー権限で動作する「シン・テレワークシステム サーバー」のプログラムが、サーバーとして稼働し、かつ NAT やファイアウォールの内側の端末上で動作しているときに、インターネット上の中継サーバーに内側から外側に向かって接続する仕組みは、珍しいもののように思われますが、これは異常な仕組みではないでしょうか?

A. 同様の仕組みは、広く普及しており多くの方々がひんぱんに利用されている「SSH」というプログラムにかなり以前 (20 年程度前) から実装されています。インターネット上に SSH サーバーを立て、NAT や FW の内側に SSH クライアントを立てた上で、NAT や FW の内側からインターネット上の SSH サーバーに向かって SSH 接続を行ないます。次に、NAT や FW の内側の SSH クライアントにおいてポートフォワーディング機能を有効にします。このようにすると、インターネット上から、いつでも、NAT や FW の内側にある SSH クライアントに向かって、通信を始動することができるようになります。この SSH の仕組みは一般的な UNIX ユーザーに広く使われており、かつ、NAT や FW の内側のマシンではシステム管理者特権が不要で、一般ユーザー権限のみで実現できます。この仕組みと、「シン・テレワークシステム サーバー」がインターネット上の中継サーバーを経由することで NAT や FW の内側に対してインターネット側から接続始動できる仕組みとは、本質的に、全く同一であり、SSH においてこの仕組みは昔から普及していることから、それと比較をしても、異常な仕組みではないと考えられます。

 

Q. 「シン・テレワークシステム」の社内での利用を規制したいが、どのようにすればよいか?

A. 2020 年 5 月 14 日に公開した Beta 5 以降では、エンタープライズ環境用ポリシー規制サーバー を設置することで、各種の規制を行なうことができます。

また、中継システム側で特定の IP アドレスからの利用を完全に遮断することも可能です。2020 年 4 月 24 日より、社内 LAN における 「シン・テレワークシステム」 の利用禁止規制の仕組みの提供 を開始しましたので、ご活用ください。
なお、社内 LAN のファイアウォール側で中継ゲートウェイシステムとの間の通信を遮断することは、中継ゲートウェイシステムの台数がひんぱんに増加し、また IP アドレスも固定ではなく、かつ複数ネットワークやクラウドに分散しているため、技術上困難であると考えられます。したがいまして、より容易・確実な方法として、中継ゲートウェイシステム側での規制をご検討ください。

 

Q. 社内 LAN / 行政 LAN などで、原則としてインターネット通信を遮断しているが、特定の IP アドレスのみをホワイトリストに登録することで「シン・テレワークシステム」の通信のみを許可したい。どのようにすればよいか?

A. 「行政情報システム適応モード」をご利用ください。通信する可能性がある IP アドレスのホワイトリストも公開されております

 

Q. 「シン・テレワークシステム サーバー」のプロセスは、なんらかの TCP ポートをネットワークに対して開きますか? (ポートを開くとは、ネットワークに対して TCP ポートを Listen 状態にすることをいいます。)

A. いいえ。「シン・テレワークシステム サーバー」のプロセスは、一切の TCP ポートをネットワークに対して開きません。したがって、仮にコンピュータがグローバル IP アドレスを有していても、攻撃者から TCP で直接攻撃されるおそれはありません。

 

Q. 「シン・テレワークシステム サーバー」の Windows サービスプロセスが、TCP 9823 番ポートを「127.0.0.1」に対して Listen してるように見えます。これは何でしょうか?

A. "netstat -na" 等のコマンド結果をみると、「シン・テレワークシステム サーバー」が TCP 9823 番ポートを「127.0.0.1」に対して Listen していることが分かります。この TCP 9823 番ポートは、同じコンピュータ上で起動される「シン・テレワークシステム サーバー設定ツール」との、同一コンピュータの同一メモリ内のプロセス値通信を行なうために使用されるものであり、ネットワーク通信で利用されるものではありません。この TCP 9823 番ポートは「127.0.0.1」 (localhost) のみに対してバインド許可されるもので、ネットワークからの接続は一切できません。

 

Q. 「シン・テレワークシステム サーバー」をシステムモードで起動すると、デフォルト状態の Windows であっても、RDP (リモートデスクトップ) が有効にされるようです。これにより、ポート TCP 3389 がネットワークに対してデフォルトで開放されてしまい、セキュリティ上のリスクが発生しませんか?

