NTT 東日本 - IPA 「シン・テレワークシステム」 - 2020/05/14 大規模アップデートと成果の中間報告

トップ | 中間報告 | 自治体テレワーク for LGWAN | HTML5 Web 版クライアント (Mac, Chromebook 対応) | バージョン履歴 | ダウンロード | ユーザー数グラフ
入門 - 今すぐ使ってみよう | クライアント検疫機能・MAC アドレス認証機能 | 二要素認証・ワンタイムパスワード (OTP) 機能 | マイナンバーカードを用いたユーザー認証機能 | 仮想マルチディスプレイ機能
行政情報システムでの利用 | 組織 LAN におけるポリシー規制サーバー設置 | 企業システムにおける VM・HDD クローン対応 | Wake on LAN リモート電源 ON 機能 | 画面撮影・キャプチャ防止のための電子透かし機能
FAQ | 掲示板 (ユーザーサポートフォーラム) | 相互リンク集 | お問い合わせ | 使用条件 | 組織 LAN における利用規制申請 | NTT 東日本の 「シン・テレワークシステム」 サイト


「シン・テレワークシステム」 セキュリティ機能の大規模アップデートと実証実験の現状報告について

2020 年 5 月 14 日 「シン・テレワークシステム」 開発チーム

 

昨日、2020 年 5 月 13 日をもちまして、「シン・テレワークシステム」のユーザー数が 2 万人を超えました。テレワークの効果等により、新型コロナウイルスの感染者数は減少していますが、まだ油断をすることはできません。この機会に、「シン・テレワークシステム」公開後 3 週間経過時の現況と、この大規模な実証実験のコスト効率と社会的効果について、お知らせをしたいと思います。

また、本日、「シン・テレワークシステム」を大規模な企業 LAN などのセキュリティ・ポリシーが制定されている環境向けや、行政情報システムなどの高いセキュリティ・レベルが必要とされているネットワーク向けで利用できる、多数のセキュリティ機能を実装した新バージョン「Beta 5」を公開いたしました。これらのセキュリティ上の新機能は、ユーザーの皆様からの多数のご要望を反映するため、大半を、ゴールデンウィーク等を活用して実現したものです。セキュリティポリシーが制定されている大規模な企業 LAN や行政情報システム等でも、「シン・テレワークシステム」が利用可能になることで、さらに新型コロナウイルスの感染者数を削減することができます。「シン・テレワークシステム」においては、今後もユーザーの皆様からのご意見をできるだけ実現し、可能な限り多くの方々の利便性の向上と、出勤数削減による新型コロナウイルスの感染者数減少に貢献したいと考えています。 

NTT 東日本 - IPA 「シン・テレワークシステム」 の現在のユーザー数 (リアルタイム): 416,472
 

 

1. 「シン・テレワークシステム」は 4/21 以降 2 万名のユーザーに導入され感染防止に貢献

「シン・テレワークシステム」を 2020 年 4 月 21 日に公開してから、本日で、約 3 週間余りが経ちました。この間に、シン・テレワークシステムは、図 1 (上) のとおり、2 万名を超えるユーザーの皆様にダウンロードされ、導入されました (インストール・起動済みの職場側 PC のユニーク台数)。「シン・テレワークシステム」によって、2020 年 4 月 21 日以降、現在まで、1 日あたり 1,000 名 ~ 2,000 名の新たなテレワーカーが誕生し続けていることになります。

今やトンネルの先に光が見えつつある、新型コロナウイルスとの長く持久力を要するこの戦いに、このように多くのテレワークのユーザーの方々が、「シン・テレワークシステム」またはその他のテレワークシステムと、ブロードバンドや光ファイバーなどの通信技術などを適切に組み合わせた新たな方法を用いて、それぞれ工夫して立ち向かい、経済活動の維持と感染拡大防止という 2 つの公益的な責務の両立に努められています。このような一つの有事の際にこそ、通信回線やソフトウェア技術等の真価がより一層問われ、その価値や適した使い方が認識され、今後経験するさまざまな困難の際にも、分散して保持されることとなる今回の貴重な経験やノウハウが、適時に活用されることになります。「シン・テレワークシステム」は、そのようなことを実社会で施策する実証実験であるということができます。

このように、危難に対して ICT 技術を用いてひとかたまりになって前進をし、やがて勝利をしようという目的の本実証実験にご参加をいただいている、合計 2 万名を超えるユーザーや企業の皆様に、深く感謝をいたします。

 

図 1. 「シン・テレワークシステム」ユーザー数の推移 (上) と、同時期の新型コロナウイルス新規感染者数の推移 (下)。
シン・テレワークシステムは、4/21 以降の 3 週間でテレワーク利用人数の 1 万人単位の増加と一定の通勤削減に貢献。
下グラフは東洋経済オンライン編集部 「新型コロナウイルス国内感染の状況」 のグラフを引用。

 

首都圏や全国の新型コロナウイルスの 1 日あたり新規感染者数をみますと、「シン・テレワークシステム」の公開日である 4 月 21 日ごろには増加するか減少するか予測ができない状態となっていましたが、「シン・テレワークシステム」の公開日から数日後くらいから、大規模な減少が始まりました。

