「自治体テレワークシステム for LGWAN」ダウンロード・サポート Web サイト

自治体テレワークシステム for LGWAN ダウンロード・サポート Web サイトへようこそ！

本 Web サイトは、インターネット側と LGWAN 側の両方を用意しております。どちらからでも、ソフトウェアのダウンロード が可能です。

インターネット側 (自宅等から):
https://telework.cyber.ipa.go.jp/lgwan/
LGWAN 側 (庁舎端末から):
http://telework.ipa.asp.lgwan.jp/lgwan/

Windows 11 への対応について NEW

「自治体テレワークシステム for LGWAN」の 2021 年以降のバージョン (v1.03-9882-release3.beta7preview16-2021.04.01 またはそれ以降) は、Windows 11 にも対応しております。
なお、Windows 11 で利用時に不具合があった場合は、お知らせいただければ幸いです。

自治体テレワークシステム for LGWAN の概要

「自治体テレワークシステム for LGWAN」の機能・性能は、「NTT 東日本 - IPA シン・テレワークシステム」 とほぼ同等です。ただし、LGWAN 経由での利用を前提とするため、以下の点でセキュリティが強化されています。
詳しくは、自治体テレワークシステム for LGWAN 構築のお知らせ (2020/11/03) をご覧ください。

(1) 画面転送型リモートアクセス機能のセキュリティ強化点

ファイル共有機能とクリップボード共有機能は、強制的に無効になっています。ユーザーは、これを有効にできません。
ワンタイムパスワード (OTP) による多要素認証を実現し、これを必須としています。
自宅側 PC 用クライアントアプリには、完全閉域化 FW 機能 (テレワーク中はユーザー自宅 PC とインターネットとの間を完全に遮断) 機能を搭載しています。
クライアント MAC アドレス認証を必須としています。
クライアント検疫機能 (Windows Update 強制、アンチウイルスパターンファイル確認) を必須としています。
画面撮影抑止機能 (電子透かし) を必須としています。
プロトコルは、「シン・テレワークシステム」から変更しており、接続の互換性はありません。
(上記の各機能の説明ページは、シン・テレワークシステムのページへのリンクです。内容は参考としてお読みください。また、シン・テレワークシステムはインターネット用のシステムのため、LGWAN では利用できません。)

(2) IPA に設置されている中継ゲートウェイのセキュリティ強化点

中継ゲートウェイシステムは、「シン・テレワークシステム」とは全く別に LGWAN-ASP として新たに構築しています。
中継ゲートウェイシステムは、IPA の施設のみに設置されています。
中継ゲートウェイシステムは、LGWAN とインターネットの両方に接続されています。IP リーチャビリティを遮断する合計 3 層のサーバーシステムと、それらの間の複数階層のファイアウォールによって構成されており、インターネットと LGWAN との間での直接通信は、いずれの部分でも行なわれません。このために、中継ゲートウェイのプログラムやシステムを改造しています。

自治体テレワークシステム for LGWAN の使い方は、マニュアル をご覧ください。(LGWAN 庁内端末からのみマニュアルのダウンロードが可能です。)