A. いいえ。そのようなリスクは発生しません。「Windows ファイアウォール」のデフォルト設定で、TCP 3389 番ポートは、ネットワークからの接続要求に対してブロックされています。「シン・テレワークシステム サーバー」は、「Windows ファイアウォール」の設定変更は一切行ないません。したがって、TCP 3389 に対するネットワーク (社内 LAN を含む) からの直接の接続はできません。「シン・テレワークシステム クライアント」からの TCP 3389 への通信は、「シン・テレワークシステム サーバー」が一旦受信したものを、127.0.0.1 (localhost) 宛にプロキシする仕組みとなっていますので、TCP 3389 を直接物理的なネットワークに露出するリスクを避けることができます。
("netstat -na" 等のコマンド結果をみると、Windows が TCP 3389 を Listen していることが分かりますが、「Windows ファイアウォール」により、実際にはネットワークからの接続はできません。)
※ 上記はデフォルトの状態であり、システム管理者権限 (Administrators 権限) を有するユーザーは、「Windows ファイアウォール」の設定を変更して、意図的に、TCP 3389 を物理ネットワークに露出することは可能です。その場合、Windows の TCP 3389 (RDP) に将来脆弱性があった場合は、セキュリティ上の問題が発生することがあります。しかし、その場合でも通常社内の端末は NAT や FW の内側にプライベート IPv4 アドレスのみで設置されていることから、その場合、インターネットからの直接の攻撃を受けることはありません。
※ 上記の挙動は Windows 10 のものです。サポートが切れている Windows XP 等の古いバージョンでは、異なる場合があります。

 

Q. 「シン・テレワークシステム サーバー」の Windows サービスプロセスが、UDP ポートを使用しているように見えます。これは何でしょうか?

A. 「シン・テレワークシステム サーバー」には、動作ログを Syslog プロトコルを用いて送信するオプション機能があります。Syslog プロトコルは UDP を用いるため、UDP ソケットを 1 つ bind() しています。なお、当該 UDP ソケットは Syslog パケットの送信のみであり、一切の受信データを処理しませんので、脆弱性の発生のリスクはありません。

 

Q. 「シン・テレワークシステム」の中継システムプログラムには、通信の内容の記録、複製、改変を行なう機能はありますか?

A. 「シン・テレワークシステム」の中継システムプログラムには、通信の内容の記録、複製、改変を行なう機能はありません。極めて短い時間のみ、通信内容がメモリ上に載りますが、固定記録媒体に通信内容が記録されることはありません。これは、一般的な SSL-VPN や IPsec VPN 装置と同様です。

 

Q. システムモードで動作させている「シン・テレワークシステム サーバー」は、リモートデスクトップの通信は、「End-to-End の暗号化 (E2EE)」がされていますか?

A. はい。システムモードで動作させている「シン・テレワークシステム」は、中継システムと、クライアント / サーバー間の通信が TLS 1.3 で保護されることとは別に、さらに当該 TLS の SSL-VPN トンネル内で、「End-to-End の暗号化 (E2EE)」が提供されます。この暗号化は、Windows の標準の RDP (リモートデスクトップ) のプロトコルスタックによって TLS で実装されています。(暗号強度・アルゴリズムは、Windows のバージョンに依存します。)

 

Q. 「シン・テレワークシステム」の中継システムのハードウェアは安全な場所に設置されていますか? これらのハードウェアに物理的に接触することができる攻撃者は、TLS トンネル内のリモートデスクトップ通信を盗聴することができるのではないでしょうか?