もちろん、減少の要因にはさまざまなものがあり、その要因はテレワークのみに限定されるものではありません。しかし、東京都におけるオフィスワーカーは、約 300 万人と言われているところ、そのうち半数以上のオフィスワーカーの方々は、テレワークの環境が、これまで整っていませんでした。そのため、これらの企業では、社員に通勤・出社していただいて業務を継続するか、事業の継続を停止するか、選択しなければならない状態でした。前者を選ぶと、新型コロナウイルスにとって大変好都合な結果となります。後者を選ぶと、結果として、新型コロナウイルスに負けることになります。どちらの道を選んでも、悲劇的な結果が、大きく手を広げて目前に立ちはだかっていたのです。

ところが、「シン・テレワークシステム」や、同様の色々な、簡単に利用できるテレワークの仕組みによって、現今、これらの企業や社員の方々は、第三の新しい道が選べるようになりました。これらの方々は、今ようやく、初めて、社員が自宅から企業のシステムに自宅からリモート・アクセスすることができるようになり、新型コロナウイルスのリスクにさらされる通勤をすることなく、テレワークを用いて、自宅から継続的に、業務ができるようになったのです。

「シン・テレワークシステム」が、通勤量の削減の実現に貢献してきた割合は、これまでのところ、潜在的な削減可能余地の 1% にも満たないものであります。しかしながら、一般に感染症が拡大するか終息するかの傾向は、接触の頻度が全体においてわずか 1% 前後するだけでも、大きく左右されるものであると考えられます。今、通勤人数をわずか 1% 削減できるかどうかということが、まさに、新型コロナウイルスとの戦いに勝利できるか否かが決まるという切実な状況であると言えます。引き続き、できるだけ多くの方々が、「シン・テレワークシステム」または同等の情報処理技術と、通信回線とを組み合わせ、業務の継続と通勤の削減とを両立されれば、少ないダメージで、新型コロナウイルスの終息が実現するものと期待されます。

新型コロナウイルスの 1 日あたり新規感染者数のグラフを、図 1 (下) に示します。「シン・テレワークシステム」によってこれまでに削減できた合計 2 万名分の出勤量が、4 月 21 日以降の新型コロナウイルスの感染者数の減少に、どれだけ貢献できているかは、正確な把握は困難です。しかしながら、「シン・テレワークシステム」による通勤削減の数は、決して少ないものではないと考えられます。前述のとおり、ほんのわずかな接触の機会の増減が、それ以降の感染者数の増減を決めるものであるとしたならば、「シン・テレワークシステム」によってこれまでに削減でき、これからもこの実証実験に参加いただくユーザーや企業の数の増加によって、通勤経路やオフィスでの接触の数がさらに減少することは間違いがないと考えられます。そして、それは新規感染数減少と終息という目標点に向かった十分な進歩につながります。

 

現在進行している人類と新型コロナウイルスとの戦いは、従来のものと異なり、ウイルスと ICT 技術との戦いという新たな重要な要素が加わっています。すなわち、自然発生し接触によって媒介される「ウイルス」というプログラムコードと、人間の智慧によって作成され通信回線によって媒介される各種のリモートワークのためのプログラムコードとの戦いになりつつあります。

新型コロナウイルスに限らず、人類にとって不具合を生じさせるウイルスというものは、考えれば、一種のプログラムコードと人々の間でそれを伝播する仕組みに依存して成り立っているのです。ウイルスの側がそのようなことを行なっても構わないといって、そのような手法を毎日行なっているのであれば、人間の側もこれに対抗して、テレワークシステムや、テレビ会議システムといった様々なプログラムコードを作り、それを媒介する通信回線でその仕組みを成り立たせ、ウイルスよりもさらに一歩先を行く新たな経済活動様式を採り入れても差し支え無いということができます。本質的には、両者とも、採っている戦法は同じであるので、これについて、ウイルスの側から不平が提起されることは決してないでしょう。

そして、人間の側は、最近、大変有利なことに、最近はプログラムコードを記述できる程度に進化をしております。我々人間は、ウイルスと異なり、短時間で自由にプログラムを開発することができますし (小学校などでも教えられるようになっています)、そのプログラムによる信号を媒介できる通信回線やインターネットなどの仕組みも、多くの家庭環境に入ってきており、新型コロナウイルスにとって利用可能な媒介手段よりもより高速で確実な仕組みとしてこの 20 年間の努力の結果ちょうど実現できているところであります。すなわち、情報処理と通信の2つの進化と共生が、今、十分強力な新型コロナウイルスよりもより一段強力になったということです。その結果、現時点では、新型コロナウイルスの用いる媒介・通信手段を、人間の発明した新たな媒介・通信手段で、効率的に遮断することができているのです。

テレワークの分野だけに限らず、これから、新型コロナウイルスに勝利するために、さまざまなプログラムコードの作品が、世界中の数多くの人々によって作成され、インターネットを経由して普及し、コロナウイルスよりも迅駛に活動すると思われます。このように、この新型コロナウイルスとの戦いは、コンピュータ、プログラムおよびインターネット (ウイルスが登場を予期していなかった人間の得物) を有している人間の側にとって圧倒的に有利な状況であり、もうすぐ、必ず勝利を収めることができることは、間違いがありません。

 