ソフトウェアのダウンロード

更新履歴 (新しい順)
※ 過去のすべてのバージョンのソフトウェアのダウンロードはこちらから可能です。

v1.05-9891-release5.beta8preview8-2022.06.23
1. Ver 1.04 Build 9888 で実装した東西冗長化機能について、ユーザー側環境 (職場側) で HTTP プロキシサーバーが利用されている場合に、東西のいずれかの中継ゲートウェイへの接続試行に失敗するともう一方への接続試行を行なわなくなってしまう場合がある不具合がありました。本リリースでは、この不具合を解決しました。つきましては、ユーザー側環境 (職場側) で HTTP プロキシサーバーを利用されている場合で Ver 1.04 Build 9888 を利用されている場合は、本ビルドへのアップグレードをお願いいたします。
v1.04-9888-release4.beta8preview7-2022.05.31
以下のとおり、多数の機能強化が実装されました。また、以前のバージョンで発生していた不具合を修正しました。
1. 東西冗長化を実現。これまでのバージョンは、IPA にて運用している中継ゲートウェイについて、東日本 LGWAN DC およびこの DC と IPA との間の接続回線のみに依存していましたが、このたび、西日本 LGWAN DC およびの DC と IPA との間の接続回線も新たに敷設しました。サーバーアプリを本ビルドにアップデートいただきますと、東日本 DC と西日本 DC の両方に順にランダムに接続試行するようになり、いずれか一方がダウンしていても、もう一方を経由してサーバーアプリが動作するようになりました。なお、接続団体側でのファイアウォール設定でホワイトリスト方式で LGWAN の接続先を規制されている場合は、東西冗長化の効果を有効にするには、新たに西日本 LGWAN DC を経由した IPA の本システムとの通信を許可する設定を追加していただく必要があります。詳しくは最新のマニュアル (「telework_manual_v14」以降) をご参照ください。
2. IPv6 の DNS 名前解決が有効であるが IPv6 通信ができない環境で、クライアントアプリで RDP 接続エラーが発生する問題を修正しました。
3. クライアント側アプリの設定画面で「リモート画面起動時に内部的に 127.0.0.1 を示す特殊な FQDN 名を指定せず 127.0.0.1 を直接指定 (名前解決エラー時に ON にしてみてください)」オプションを追加しました。
4. 内部的に使用する暗号ライブラリを OpenSSL 3.x 系にアップグレードしました。
5. クライアントアプリが Nuro 光の ZTE 社の HGW の配下の PC で利用できないという問題が報告されました。これは、Nuro 光の ZTE 社の HGW の DNS キャッシュサーバーのバグであることが判明しました。この問題を回避するためのコードを追加しました。
6. サーバーアプリにおいて、システムディスクの空き容量が 500MB 未満となった場合、動作やログ記録等で不具合が生じる場合があることから、起動時に警告メッセージを表示するようにしました。
v1.03-9882-release3.beta7preview16-2021.04.01
以下のとおり、多数の機能強化が実装されました。また、以前のバージョンで発生していた不具合を修正しました。
1. Wake on LAN パケット送信機能において、ターゲットのサーバー側コンピュータが属しているすべてのサブネットのブロードキャストアドレス宛にも WoL パケットを送付するようにしました。これは、組織の LAN がルータまたはレイヤ 3 スイッチで分割されており、かつ、レイヤ 3 スイッチ等において「IP Directed Broadcast」機能が有効な場合に効果的です。IP Directed Broadcast 機能が有効な場合、異なるレイヤ 3 セグメント上のサーバーを WoL で起動することが可能な場合があります。レイヤ 3 スイッチの側の設定が必要です。例として、Cisco 社のドキュメントは以下のとおりです: https://www.cisco.com/c/ja_jp/support/docs/switches/catalyst-3750-series-switches/91672-catl3-wol-vlans.html 一般的に、他のスイッチ製品にも同様の機能があります。この機能を利用するには、「ターゲット PC」および「トリガ PC」の両方を、少なくとも本バージョン以降にアップデートする必要があります。
