NTT 東日本 - IPA 「シン・テレワークシステム」 - 行政情報システム適合モード (中継システムの IP 範囲の限定)

トップ - 本システムについて・使い方・特徴・お知らせ (IPA) | 2020/05/14 大規模アップデートと成果の中間報告 | バージョンアップ履歴 | ダウンロード | ユーザー数・利用状況グラフ | NTT 東日本の 「シン・テレワークシステム」 サイト

入門 - 今すぐ使ってみよう | クライアント検疫機能・MAC アドレス認証機能 | 二要素認証・ワンタイムパスワード (OTP) 機能 | マイナンバーカードを用いたユーザー認証機能 | 仮想マルチディスプレイ機能

行政情報システムでの利用 | 組織 LAN におけるポリシー規制サーバー設置 | 組織 LAN における利用規制申請 | FAQ | 掲示板 (ユーザーサポートフォーラム) | 相互リンク集 | お問い合わせ | 使用条件


1. 「行政情報システム適合モード」 (中継システムの IP 範囲の限定) 機能について

高レベルなセキュリティが設定されている行政情報システム等には、インターネットとの間の通信はファイアウォール等でデフォルトで遮断されており、事前に申請したクラウドサービス等との間でのみ通信が可能となっているものがあります。

そこで、2020 年 5 月 14 日の Beta 5 においては、新たに「行政情報システム適合モード (中継システムの IP 範囲を限定)」機能を実装しました。

インストール時に「行政情報システム適合モード」を有効にすると、限定された 30 個程度の固定の IP アドレスとの間でのみ通信が行なわれるようになります。

行政機関等のネットワーク管理者は、自組織内の端末で「シン・テレワークシステム サーバー」を「行政情報システム適合モード」でインストールし、予め公開されている IP アドレスの一覧をファイアウォールに設置することにより、「シン・テレワークシステム」を用いた職員の在宅勤務が可能になります。

※ 本機能は、インターネットとの通信先 IP アドレスが限定されている行政情報システム等での利用者向けに開発されたものですが、ホワイトリスト方式のファイアウォールを使用されている企業等でも利用することは可能です。ただし、注意点 (下部記載) がありますので、ご注意ください。

※ 本機能を利用する場合は、「シン・テレワークシステム サーバー」側をインストールする際に、予め 「行政情報システム適合モード」 でインストールしておく必要があります。「行政情報システム適合モード」は、Beta 5 以降のインストーラでインストール時に指定できます。

 

2. 背景 - インターネットとの通信先 IP アドレスが限定されている行政情報システムからの NTT 東日本 - IPA 「シン・テレワークシステム」 の利用の際の IP アドレスホワイトリストの必要性

高レベルなセキュリティが設定されている行政情報システム等には、インターネットとの間の通信はファイアウォール等でデフォルトで遮断されており、事前に申請したクラウドサービス等との間でのみ通信が可能となっているものがあります。

この場合、特定通信先として、IP アドレスおよびポート番号のリスト (ホワイトリスト) に対する通信規制の開放を、ネットワーク管理担当者にオーダーする必要があります。

 

 「通常モード」 の場合の動作 (デフォルト)

「通常モード」では、「シン・テレワークシステム サーバー」は、インターネット上に設置された多数の中継サーバーの IP アドレスのいずれかにロードバランスされて接続されます。この場合、接続先の IP アドレスは可変であり、事前にホワイトリストを作成することができません。

 

 「行政情報システム適合モード」 を有効にした場合の動作

「行政情報システム適合モード」では、「シン・テレワークシステム サーバー」が接続・通信を行なう際の通信先 IP アドレスは、独立行政法人 情報処理推進機構 (IPA) 産業サイバーセキュリティセンター サイバー技術研究室の施設に設置し直接運営・管理する、30 個程度の少数の IP アドレス範囲に固定されます。原則としてその範囲外との通信は不要になります。このモードで通信を行なう必要がある IP アドレスおよび TCP ポート番号のリスト (ホワイトリスト) は、この Web サイトで公表されます。

https://telework.cyber.ipa.go.jp/government_mode_whitelist/

ネットワーク管理担当者に開放をオーダー送付する際の IP アドレスおよびポート番号のリスト (ホワイトリスト) は、上記 Web サイトの内容をご利用ください。

※ 「行政情報システム適合モード」利用時の注意点

(1) 「シン・テレワークシステム」では、多数のネットワークや IP アドレスで 100 台以上の中継ゲートウェイ IP が設置されていますが、「行政情報システム適合モード」を有効にすると、そのうち約 30 台程度しか利用されなくなります。そのため、通信パフォーマンスが低下したり、可用性が低下したりするデメリットもあります。ご了承ください。

(2) IP アドレス範囲は 30 個程度ですが、インターネットとの通信先 IP アドレスが限定されている FW 内のユーザーからの利用数が増加した場合は、今後増加・変更になる場合もあります。その場合は、IPA の Web サイトで、新たな IP アドレス範囲を公表します。

 

3. 「行政情報システム適合モード」 (中継システムの IP 範囲の限定)  の有効化方法

上図のとおり、Beta 5 以降の「シン・テレワークシステム サーバー」側のインストーラで、インストール時に「行政情報システム適合モード (中継システムの IP 範囲を限定)」をチェックしてインストールしてください。

なお、通常は「シン・テレワークシステム クライアント」側のインストーラ (自宅 PC などで利用) では、「行政情報システム適合モード」をオフのままインストールしても、「行政情報システム適合モード」をオンの状態のサーバー (組織内の端末など) に接続可能です。しかし、動作確認等のために、組織内の端末側にクライアントをインストールする場合は、クライアント側のインストーラでも「行政情報システム適合モード」をオンにしてインストールしてください。