2. 「シン・テレワークシステム」のコストは現在 1 ユーザーあたり月額 14 円であることが判明。高いコスト効率を実現。さらに増加すれば 1 ユーザーあたり月額 5 円まで漸減。

次は、現実的なコストの話です。「シン・テレワークシステム」は IPA において国のお金を使って運営させていただいていることから、本実証実験とその効果に関するコスト効率について関心がある方も多くいらっしゃると思います。

「シン・テレワークシステム」は、これまでに、2 万名のユーザーにインストールされ利用いただいています。それらのユーザーの方々の、職場 PC と自宅 PC との間の通信を支えるために、SSL-VPN 中継システムが必要となります。今回、SSL-VPN 中継システムはセンター型で IPA にて集中して設置しています。この SSL-VPN 中継システムのハードウェアには、当然に調達コストがかかります。そこで、この実証実験の効率を考える上では、この SSL-VPN 中継システムの部分について、1 ユーザーあたり、どの程度の国のお金を使っているのかが重要です。

そこで、この度、下記のとおり計算をしてみたところ、中継システムの運営には、現時点で、1 ユーザーあたり、現在月額 14 円程度の直接的コストが発生していることが分かりました。ユーザー数は増加し続けていますので、やがて 1 ユーザーあたり月額 5 円程度のコストに漸減し、これがコスト削減の限度であると考えられます。

月額で考えると、トータルで 26 万円程度の直接的コストがかかっていることになります。月 26 万円の国のお金を使わせていただくことによって、数千人を超える通勤の削減の効果が得られており、新型コロナウイルスの感染拡大の防止に貢献することができていると思います。新型コロナウイルスの感染が拡大し続けることで発生する可能性がある社会的な損失は、かなりの高額であることから、これを防止するために月額 26 万円をかけることは、かなり効率のよい施策であると思います。

一般に、国のお金を使った事業には、かなりの金額を必要とするものから、少額で大丈夫なものまで、様々なものがありますが、この「シン・テレワークシステム」の実証実験は、それらの中でも、比較的少額で、かつ、比較的効率が良いほうの部類に入るものと思われます。

2-1. 中継システムのハードウェア費用

現時点で、IPA でこの施策のために新たに国のお金を使って調達した物品は、SSL-VPN 中継システムのハードウェア 50 台のみです。本企画は、2020 年 4 月の緊急事態宣言が出たころに開始されましたので、時間的に、高額な物品調達はできません。ネットワーク機器等は、すべて廃棄されつつあった中古品のようなものを利用しており、コストがかかっていません。今回調達をしたハードウェアは、ARM ベースの小型コンピュータで、消耗品として、いつでもすぐに買える安価なものです。このハードウェアを、約 65 万円で、50 台調達しました。「1 台あたり 65 万円」ではありません。「50 台全部合わせて 65 万円」です。基板、ケース、ストレージ、電源、LAN ケーブルも合わせて 50 台分で計 65 万円となりました。これが、本プロジェクトのためにこれまでに購入した部材のすべてです。そして、ソフトウェア上の工夫により、この 1 台の装置あたり、少なくとも 1,000 セッション、多くて 2,000 セッションの 1Gbps の SSL-VPN を処理することができるようにしました。したがって、合計 5 万 ~ 10 万セッションを同時に処理できるシステムを、わずか 65 万円で構築したことになります。現在のユーザー数は 2 万名ですので、仮に、全員が同時に利用しても、まだまだ余裕があります。なお、セッション数が増えてきた場合は、ハードウェアを追加で調達することになりますが、ユーザー数に正比例することから、1 ユーザーあたりのコストは増えません。

これをユーザー数で割ると、1 ユーザーあたり費用が計算できます。計算をすると、中継システムのハードウェア費用としては、現在、国のお金が、1 ユーザーあたり 32 円かかっていることになります。今後、ユーザー数が増えて 50,000 ユーザーになったとすると、ハードウェアを追加で調達しない場合、1 ユーザーあたりハードウェアコストは 13 円になります。なお、これは、毎月 13 円かかるのではなく、本実証実験の期間全部をあわせてわずか 13 円という意味になります。仮に、本実証実験が 7 ヶ月間である (10 月 31 日まで、延長しない) と仮定しても、購入した ARM ベースのコンピュータボードは、ある程度の耐久性があり、大半は 1 ~ 2 年以上保つと考えられることから、コストは、7 ヶ月分で平均することができます。したがって、ハードウェア費用は 1 ユーザーあたり月額 2 円 ~ 5 円程度と試算できます。

なお、当初は、この 50 台のハードウェアを調達する時間も無かったため、それに先立ち、20 台を共同研究をしている大学から民間の共同研究費で、25 台を豪族から、無償で貸し出しを受けています。したがって、現在は 95 台分の ARM ベースのコンピュータボードで動作していることになります。

その他、実験的に、IPA で既存の他業務等を行なう x64 サーバー上に、そのサーバーの管理者の協力を得て VM (QEMU KVM) を作成させてもらい、その VM 上でも一部の SSL-VPN 中継ノードを稼働させています。これはもともと CPU やメモリの空き時間・空き領域を工夫して利用しているもので、新規にコストはかかっていません。さらに、この x64 サーバーが無い場合でも、ARM ベースのコンピュータボードのクラスタのみで十分なキャパシティを実現できるように構築をしています。