2. クライアントプログラムの設定画面で "接続先のサーバーが「行政情報システム適合モード」の場合、「完全閉域化ファイアウォール」を起動" が OFF になっている場合でも、「完全閉域化ファイアウォール」が起動してしまう問題を修正しました。
  れまで、完全閉域化ファイアウォールを無効にするオプションが設定されている場合でも、完全閉域化ファイアウォールが起動してしまっていました。この度、ポリシー規制サーバーで完全閉域化ファイアウォールを強制できるようにしましたので、完全閉域化ファイアウォールが強制の場合は必ず同機能が起動し、それ以外の場合は、完全閉域化ファイアウォールを無効にするオプションが設定されている場合は完全閉域化ファイアウォールが起動しないようにしました。
3. 自動インストーラ (無人インストーラ) に対応した。大量のコンピュータへのサーバーのインストールが快適になる。インストーラの EXE ファイルを実行する際に「/auto:1」というコマンドラインオプションを指定することにより、インストーラはデフォルトのオプションのまま、無人で最後まで進み、サーバー設定ツールが自動的に起動するところまで進むようになる。なお、このコマンドラインオプションを指定して実行する際には、Administrators 権限が必要である。権限がない場合は、UAC ポップアップが表示される。また、インストール中にデフォルトで次に進むことができないようなエラーが発生した場合は、当該エラーの表示部分で停止するので、それ以降は手動でインストールをする必要がある。
4. サイレントアンインストールに対応しました。「"C:\Program Files\Local Governments Telework System for LGWAN Server\LgwanThinSetup.exe" /auto:1」 (パスはインストールされた環境によって異なる場合があります) を実行すると、アンインストールが無操作で完了します。(通常はありませんが、万一アンインストール中にエラーが発生した場合は、エラーメッセージで停止します。)
5. サーバーのサイレントアンインストール機能において、設定ファイルの自動削除に対応しました。「"C:\Program Files\Local Governments Telework System for LGWAN Server\LgwanThinSetup.exe" /auto:1 /deleteconfig:1」 (パスはインストールされた環境によって異なる場合があります) を実行すると、アンインストールが無操作で完了し、設定ファイルも自動消去されます。これにより、サーバーにおけるインストール後のユーザーの設定情報 (OTP のメールアドレス、MAC アドレス等) は消去されます。その後再度サーバーをインストールすると、これらの再設定が必要になります。ただし、サーバーの固有 ID と、これに紐付けられているコンピュータ ID は変化しません。固有 ID をリセットしたい場合は、別途リセット操作が必要です。
6. 自動インストーラ (無人インストーラ) (「/auto:1」というコマンドラインオプションを指定することで利用可能) において、追加で「/NOAFTERRUN:1」というコマンドラインオプションにも対応しました。「/NOAFTERRUN:1」を設定すると、インストーラ完了後に「サーバー設定ツール」が自動的に起動しないようになります。
7. サーバーおよびクライアントアプリのプロキシ設定画面に、「中継システムへの接続を無効化する」オプションを追加しました。このオプションを有効にすると、中継システムへの通信が発生しなくなります。すでにサーバーから中継システムへのセッションが確立されている場合は、セッションは切断されます。
8. サーバープログラムが、初期状態で中継システムにセッションを確立しないようにしました。プロキシサーバーの設定画面を開いて設定を行なうまで、セッションは未確立の状態となります。(プロキシサーバーを使用しない場合も、一度プロキシサーバーの設定画面を開く必要があります。)
9. MAC アドレス認証が有効にされている場合、通常、サーバー設定ツールを終了する際に MAC アドレスが 1 つもローカル設定で登録されていない場合に、設定を促すメッセージボックスが表示されます。しかしながら、ポリシー設定ファイルで「SERVER_ALLOWED_MAC_LIST_URL」項目が設定されている場合、MAC アドレス一覧はポリシー規制サーバー側で管理することが可能になります。そこで、「SERVER_ALLOWED_MAC_LIST_URL」項目が設定されている場合は、上記の設定を促すメッセージボックスを表示しないようにしました。なお、ポリシー設定ファイルに「SERVER_ALLOWED_MAC_LIST_URL」項目が設定されているものの、その URL が誤っていたり、MAC アドレスを記述したテキストファイルの記載が誤っていたりしている場合でも、メッセージの表示は省略されるようになります。ポリシーファイルの「SERVER_ALLOWED_MAC_LIST_URL」項目を記載される際は、十分ご注意ください。