A. 現在、これらのハードウェアやシステムは、独立行政法人 情報処理推進機構 (IPA) サイバー技術研究室の職員が管理しています。なお、物理的には首都圏の複数の箇所の施設およびデータセンタに、複数のインターネット BGP バックボーン上に分散して配置されています。多くは「専用ハードウェア」(ARM 組み込みボード) を用いており、一部はプライベート・クラウドサービス上の VM を用いています。現在のところ、通信の中継には、パブリック・クラウドサービスの VM は一切利用していません。一部の施設はデータセンタ事業者または大学等の第三者が管理する施設ですが、いずれも 2 段階以上の強固な扉によって施錠され、十分なセキュリティレベルによって保護されています。さらに、攻撃者がそれらのハードウェアに仮に物理的に触れたとしても、一旦システムを停止させて内部のソフトウェア置換等を行なうことなく、TLS トンネル内の通信の内容の記録、複製、改変を行なうことは技術上ほぼ不可能であると考えられます。なお、仮に攻撃者が TLS トンネル内の通信の内容の記録、複製を行なったとしても、そもそも、システムモード (多くの場合で職場 PC へのリモートアクセスに使用されるモード) で動作させている「シン・テレワークシステム サーバー」のリモートデスクトップの通信は、「End-to-End の暗号化」が行なわれているため、リモートデスクトップ通信の内容を読み取ることについては、攻撃者にとって、なお一層高いハードルが待ち受けているのです。

2020/5/14 追記: 中継システムの物理的なハードウェアの様子などの写真 を公開いたしました。

 

Q. 1台の PC にサーバーとクライアントを両方インストールにすることは可能ですか?

A. 可能です。ただし、自分自身には接続することはできません。

 

Q. リモートデスクトップ機能をサポートしていないバージョンの Windows でもを使用できますか?

A. 使用可能です。なお、機能に一部制限がある場合もあります。

 

Q. システムモードとユーザーモードで利用できる機能にどのような違いがありますか?

A. システムモードでインストールすると遠隔操作に Windows の「リモートデスクトップ接続」を内部的に用いるため、 Windows の「リモートデスクトップ接続」で提供される全ての機能が利用できます。
ユーザーモードでインストールすると遠隔操作に「Windows のリモートデスクトップ接続」を用いず、「シン・テレワークシステム代替機能による接続」を用います。この接続の場合、プリンタなどの一部の共有機能はサポートしていないため使えません。

 

Q. ユーザーモードリモートデスクトップでフルスクリーンを解除するためのキーボードショートカットは何ですか?

A. フルスクリーンに設定する際に案内メッセージが表示されますが、キーボードの組み合わせは 「Ctrl + Alt + Shift + F」 です。

 

Q. 「シン・テレワークシステム サーバー」に設定することができるパスワードの複雑性の規則は何ですか?

A. 【Beta 3 またはそれ以降】 パスワード複雑性の規則は、
(1) 8 文字以上で、小文字・大文字・数字・記号のうち少なくとも 3 種類以上が使用されている。
(2) 16 文字以上で、小文字・大文字・数字・記号のうち少なくとも 2 種類以上が使用されている。
(3) 24 文字以上である。
のいずれかを満たしていることです。
このパスワード複雑性を満たしていないパスワードを設定することはできません。
(Beta 3 では、無視可能な警告メッセージは廃止され、無視することができないエラーメッセージとなりました。)

【Beta 1 または Beta 2】 規則は、「8 文字以上であること」 + 「大文字・小文字・数字・記号のうち 3 種類以上を利用していること」です。なお、この複雑性を満たしていないパスワードを設定する場合は、警告メッセージが表示されます。警告メッセージを無視してもなお、ユーザーが複雑性を満たさないパスワードの使用を希望する場合は、本ソフトウェアはユーザーの意思を尊重し、複雑性を満たさないパスワードも設定可能です。

 

Q. 「シン・テレワークシステム サーバー」において、システムの都合上 (クライアントが特殊な組込端末であるなど、キーボードの制限等があるとき) またはやむを得ない事情 (ハンディキャップ等によってキーボードでの記号等の入力が困難である場合) があるため、ユーザーの責任において、パスワードの複雑性規則を一時的に無効にしてパスワードを設定したい。

A. Beta 3 またはそれ以降では、レジストリ上の以下の値を設定することにより、ユーザーの責任において、「シン・テレワークシステム サーバー」におけるパスワードの複雑性規則を一時的に無効にしてパスワードを設定することができます。(以下の値を削除すると、パスワードの複雑性規則は再度有効になります。) ※ レジストリの編集時には十分注意してください。編集前にシステムおよび重要なデータをバックアップしてください。