図 2 - 図 9 に、「シン・テレワークシステム」の中継システムの写真を掲載します。

図 2. 「シン・テレワークシステム」を支える SSL-VPN 中継システム装置。
ARM ベースの小型コンピュータボードで構築されている。1 台で 1,000 ~ 2,000 セッションを処理することが可能。
1 台あたりコストは、基板、ケース、ストレージ、電源、LAN ケーブルを合わせて 1.3 万円。
消耗品として短期間かつ極めて安価に調達可能であり、今後、キャパシティを増加させる必要が生じた場合も柔軟に対応できる。

 

図 3. 「シン・テレワークシステム」を支える SSL-VPN 中継システムを配列するために構築した設置スペース (第三世代)。設置サイト #3。
わずかな時間で構築をしたため、個人レベルで購入できる安価な家庭用棚と本立てを活用している。

 

図 4. ARM ベースの小型コンピュータボード、ヒートシンク兼ケースおよびストレージ部品を調達した際の様子。

 

図 5. IPA 本部にて ARM ベースの小型コンピュータボードの組立てを行なう際の写真。
一刻も早い稼働開始を実現するため、組立て、ネットワーク構築、設置、中継システムの C 言語での開発、デバッグなどは並行して進められた。
※ 新型コロナウイルス感染防止のため、出勤はこのようなやむを得ない作業のみに限定されており、間隔を空けて作業を行なっている。

 

図 6. 第一世代設置スペース (試作)。設置サイト #1。秋葉原の店頭で豪族がかき集めたという 25 台を設置してデプロイを行なった。
試作であるが、いったん稼働を開始させた後、一度も停止していないため、現在でもほぼこの状態で稼働している。

 

図 7. 第二世代設置スペース。設置サイト #2。
なお、今回はネットワークの関係で複数箇所に分散して設置しているが、
本来は図 3, 図 5, 図 7 の装置をあわせて 1 個のサーバーラックに搭載可能な分量である。

 

図 8. これらの大量の ARM ベースのコンピュータボードに対する負荷分散の処理を行なうロードバランサ。
企画からわずか 2 週間程度で実現するため、数万円程度のデスクトップ PC を用いて構築し、現在もこのハードウェアで稼働している。
本機のみ既存の共用の UPS に接続されている。

 

図 9. シン・テレワークシステムの中継ノード群を、連携協力組織等を経由してインターネットに接続するための
光ファイバの 40G 東京都内リングネットワーク装置。
シン・テレワークシステムは、職場の PC を自宅の PC から操作するシステムであり、レスポンス (遅延) ができるだけ短いことが必要であるため、
1ms 単位での遅延の削減が極めて重要である。
本システムは、これまで有志によって東京都内に構築されてきた広域の学術実験ネットワークを無償で利用している。
これらのネットワークは、すべて自前・手作業で構築されている。低遅延 1ms 未満 で、10G, 20G, 40Gbps などの速度を出すことができる。

 

2-2. 中継システムの電気代および冷却費用

次に、ハードウェアを稼働する電気料金が必要となります。国のお金を用いて調達し設置している分を計算しますと、全部で常時 630W の電力を消費します。全部合わせて、わずか、家庭用電気ストーブ 1 台の消費電力で、現在の 2 万ユーザーはもちろんのこと、今後の増加後の 5 万ユーザー分のテレワーク・セッションを維持できます。630W を 24 時間消費した場合の電気代は、月 1.5 万円程度であると想定されます。その他にもハードウェアによって占有されているスイッチ等があり、また、冷却のための冷房費用も勘案すると、月 5.0 万円くらいの電気代がかかっていることになります。なお、UPS は設置していないことから、蓄電池費用はかかりません。したがって、現在の 2 万ユーザーで割ると、1 ユーザーあたり電気代は月額 3 円ということになります。50 台の最大限界 50,000 ユーザーで割ると、1 ユーザーあたり電気代下限は月額 1 円ということになります。したがって、電気代は 1 ユーザーあたり月額 1 円 ~ 3 円程度と試算できます。

2-3. 中継システムの設置スペース代

さらに、ハードウェアを稼働するスペース料金が必要です。今回は占有スペースは利用しておらず、オフィス等の片隅に設置していますので、特別なコストはかかっていません。しかし、仮に占有スペースに設置した場合を想定するとなれば、東京都内の通信ビル内におおむね 1 ~ 2 平方メートルを占有し、スペース代金とラック代金を支払うことを想定する必要があります。この場合のスペース費用は、公示単価等の実績値から、多くても年間約 62 万円程度と試算でき、1 ユーザーあたり設置スペースコストは月額 1 円 ~ 3 円の間ということになります。

2-4. 中継システムのインターネット通信コスト

中継システムのコンピュータネットワークは、連携協力組織から無償で協力を受けていること、また、学術ネットワークなどを活用していることから、本システムのために特別に発生している費用はありません。なお、「シン・テレワークシステム」での画面転送は、プロトコルが相当に最適化がされており、通信量はとても小さく、また、テレワークでは主に昼間の 8 時間程度の間に通信が行なわれます。そこで、もし、仮に国のお金でインターネット接続回線を購入していると仮定しして計算したとすると、全時間 (24 時間) を平均すると、1 ユーザーあたり送受信全二重で 6kbps 程度の通信量で足りることから、インターネット通信コストは、1 ユーザーあたり月額 1 ~ 3 円前後であると考えられます。