 

 

4.  「行政情報システム適合モード」利用時に通信が必要な通信先 IP アドレスおよびポート番号のリスト (ホワイトリスト)

以下の IP アドレスを、ネットワーク管理担当者等に送付していただき、ファイアウォール等での疎通ができるようにしてください。

以下の IP アドレスは、すべて、独立行政法人 情報処理推進機構 (IPA) 産業サイバーセキュリティセンター サイバー技術研究室の施設に設置し同研究室が直接運営・管理する IP アドレスです。

NTT 東日本 - IPA 「シン・テレワークシステム」 の 「行政情報システム適合モード」利用時に通信が必要な通信先 IP アドレスおよびポート番号のリスト (ホワイトリスト)
2020/05/14 版
独立行政法人 情報処理推進機構 (IPA) 産業サイバーセキュリティセンター サイバー技術研究室

■ 疎通させる必要がある IP アドレス一覧
(1) 103.95.184.196 ~ 103.95.184.197 (サブネット表記: 103.95.184.196/31)
      ※ ホスト名 (参考): telework.cyber.ipa.go.jp, download.telework.cyber.ipa.go.jp

(2) 219.100.94.11 (サブネット表記: 219.100.94.11/32)
      ※ ホスト名 (参考): load-balancer.thin-secure.cyber.ipa.go.jp

(3) 163.220.245.0 ~ 163.220.245.15 (サブネット表記: 163.220.245.0/28)
      ※ ホスト名 (参考): 163-220-245-★.thin-secure.v4.cyber.ipa.go.jp (★ には 0 から 15 の数字が入ります)

(4) 219.100.39.32 ~ 219.100.39.47 (サブネット表記: 219.100.39.32/28)
      ※ ホスト名 (参考): 219-100-39-★.thin-secure.v4.cyber.ipa.go.jp (★ には 0 から 15 の数字が入ります)

■ 疎通させる必要がある TCP ポート番号一覧
TCP 443 (HTTPS) のみ

■ 疎通させる必要がある DNS ドメイン名 (ファイアウォールで DNS が規制されている場合)
*.ipa.go.jp (ipa.go.jp ドメイン以下すべて)
なお、さらに限定を必要とする場合は、「*.thin-secure.cyber.ipa.go.jp, *.thin-secure.v4.cyber.ipa.go.jp, telework.cyber.ipa.go.jp, download.telework.cyber.ipa.go.jp」の合計 4 ルールを指定してみてください。
※ DNS の疎通は必須ではありません (DNS が利用不能な場合は固定 IP アドレスベースの通信を試みます) が、できるだけ上記のホワイトリストの DNS の名前解決が可能となる設定をしていただくことをお勧めします。

 

5. インターネットとの通信先 IP アドレスが限定されている行政情報システムからの利用のサポート (「行政情報システム適合モード」利用時の通信に関する問題解決に限る) について

「シン・テレワークシステム」は無償・無保証で提供されており、保証されたサポートはありませんが、新型コロナウイルス感染拡大防止の公益性から、インターネットとの通信先 IP アドレスが限定されている行政情報システムからの利用のサポート (「行政情報システム適合モード」利用時の通信に関する問題解決に限る) については、当面の間、可能な限り、サポート (電子メールベースで遠隔で問題診断が可能なものに限ります。) を行ないたいと思います。

連絡先メールアドレス:

※ 本メールアドレスは、IPA サイバー技術研究室の関係者の他、連携協力をしている組織 (NTT 東日本、筑波大、ソフトイーサ等) の主要なメンバーで共有させていただいております。

なお、以下の情報を記載いただければ幸いです。

・ 動作環境 (OS バージョン、x86 / x64、インターネット回線の種類)
・ Windows は Pro か、Pro でないか
・ インストール時のモード (システムモード or ユーザーモード)
・ プロキシやファイアウォールの有無
・ 問題を再現させるために必要な手順
・ アンチウイルスソフトまたはパーソナルファイアウォールを使用している場合は、その製品名とバージョン
・ アンチウイルスソフトまたはパーソナルファイアウォールを無効にしても同じ問題が発生するか
・ 行政情報システムにおける「特定通信」(IP アドレスベースのホワイトリスト通信) を実現するために、どのような設定を利用しているか
・ 可能な範囲で、ファイアウォールの機種、型番 (同等なものを IPA で用意して再現を試みる場合があります)

 

 


トップ - 本システムについて・使い方・特徴・お知らせ (IPA) | 2020/05/14 大規模アップデートと成果の中間報告 | バージョンアップ履歴 | ダウンロード | ユーザー数・利用状況グラフ | NTT 東日本の 「シン・テレワークシステム」 サイト

入門 - 今すぐ使ってみよう | クライアント検疫機能・MAC アドレス認証機能 | 二要素認証・ワンタイムパスワード (OTP) 機能 | マイナンバーカードを用いたユーザー認証機能 | 仮想マルチディスプレイ機能

行政情報システムでの利用 | 組織 LAN におけるポリシー規制サーバー設置 | 組織 LAN における利用規制申請 | FAQ | 掲示板 (ユーザーサポートフォーラム) | 相互リンク集 | お問い合わせ | 使用条件


© 2020 独立行政法人情報処理推進機構 (IPA) 産業サイバーセキュリティセンター サイバー技術研究室
© 2020 東日本電信電話株式会社 (NTT 東日本) 新型コロナウイルス対策プロジェクト 特殊局