10. ポリシー規制サーバーの設定項目に「ENFORCE_LIMITED_FIREWALL_COMPUTERNAME_STARTWITH」を追加しました。この設定は、「ENFORCE_LIMITED_FIREWALL」設定機能 (「完全閉域化ファイアウォール」機能を強制的に有効にする機能) を有効にしたいけれども、一部の端末については無効にしたい (除外したい) というような場合に利用できます。この項目として設定されている文字列が、接続しようとしているクライアント側の Windows コンピュータの「コンピュータ名」の文字列の先頭部分に一致した場合は、当該クライアントからの接続に際しては、「ENFORCE_LIMITED_FIREWALL」が 0 であるとみなして接続処理がされます。この項目には、スペース、カンマまたはセミコロン区切りで、複数の文字列を指定できます。複数の文字列を指定した場合、いずれか 1 つと一致した場合は有効であるとみなされます。大文字・小文字は区別されません。この項目は、「ENFORCE_LIMITED_FIREWALL」設定項目が 1 に設定されている場合にのみ有効です。
11. ポリシー規制サーバーの設定項目に「REQUIRE_MINIMUM_CLIENT_BUILD」を追加しました。この項目には整数値を指定できます。この項目が指定されている場合は、サーバーに接続しようとしてきたクライアントのビルド番号が、指定された番号未満の場合に、クライアント側に対してバージョンアップを促すエラーメッセージが表示され、接続が拒否されます。この機能は、古いバージョンのクライアントからの接続を拒否したい場合に利用できます。たとえば、古いバージョンのクライアントにはあるセキュリティ機能が存在しない場合、そのような古いクライアントの接続を禁止することができます。「REQUIRE_MINIMUM_CLIENT_BUILD」の値は、サーバー側のソフトウェア自身のビルド番号以下でなければなりません。(サーバー側のソフトウェアのビルド番号を超える値が設定されている場合は、サーバー側のソフトウェアのビルド番号が設定されているとみなされます。) この機能は、シン・テレワークシステムのパブリック版では利用できません。この機能は、クライアントからのプロトコル上の自己申告値を信用して動作します。クライアントが不正に改造されている場合で、実際と異なるビルド番号をクライアントが主張する場合は、サーバーはこれを見分けることができませんので、ご注意ください。本機能はあくまでも一般的なユーザーによる古いバージョンによる接続を規制するものであり、高度なユーザーによる古いバージョンのクライアントからの接続をすべて遮断できるものではありません。
  サーバー側で「tunnel_log」ディレクトリにサーバーと中継システムとの間の通信の詳細なログを出力するようにした。サーバーと中継システムとの間が頻繁に切れるような場合は、このログを確認することにより、原因を特定することが容易となる。
12. 「MAC アドレス認証における MAC アドレスのリストを、ポリシー規制サーバー側で一元管理し、ユーザーに自由に管理させたくない」という要望に対応するため、ポリシー規制サーバーの設定ファイルに「NO_LOCAL_MAC_ADDRESS_LIST」を追加した。これを「1」に設定することにより、ユーザーは MAC アドレス認証における MAC アドレスのリストを手動で設定することができなくなる。なお、「NO_LOCAL_MAC_ADDRESS_LIST」が有効となるためには、ポリシー設定ファイルの「CLIENT_ALLOWED_MAC_LIST_URL」および「ENFORCE_MACCHECK」が設定されている必要がある。
13. クライアントが Administrators または SYSTEM 権限で動作している場合は、ユーザーが指定した mstsc.exe ファイルを実行することができないようにした。