2-5. 「シン・テレワークシステム」の中継システムの発生直接コストのまとめ

したがって、以下のとおりとなります:

1 ユーザーあたり月額コスト
ハードウェアコスト: 2 円 ~ 5 円程度
電気代: 1 円 ~ 3 円程度
設置スペース代: 1 円 ~ 3 円程度
インターネット接続費用: 1 円 ~ 3 円程度
1 ユーザーあたり月額合計コスト: 5 円 ~ 14 円程度

このように、今回の実証実験によって、企業におけるシン・クライアント的なリモートアクセス型テレワークシステムは、意外にも少なく、1 ユーザーあたり 5 円 ~ 14 円のコストで実現できることが分かりました。そして、このわずかなコストだけで、1 人の通勤や移動の削減ができ、新型コロナウイルスの動きを阻害することができます。これが数万人分となれば、感染拡大方向を感染縮小方向に変えることができます (現に、感染は縮小しつつあります)。そして、テレワークの普及が寄与することで、新型コロナウイルスが早期に終息すれば、そのことの経済的価値は、数十兆円にのぼると考えられますので、本実証実験の効果は、何倍もの価値になって返ってくることが期待できます。

 

3. 本日公開の Beta 5 のご案内: ユーザーの皆様からご要望いただいた機能の大半を開発

本日、「シン・テレワークシステム」の大規模な機能追加を行ない、新しいバージョンである「Beta 5」の公開を開始いたしました。「シン・テレワークシステム」を公開後、相当に多くのご意見、ご要望が頻繁に寄せられました。いただいたご要望には個別に返信をできない場合もありましたが、開発チームでは、すべての内容を検討し、その大半について、ゴールデンウィークの期間を活用して開発し、以下のとおり、ほぼすべてを実現いたしました。特に、企業の皆様からいただいた、「社員が社内 LAN にシン・テレワークシステムをインストールした場合の動作を規制したり、動作状況等を一元管理したり、完全に遮断したい」というご要望にお応えすることができるように、そのような企業向け統制機能を充実させました。また、「行政情報システムなどのセキュアな環境でも利用できるようにしてほしい」といったご要望にお応えできるように、行政情報システム適応モードも実装しました。さらに、細かなアップデートも多数あります。これらは、これまでの Beta 2 ~ 4 でも少しずつ機能追加をしてまいりましたが、この 3 週間でご要望に基づいて開発し、Beta 5 で利用可能となっている新しい機能について、下記のとおり、まとめてご案内をいたします。

○ 企業の皆様のための安全、安心を実現する機能

「シン・テレワークシステム」の最初のバージョンを 2020 年 4 月 21 日に公開した際は、必要最小限の機能のみを実装しておりました。その後、各種企業の社内 LAN の管理者の方々の視点からみた必要な需要・ご要望を、皆様から多数教えていただきました。そして、これまでに、いただいているご要望のうちほとんどを、以下のとおり実装いたしました。

 

ご要望 1. 「シン・テレワークシステム」を社員が自ら導入した場合に、その動作を社内 LAN 管理者に規制したり、動作状況を一元把握したりしたい。

実装機能 1. 「エンタープライズ環境用ポリシー規制サーバー」機能を実装しました。社内 LAN での規制・統制ができるようになりました。

シン・テレワークシステム開発チームは、現在、企業環境における社内 LAN 管理者の皆様による管理上のご要望を最優先して考えています。この度、企業環境において、「シン・テレワークシステム」を社員が自ら導入した場合に、その動作を適切に規制したり、動作状況を一元把握したりしたいというご要望が数多く寄せられました。そこで、新たに「エンタープライズ環境用ポリシー規制サーバー」の仕組みを実装しました。社内 LAN の管理者は、任意の Web サーバー (Apache、IIS、NGINX 等) 上にポリシーを記述したテキストファイルを設置するだけで、その社内 LAN のすべての「シン・テレワークシステム」のサーバーコンピュータは、ポリシーに基づいた規制を受けるようになります。ポリシー規制サーバーは単純な HTTPS サーバーを利用することができ、特殊なソフトウェアのインストールは不要です。規制は細かく設定することができます。たとえば、OTPMAC アドレス認証検疫の実施の強制、「ファイル共有機能」の利用の強制無効化、「役員からのメッセージ」等の強制表示等が可能です。端末ごとに異なるポリシーを設定することも可能です。

 

ご要望 2. パスワードや証明書のみでの認証は、不安である。二要素認証 (OTP) 等ができるようにしてほしい。

実装機能 2. 「二要素認証 (ワンタイムパスワード、OTP) 機能」を実装しました。

一部の企業では、セキュリティポリシーにより、リモートアクセスにおける二要素認証を必須としている場合があります。「シン・テレワークシステム」は、新たに、そのような企業の既存ポリシーに適合するために、ワンタイムパスワード (OTP) 機能を実装しました。サーバー側の設定で、予め OTP 送付先メールアドレスを指定しておく必要があります。接続試行時には、メールアドレスに OTP が毎回届きます。これにより、パスワードや証明書認証に先立ち、OTP による認証で多層防御が可能となり、悪意のある侵入者を、ユーザー認証の一歩手前で門前払いすることができるようになりました。
なお、前述の「エンタープライズ環境用ポリシー規制サーバー」でポリシーを配布することにより、社内 LAN 上の全ユーザーが OTP の利用をすることを強制することができます。