キー: 「HKEY_CURRENT_USER\Software\Thin Telework System\Thin Telework System Server\Config Tool」
値の名前: 「DisableCheckPasswordComplexity」
値の種類: 「DWORD (32 ビット)」
値: 「1」

 

Q. 二重ルーター内の PC にシン・テレワークシステムサーバをインストールした時もリモート接続できますか?

A. ルーターの設定等にもよりますが、Web が閲覧できる環境であれば多くの場合は可能です。

 

Q. インターネットから切離されたプライベートネットワークでの利用は可能ですか?

A. シン・テレワークシステムをご利用頂くためには、接続先 PC と接続元 PC が共にインターネットに接続している必要があります。

 

Q. パーソナルファイアウォールでどのアプリケーションの、どのポートを通信許可にすればよいですか?

A. 外部からの接続を受け付ける必要があるポートは特にありません。もし、ファイアウォールがローカルホスト (127.0.0.1) からの接続も制限している場合はリモートデスクトップサービスが使用するポート(デフォルト:3389 番ポート)を許可して下さい。ユーザモードでインストールされたサーバに接続する際には、3457 番ポートを許可してください。 また、アプリケーションからのインターネットへのアクセスを制限している場合は接続先 PC 側では ThinSevr.exe を、接続元PC側では ThinClient.exe の接続を許可してください。

 

Q. 「通信を確立出来ませんでした」とのエラーがでるのですが。

A. シン・テレワークシステムサーバをインストールした PC がシン・テレワークシステムのサーバーとしてのサービスを行うシステムサーバに接続していない状態になっていると思われます。対象の PC がスリープ状態やスタンバイ状態などになると接続要求に応答できなくなるため接続できません。また、一般ユーザ権限でインストール(ユーザーモードインストール)した場合などでは、インストールしたユーザがログアウトしたり、ログインしていてもコンピュータがロックされていると接続できなくなります。

 

Q. ネットワークの接続環境がほとんどポートが閉じられている状態でもシン・テレワークシステムサーバを使用できますか?

A. インターネットへの接続が出来る環境であれば、多くの場合使用可能です。Webの閲覧にプロキシの設定が必要な環境では、同様の設定を行って頂く必要がある場合があります。シン・テレワークシステムの中継システムには、Web ブラウザなどが使用することの多い HTTPS というプロトコルで接続が行われます。本システム専用の証明書基盤を使用しているため、Web サイト向けの SSL 証明書を使用していることを要求するようなファイアウオールやプロキシが使用されている場合には注意が必要です。

 

Q. プロキシ経由接続を選択した場合に、ユーザ認証の必要が無い場合もプロキシーサーバの設定画面で「プロキシーサーバーのユーザー認証に失敗しました」となってしまいます。

A. ユーザ認証に失敗した場合以外にも、プロキシーサーバのポリシーに違反した接続を行おうとした場合に同様のエラーが表示される場合があります。このような例として、プロキシの対象範囲外の IP アドレスを使用し、CONNECT メソッドによる HTTPS 通信の中継を許可していない場合などが考えられます。

 

Q. リモート接続時、接続先 PC のシン・テレワークシステムサーバで設定したユーザパスワード認証の後に Windows ログイン画面が現れます。ここでのユーザ名とパスワードはどの設定で行ったものを入力すればよいですか?

A. 接続後のログイン画面では、接続先のPCの Windows にログインするためのユーザ名とパスワードを入力して下さい。

 

Q. 接続先PCの Windows ログオン画面で「アカウントの制限によってログオンできません」と表示されリモート操作ができません。

A. パスワードが設定されていないユーザーは通常はログオンすることが出来ません、また、標準状態では管理者権限を持っていないユーザは接続できない場合があります。 「マイコンピュータ」を右クリックして「プロパティ」を選択すると「システムのプロパティ」ダイアログが表示されます。この中の「リモート」タブを選択し、「リモートユーザーの選択」を押して接続を許可したいユーザーを指定して下さい。

 

Q. 接続元 PC(クライアント側)は必ずシン・テレワークシステムのソフトをインストールする必要がありますか。

A. いいえ。プログラムのみのファイル (インストーラなしバージョン、ZIP 形式) も提供しています。

 