14. クライアント証明書認証における OCSP (Online Certificate Status Protocol) 検証の実装。ポリシー規制サーバーの「ENABLE_OCSP」項目を「1」に設定することにより、サーバーは、クライアント証明書認証要求があった場合で、かつ認証がサーバーにあらかじめ登録されている信頼された証明書 (CA 等) による署名の検証によって実施される場合に、当該クライアント証明書の拡張フィールドに OCSP サーバーの URL が記載されている場合は、その OCSP サーバーの URL 宛に OCSP プロトコルにより証明書が有効かどうかの検証を試みます。無効であると回答された場合は、ログファイルにその旨を記載し、証明書認証は失敗します。OCSP サーバーとの通信に失敗した場合は、検証は成功したものとみなされます。
15. アカウントロックアウト機能の実装。ポリシー規制サーバーの「AUTH_LOCKOUT_COUNT」および「AUTH_LOCKOUT_TIMEOUT」項目を 1 以上の整数に設定することにより、ユーザー認証 (パスワード認証) においてパスワードを誤った場合のアカウントロックアウトが可能となりました。AUTH_LOCKOUT_COUNT には、ロックアウトが発生するまでの認証失敗回数を指定します。AUTH_LOCKOUT_TIMEOUT には、ロックアウトが自動解除されるまでのタイムアウト値を秒単位で指定します。
16. 無操作時のタイムアウト実装。ポリシー規制サーバーの「IDLE_TIMEOUT」項目を 1 以上の整数に設定することにより、ユーザーがクライアント側でマウスを「IDLE_TIMEOUT」で指定された秒数以上無操作であった場合は、クライアント側の接続が切断され、無操作タイムアウトが発生した旨のメッセージボックスがクライアント側の画面に表示されるようになります。この機能が有効となるには、クライアント側のバージョンも本バージョン以降である必要があります。それ以前のクライアントの場合は、無視されます。
17. ポリシー規制サーバーの「SERVER_ALLOWED_MAC_LIST_URL」による MAC アドレス一覧テキストファイルの指定において、MAC アドレス一覧テキストファイルの先頭行に UTF-8 の BOM 文字が入っていた場合、その BOM 文字を除外して処理を行なうように改良しました。
18. 空きメモリ容量が十分でない場合、「サーバー設定ツール」で警告メッセージが表示されるようにしました。
v1.02-9862-release2fix1-2020.12.21
1. サーバー側ソフトウェアのインストーラにおいて、Windows のローカルグループポリシーまたはドメイングループポリシーでリモートデスクトップが無効になっている場合は、有効にするよう促すメッセージを表示するようにしました。
v1.02-9859-release2-2020.12.18
1. サーバー側ソフトウェアにおいて、Windows のローカルグループポリシーまたはドメイングループポリシーでリモートデスクトップが無効である場合でも接続受付時に強制的に有効にするようにしました。
2. サーバー側ソフトウェアにおいて、詳細デバッグログを保存できるオプションを追加しました。
3. クライアント側ソフトウェアにおいて、リモート接続中はクライアントの画面をスリープ状態にしないようにしました。
  ※ 本バージョンは、マイナーなアップデートです。以前のバージョンで不具合がある方々のためにリリースしました。特に不具合がない方々は、アップデートは不要です。
v1.00-9854-release1-2020.11.24
- 初版リリースです。

マニュアルのダウンロード (PDF / PPT 形式)

『自治体テレワーク推進実証実験事業「自治体テレワークシステムfor LGWAN」の利用に向けた詳細手順説明資料』 をダウンロードいただけます。
PPT 版もございますので、必要に応じて、適切な範囲でご活用ください。

※ これらの PDF / PPT 資料は、LGWAN 内からのみダウンロード可能です。
お手数ですが、庁内端末よりこの Web ページ http://telework.ipa.asp.lgwan.jp/lgwan/ にアクセスしていただき、ダウンロードをお願いいたします。

サポート

迅速な問題解決のために、ぜひ「掲示板」をご活用ください。

IPA & J-LIS 自治体テレワークシステム for LGWAN ユーザー掲示板 (手軽に書き込めるフォーラム)
電子メールアドレス (インターネットアドレスのみご用意しております)

※ 本メールアドレスは、IPA および J-LIS のメンバーが受信いたします。
※ SPAM メール防止のため、画像になっております。大変お手数ですが、メールアドレスの手動入力をお願い申し上げます。

リンク集

自治体テレワークシステム for LGWAN 利用条件等

「自治体テレワークシステム for LGWAN」 ダウンロード・サポート Web サイト