 

ご要望 3. IC カード (スマートカード) を利用したユーザー認証ができるようにしてほしい。

実装機能 3. 「マイナンバーカード (個人番号カード) を用いたユーザー認証機能」を実装しました。

「シン・テレワークシステム」は、Beta 4 まではパスワード認証と証明書認証のみをサポートしていました。さらにセキュアな、「スマートカードを用いたユーザー認証」を必要とするユーザーの方々のために、「マイナンバーカードを用いたユーザー認証機能」を実装しました。マイナンバーカードは現在普及の傾向にあります。マイナンバーカードは、発行時に、4 桁の PIN コードで保護される「利用者証明用電子証明書」が格納されています (マイナンバーカード所有者が不要の申し出をした場合をのぞく)。マイナンバーカードに対応した IC カードリーダーをすでにお持ちの場合は、この電子証明書を用いたユーザー認証が可能です。マイナンバーカード内の証明書の秘密鍵は、たとえ所有者本人や発行者であっても抽出することができませんので、これは現段階の技術で利用可能なユーザー認証方法の中でも最も安全なものの 1 つであるということができます。
※ 「シン・テレワークシステム」は無償・無保証の実証実験であり、すべての環境や機器で動作するとは限りません。本機能を利用するために、マイナンバーカードや IC カードリーダーを取得するために費用がかかる場合がありますが、動作しなかった場合でも、自己負担となります。
※ PIN コードを複数回間違えた場合は、マイナンバーカードがロックされます。この場合、市役所窓口でロック解除する必要があります。

 

ご要望 4. クライアント端末検疫機能を実装してほしい。

実装機能 4. 「クライアント端末検疫機能」を実装しました。アンチウイルスと Windows Update の実施検査ができます。

新たに実装したクライアント端末検疫機能とは、クライアントがサーバーに接続をする際に、クライアント側で「アンチウイルスソフトがインストールされておりパターンファイルがアップデートされているかどうか」、および「最近 Windows Update が適用されているかどうか」を自動的に毎回検査し、検査に不合格であった場合は、合格するまで接続を拒否する機能です。サーバー側の設定ツールで、クライアント検疫機能を有効するだけで、簡単に利用することができます。

なお、前述の「エンタープライズ環境用ポリシー規制サーバー」でポリシーを配布することにより、社内 LAN 上の全ユーザーに、クライアント端末検疫機能の利用を強制することができます。

 

ご要望 5. クライアント端末の MAC アドレス認証機能を実装してほしい。MAC アドレスが事前登録されていない不正な端末から、接続できないようにしてほしい。

実装機能 5. 「クライアント端末 MAC アドレス認証機能」を実装しました。

新たに実装したクライアント MAC アドレス認証機能により、社員は、予め自宅の PC などの MAC アドレスを、「シン・テレワークシステムサーバー」の側に登録しておく必要が生じます。MAC アドレスが異なっている場合は、リモート接続ができず、ユーザー認証のフェーズに進みません。これにより、たとえコンピュータ ID・パスワード・OTP などが破られたとしても、クライアント端末の登録 MAC アドレスが一致しない限り、悪意がある第三者はリモート接続ができなくなります。

なお、前述の「エンタープライズ環境用ポリシー規制サーバー」でポリシーを配布することにより、社内 LAN 上の全ユーザーに、クライアント端末 MAC アドレス認証機能の利用を強制することができます。

 

ご要望 6. 社内 HTTP プロキシを経由するモードの場合、User-Agent の値を元に「シン・テレワークシステム」の通信か否かを判別できるようにしてほしい。

実装機能 6. 「社内 HTTP プロキシ経由時の User-Agent の値の自由設定変更機能」を実装しました。

「シン・テレワークシステム サーバー」と「シン・テレワークシステム クライアント」のプロキシ設定の画面で、User-Agent の値を自由に変更することができるようになりました。これにより、ユーザーまたは管理者は、特徴的な User-Agent の値を HTTP プロキシ使用時に毎回送出することができるようになりました。HTTP プロキシの側では、その値を記録することにより、ある通信が「シン・テレワークシステム」のものであるかどうかを機械的に判別することができるようになりました。

 

ご要望 7. 社内 LAN からの完全利用遮断機能を実現してほしい。

実装機能 7.「シン・テレワークシステム」の利用禁止規制申請の仕組みを作り、運用を開始しました。

IP アドレス単位で、その IP アドレスの利用権組織の代表者様の名義で、電子メールにて IPA あてに申請をしていただくことにより、当該 IP アドレスからの「シン・テレワークシステム」の利用を一切遮断することができるようになりました。また、その際のユーザーからの問い合わせおよび苦情申し出先の組織名・部署名および連絡先を表示することができます。

 