Q. 接続元 PC のハードディスクを接続先PCから参照したいのですが。(システムモード)

A. まず、シン・テレワークシステムクライアントで接続する際に「共有設定」でハードディスクの共有を有効にします。
ハードディスク共有を有効にした状態で、接続先 PC にリモート接続すると、接続先 PC のマイコンピュータに接続先 PC 側で接続されているハードディスクと共に接続元 PC で接続されているハードディスクも現れます。これを参照することで接続元 PC のハードディスクを利用できます。
※ 接続先シン・テレワークシステムサーバにて共有禁止設定されている場合は、クライアントの設定によらず共有できません。

 

Q. シン・テレワークシステムサーバ起動中にスクリーンセーバーが起動されなくなってしまいました。

A. シン・テレワークシステムサーバ設定ツールの動作設定画面から「コンピュータが自動的にスタンバイや休止状態にならないようにする」チェックボックスを外すことで、スクリーンセーバーが動作するようになります。しかし、シン・テレワークシステムサーバをユーザーモードでご利用の場合は、スクリーンセーバー動作中は遠隔操作が出来ませんのでご注意下さい。

 

Q. 「高度なユーザ認証機能」で Windows ドメインに登録されている全ユーザを許可するように設定したいのですが、一括で設定する方法はありますか。

A. 「高度なユーザ認証機能」の「ユーザー名」を「*(アスタリスク)」一文字とし、認証方法を「NT ドメイン認証」に設定することでユーザ毎に設定せず Windowsド メインに設定されている全てのユーザ名で認証をすることができます。
Radius 認証の場合も同様に認証方法を「Radius 認証」に設定することで可能です。

 

Q. 現在使用中のネットワークではファイアウォールがありますが、クライアント IP アドレスによるアクセス制御は必要でしょうか?

A. 「IP アクセス制御リスト」を使用すると、シン・テレワークシステムサーバにてアクセス制限を行うことが可能です。
ログに想定されない シン・テレワークシステム接続が記録されている場合などに、シン・テレワークシステム接続の接続元IPアドレスを制限できます。シン・テレワークシステムクライアントがプロキシ経由で接続している場合は、プロキシのIPアドレスで制限を行う必要があります。

 

Q. クライアント IP アドレスによるアクセス制御機能で、特定の IP アドレス以外からのアクセスを禁止したいのですが。

A. IP アクセス制御リストにネットワークアドレス「0.0.0.0」ネットマスク「0.0.0.0」からのアクセスを拒否する設定を行うことで、すべてのクライアントからのリクエストを拒否することができます。この設定よりも優先度が高い設定として、特定のIPアドレスからのアクセスを「許可」することで、特定のIPアドレス以外からのアクセスを禁止することができます。
本設定を行うには、「IP アクセス制御リスト」画面の「ルールの追加」をクリックし、まず許可したい接続元の IP アドレスの許可ルールを設定します。「単一の IP アドレス」を選択し、「アドレス」の入力フィールドに接続元となる許可したい特定の IP アドレスを入力し、「接続を許可する」を選択、優先順位をこの後で設定する拒否ルールよりも小さい値を設定し「OK」をクリックします。
「IPアクセス制御リスト」画面に戻りますので、再度「ルールの追加」をクリックしてルールの編集画面にてその他の IP アドレスの拒否ルールを設定します。「複数の IP アドレス」を選択し、「アドレス」に「0.0.0.0」、「ネットマスク」に「0.0.0.0」を入力し、「接続を拒否する」を選択、優先順位を許可ルールで設定した値より大きい値を設定し「OK」をクリックします。
「IP アクセス制御リスト」画面に戻りますので、ここで「保存」をクリックする事で本設定が有効になります。

 

Q. サーバー側におけるユーザー認証設定のパスワード情報は、どこに保存されているのか? また、ユーザー認証処理を実施している主体は何か?

A. サーバーコンピュータ内のシン・テレワークシステムサーバーの設定ファイル (サーバーのインストール先のディレクトリにある .config ファイル) に保存されています。ユーザー認証処理はクライアントとサーバーの End-to-End で行なわれます。途中の中継サーバーには一切の認証パスワード情報等は保存されておらず、ユーザー認証処理にも関与していません。

 