○ 行政機関等での行政情報システム端末においても利用可能とする機能

ご要望 8. 行政情報システムにおいてファイアウォールに設定をしたいので、通信先の IP アドレスのリスト (ホワイトリスト) を提供してほしい

実装機能 8. 「行政情報システム適応モード」を実装し、FW に登録可能な IP アドレスのホワイトリストを公開しました。

高レベルなセキュリティが設定されている行政情報システム等には、インターネットとの間の通信はファイアウォール等でデフォルトで遮断されており、事前に申請したクラウドサービス等との間でのみ通信が可能となっているものがあります。そこで、新たに「行政情報システム適応モード (中継システムの IP 範囲を限定)」機能を実装しました。インストール時に「行政情報システム適応モード」を有効にすると、限定された 30 個程度の固定の IP アドレス (ホワイトリスト IP アドレス) との間でのみ通信が行なわれるようになります。行政機関等のネットワーク管理者は、自組織内の端末で「シン・テレワークシステム サーバー」を「行政情報システム適応モード」でインストールし、予め公開されている IP アドレスの一覧をファイアウォールに設置することにより、「シン・テレワークシステム」を用いた職員の在宅勤務が可能になります。

 

○ より一層のテレワーク機能性・快適性を実現する機能

ご要望 9. 自宅の PC はマルチディスプレイであるが、職場の PC に接続した場合にマルチディスプレイで作業ができるようにして欲しい

実装機能 9. 「マルチディスプレイ機能」を実装しました。

「職場の PC」にディスプレイが 1 枚しかない場合でも、自宅の PC にディスプレイが 2 枚以上あれば、自宅から職場の PC をリモート操作する際にマルチディスプレイ化して、快適に操作することができるようになりました。
これにより、職場の PC がマルチディスプレイである場合はもちろんのこと、職場の PC のディスプレイが 1 枚のみしかない場合でも、自宅のマルチディスプレイ環境から、「シン・テレワークシステム」で職場の PC にログインし、大幅に快適に仕事ができるようになりました。
※ 職場の PC および自宅の PC の両方が Windows 7 以降で、かつ、職場の PC に 「シン・テレワークシステム サーバー」が「システムモード」でインストールされている必要があります。

 

ご要望 10. 職場の PC にインストールされているテレビ会議システム (Teams, Skype, Zoom など) でのテレビ会議を、自宅のクライアント端末のマイクとカメラで利用したい

実装機能 10. クライアント端末側のカメラとマイクで職場内のテレビ会議ソフトを利用できる機能を実装しました。

自宅のクライアント端末のマイクとカメラがリモート越しに有効となり、職場の PC にインストールされているテレビ会議システム (Teams, Skype, Zoom など) でのテレビ会議をすることができるオプションを追加しました。
※ 職場の PC および自宅の PC の両方が Windows 10 で、かつ、職場の PC に 「シン・テレワークシステム サーバー」が「システムモード」でインストールされている必要があります。

その他 - ソフトウェアのデジタル証明書が IPA の証明書になりました

2020 年 4 月 21 日に「シン・テレワークシステム」のソフトウェアの公開を 1 日でも早く優先するため、インストーラのデジタル署名は開発メンバーの 1 名の個人名になっていました。その後、IPA 名義のデジタル証明書が納品されたことから、Beta 5 以降は IPA の証明書表示名がインストール時に表示されるようになります。

 

 

4. 今後の予定

「シン・テレワークシステム」においては、上記のとおり、2020 年 4 月 21 日の初公開後に、ユーザーの皆様からのご要望の多くにお応えし、その機能を次々に実現してきました。今後も引き続き、ユーザーの皆様からのご意見をできるだけ実現したいと考えております。

また、実証実験の期間は当初 2020 年 10 月 31 日までと設定しておりますが、本実証実験は、上記のとおり、極めて低コストで継続的に運営できることが分かりました。今後は、実証実験の進捗および新型コロナウイルスに係る危機が継続しているかどうかを踏まえて、実験期間について必要に応じて変更をする場合があります。

本実証実験で使用している ARM ベースの小型コンピュータボードは、低いコストで構築し短時間で増設することができることが分かりました。本システムは数十万ユーザーに耐えることができるスケーラビリティを目指したプログラミングが行なわれていることから、ユーザー数が今後増加した場合は、1 ユーザーあたりのコストをさらに低減しつつ、全体のキャパシティを増加させる予定です。

 

5. 「シン・テレワークシステム」実証実験の意義

「シン・テレワークシステムの実証実験の意義は何ですか?」とよく聞かれます。シン・テレワークシステムは、緊急事態宣言が発令された前後に初めて企画されたものであり、その意義については深く考慮する時間的余裕はありませんでしたが、現在は、以下のようないくつかの意義が見出せると思います。

一つ目は、シンクライアント・リモートアクセス型のテレワークシステムにこれまで触れたことがなかった企業や社員の方々に、初めてその利便性を体験する機会を提供することにあります。

一部の企業では、以前より VDI や VPN を導入されていました。それらの企業ではすでにテレワークが可能であることから、あえて「シン・テレワークシステム」を導入した人はいないはずです。したがって、公開後わずか 3 週間で利用を開始した 2 万人のユーザーの方々のほとんどは、これまでまだテレワークの準備ができていなかった企業の方々であると思われます。それらの企業の方々がテレワークという初めての体験を実際に行なうことができ、同時に、新型コロナウイルスの感染拡大リスクも避けることができるようになったことは、価値があると考えております。