Q. シン・テレワークシステム サーバーをインストールすると、Windows の RDP の挙動が変化した (ユーザー認証画面が表示されるようになった)。どのようなレジストリ項目が変更されたのか知りたい。

A. 「シン・テレワークシステム」の現在のベータ版では、 「システムモード」で利用時には、RDP ログオン画面を表示するように以下の 2 点のレジストリの設定を変更します。これを行なわないと、うまくログインできない or 異様に時間がかかる症状が発生しますので、このようになっています。現在のベータ版では、アンインストール時に元にうまく戻すことができていません。もともと「シン・テレワークシステム」以外でもリモートデスクトップによるテレワーク等を利用されている場合は、前後で挙動が異なることになってしまっています。今後改善する予定ですが、ベータ版であることからご容赦いただければと思います。

以下の 2 項目のレジストリを下記のとおり設定していただくことで元に戻ると思います。

(1) キー: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
値: UserAuthentication
データ型: REG_DWORD
設定値: 1

(2) キー: HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
値: SecurityLayer
データ型: REG_DWORD
設定値: 1

 

Q. 本実証実験で構築した大規模な中継システムは、どのような構成になっているのか? また、動作状況や負荷などを知りたい。

A. 中継システムで処理しているセッション数、ユーザー数等のグラフは、2020/5/1 よりこちらで公開開始しました。

中継システムのそのものの構成・写真は、2020/5/14 にこちらで公開開始しました。

CPU 使用率・メモリ使用率などの負荷状況は、近日中に公開予定です。

 

Q. Windows 7 をサーバー側にする場合で、フリーズが発生する場合、または、「サーバーから紹介が返ってきました」というエラーが発生する場合がある。

A. Windows Update で最新のパッチをすべてインストールしているかどうか確認してください。

 

Q. ソフトイーサ社の「Desktop VPN」を基にしているのですか?

A. 一部基にしている部分はありますが、今回のプロジェクトのために、大半を書き直しています。ソフトイーサ社の Desktop VPN は、2007 年の筑波大学の研究の成果が基になっていますが、少し古いものであり、必要な機能・性能が本プロジェクトにとって必ずしも十分ではありませんでした。そこで、今回の「シン・テレワークシステム」の開発にあたっては、2020 年時点の最新の SoftEther VPN オープンソース版 (IPA の 2003 年未踏ソフトウェア創造事業の成果の派生) をソースコードのベースとし、その上に新たにソフトイーサ社から無償提供を受けた Desktop VPN のコードを基としたアプリケーション部分を結合することにより、新たに実装を行ないました。また、中継システムとの間でやりとりされるプロトコルも大幅に最適化・高速化しました。これにより、最新の TLS プロトコルへの対応、UI の改良、中継システムのスケーラビリティの向上を図っています。

 

Q. 本 Web サイトのデザインや画像がモダンになっていない。

A. 本システムの公開は、特に緊急を要するものであり、公開日 (2020/4/21 15:00) の当日の早朝から Web サイトの制作を開始したことによります。余裕ができ次第、順次、モダンなデザインおよび画像等に切替えていく予定です。

 


トップ - 本システムについて・使い方・特徴・お知らせ (IPA) | 2020/05/14 成果の中間報告 | 2020/07/09 Beta 6 大規模新機能追加報告 | バージョンアップ履歴 | ダウンロード | ユーザー数・利用状況グラフ

入門 - 今すぐ使ってみよう | クライアント検疫機能・MAC アドレス認証機能 | 二要素認証・ワンタイムパスワード (OTP) 機能 | マイナンバーカードを用いたユーザー認証機能 | 仮想マルチディスプレイ機能

行政情報システムでの利用 | 組織 LAN におけるポリシー規制サーバー設置 | 企業システムにおける VM・HDD クローン対応 | Wake on LAN リモート電源 ON 機能 | 画面撮影・キャプチャ防止のための電子透かし機能

FAQ | 掲示板 (ユーザーサポートフォーラム) | 相互リンク集 | お問い合わせ | 使用条件 | 組織 LAN における利用規制申請 | NTT 東日本の 「シン・テレワークシステム」 サイト


© 2020 独立行政法人情報処理推進機構 (IPA) 産業サイバーセキュリティセンター サイバー技術研究室
© 2020 東日本電信電話株式会社 (NTT 東日本) 新型コロナウイルス対策プロジェクト 特殊局