これは、また、市場経済の活性化にもつながります。「シン・テレワークシステム」は無償・無保証の実証実験であることから、この機会にテレワークの便利さを十分に実感した企業や社員は、その後、有償・保証付きの適切なテレワークシステムを導入したいと考えることでしょう。これにより、企業の情報処理が促進されるとともに、テレワーク市場や通信市場が活性化します。さらに、数多くの社員が、自己の希望に基づいて、一部の日を自宅の PC から勤務できるようになり、日本全体の幸福度が増大します。

二つ目は、本格的かつ大規模なシンクライアント・リモートアクセス型のテレワークシステムを構築する場合において発生するコストの下限値を調べることにあります。

「シン・テレワークシステム」は、SSL-VPN 中継システムをセンタ側に設置していますが、その VPN 通信装置のハードウェアコスト、電気代、スペース代、インターネット回線費用などの必ずかかるランニングコストの下限値は、未知でした。本実証実験により、今のところ、十分な快適性・実用性を実現しつつ、工夫をすれば、1 ユーザーあたりわずか 5 円 ~ 14 円程度の月額コストで、リモートアクセスによるシンクライアント型テレワークシステムが実現できることが分かりました。これは、一般的に予想されている金額よりもかなり少ない金額であり、価値のある新たな知見です。

この実証実験の中継システムが、今後も一定期間、安定継続できたとすれば、オンプレミス型のリモートアクセス装置や VDI サーバーを企業内に導入するよりも、本方式のように、センター型で通信を折り返す仕組みのほうが、むしろ高品質・高可用性・低コストを実現できるのではないかという、新たな興味深い可能性を見いだすこともできると考えられます。そして、テレワークサービス開発者やシステムインテグレータは、今後、このコスト下限値を参考にしてセンタ側設置のリモートアクセスサービスを実装できるようになり、様々な有償の付加的サービス (サポート、保証、SLA など) を顧客のために設計することが可能になります。

三つ目は、情報処理の分野と通信の分野との連携の実現にあります。

長らく、日本ではコンピュータや企業建物やデータセンタ内での情報処理やソフトウェアの領域と、通信の領域とが、別々のものとして扱われてきました。本実証実験では、その 2 つの異なる部門同士が十分に連携をして、価値があるシステムを短期間で構築することができています。今後も、日本国内においてコンピュータ側・端末側と、通信回線側とが、よく連携をして、個別の場合と比較してより、良いシステムが構築できるようになれば、この手法には価値があると思います。

四つ目は、より広い視点での意義において、この数十年間で人類が手にしたソフトウェアや通信技術およびその組み合わせが、新型のウイルスの感染拡大という脅威と戦い、従来そのような手段を持っていなかった場合と比較して、被害をかなり軽減でき、最終的に疫病に勝利することができるという経験を、人類史上初めて体験するという点にあります。

この目標は、「シン・テレワークシステム」などの企業向けリモートアクセスシステムだけではなく、電子メールを初めとした従来からのツールや、各種のテレビ会議システム、リアルタイムコラボレーションシステムなどの最新のツールと、その他の各種アプリケーションやクラウドデータ処理などの連合軍によって成されます。これらのソフトウェアの集合と、インターネットおよび通信システムとを組み合わせた現在の人間側の攻勢は、間もなく新型コロナウイルスの陣営を段階的に無力化し、最後には完全に途絶することができるという期待を持つことが十分にできます。それだけではありません。今回の件で経験とノウハウを積んだ多くの人々は、広く分散してその知見を鮮明に記憶し、次回の危機に備えることができます。新型コロナウイルスが終息した後も、人類は、これからも数多く発生する、過去長年の間、偶発時に対処できなかったような困難な脅威の多くを、これからは、強く多様性に富んださまざまなソフトウェアや通信技術によって乗り越えることができるようになります。

今、多くの努力を払い、新型コロナウイルスに打ち勝つことを目標に、ソフトウェアや通信技術およびその利用方法を十分に進化させることができたならば、その後、人類は、長い黄金時代を迎えることになるのです。

 

 


トップ | 中間報告 | 自治体テレワーク for LGWAN | HTML5 Web 版クライアント (Mac, Chromebook 対応) | バージョン履歴 | ダウンロード | ユーザー数グラフ
入門 - 今すぐ使ってみよう | クライアント検疫機能・MAC アドレス認証機能 | 二要素認証・ワンタイムパスワード (OTP) 機能 | マイナンバーカードを用いたユーザー認証機能 | 仮想マルチディスプレイ機能
行政情報システムでの利用 | 組織 LAN におけるポリシー規制サーバー設置 | 企業システムにおける VM・HDD クローン対応 | Wake on LAN リモート電源 ON 機能 | 画面撮影・キャプチャ防止のための電子透かし機能
FAQ | 掲示板 (ユーザーサポートフォーラム) | 相互リンク集 | お問い合わせ | 使用条件 | 組織 LAN における利用規制申請 | NTT 東日本の 「シン・テレワークシステム」 サイト


© 2020-2021 独立行政法人情報処理推進機構 (IPA) 産業サイバーセキュリティセンター サイバー技術研究室
© 2020-2021 東日本電信電話株式会社 (NTT 東日本) 特殊局