NTT 東日本 - IPA 「シン・テレワークシステム」 - 2020/07/09 - Beta 6 多数の新機能公開について

「シン・テレワークシステム」 Beta 6 多数の新機能公開について

2020 年 7 月 9 日 「シン・テレワークシステム」 開発チーム

一昨日、2020 年 7 月 7 日 (七夕) をもちまして、「シン・テレワークシステム」のユーザー数が 5 万人を超えました。本実証実験へのご参加をいただき、誠にありがとうございます。「シン・テレワークシステム」のプログラムは、多数のユーザーの方々からいただいたフィードバックに基づいて、毎晩開発を続けています。

NTT 東日本 - IPA 「シン・テレワークシステム」 の現在のユーザー数 (リアルタイム): 488,311 人
 

本日、「シン・テレワークシステム」 の新しいバージョン 「Beta 6」 をリリースいたします。

この Beta 6 では、ユーザーの方々からご要望をいただいたおもしろい便利機能やセキュリティ機能を、いくつか追加で開発しました。特に、社内 LAN 内のサーバー側となる端末の電源を遠隔から ON にする機能と、画面撮影・キャプチャ防止のための電子透かし機能は、企業や官公庁における利用時に大変有益なものであると思われます。

新機能の一覧は、下記のとおりです。

【一般機能】

1. Wake on LAN 機能 (接続先端末の電源を自宅から ON する機能)
2. 画面撮影・キャプチャ防止のための電子透かし機能
3. 固有 ID 初期化機能 (VDI クローン対応)
4. クライアント MAC アドレス認証のポリシーサーバーによるリスト一元管理機能

【行政情報システム用の機能】

5. 完全閉域化 FW 機能 (リモート利用中はユーザー自宅 PC とインターネットとの間を完全に遮断)
6. ポリシーサーバーによるサーバー端末の明示的着信許可機能 (リストに登録されていないサーバー端末は動作禁止する)

以下で、それぞれの新機能について簡単に説明をいたします。また、リンクをクリックしていただくと、詳しい説明のページが表示されます。

1. Wake on LAN 機能 (接続先端末の電源を自宅から ON する機能)

シン・テレワークシステムの利用様態の統計を分析してみたところ、毎日、平日 (月曜日から金曜日) は、約 40% のサーバー側端末の電源が、朝 ON になり、夜 OFF になっていることが判明しました。図 1 のとおり、おもしろい形の突起状のグラフを描いています。我々のようなソフトウェア・エンジニアは、開発、ビルド、デバッグの作業上、たいていはオフィスや自宅の開発用 PC 端末の電源を常時 ON にしているため、なぜ、夜間は電源が OFF にされる端末が多いのか、その理由がまったく想像がつきませんでした。しかし、企業や自治体のエンタープライズ・システムに詳しい方のお話をお聞きしますと、比較的多くの組織では、現在のようなテレワークが推奨されている状況下でも、少なくとも 1 名の「PC の電源を入れる係」がオフィスに出勤し、朝、PC 端末の電源を入れて回り、夜は消して回る (なお、電源を消すことはユーザー自らリモートでも可能である) ルールが一般的であることが分かりました。これは、省エネ上非常に素晴らしいことですが、一方で、PC の電源を入れる係の方は、朝早く出勤しなければならず、大変です。

図 1. シン・テレワークシステムの中継システムにおける電源 ON 状態のサーバー端末の台数のおもしろい突起状のグラフ

そこで、毎朝、テレワークを開始しようとする社員が、自分の端末の PC の電源だけを遠隔から投入することができれば、誰か 1 名が朝早く出勤する必要がなくなり、便利・安全であると考えました。

遠隔の PC の電源を入れるためには、従来より、「Wake on LAN」という標準化された仕組みがあり、多くの PC 端末に標準搭載されています。ところが、Wake on LAN を利用するためには特殊なソフトウェアまたは「Wake on LAN アプライアンス」のような装置の導入が必要であり、一般的な企業や自治体ではそのための仕組みを新たに構築・導入することが困難な場合も多くあります。

そのため、今回、「シン・テレワークシステム」に「Wake on LAN」の機能を標準機能として追加し、遠隔で PC の電源を入れることができるようにしました。事前に「シン・テレワークシステム サーバー」の側で設定をしておけば、社員は、自分の PC の電源を自宅から入れることができます。電源を切る方法は、これまでどおり Windows シャットダウンコマンドを用いることができます。これにより、オフィスに 1 名も出勤する必要がなくなり、新型コロナウイルスの感染防止効果を期待することができます。

図 2 は、Wake on LAN 機能のイメージ図です。

図 2. Wake on LAN 機能のイメージ図

図 3 は、Wake on LAN 機能を起動するユーザー側の操作画面です。

図 3. Wake on LAN 機能を起動するユーザー側の操作画面

なお、Wake on LAN 機能の仕組み上、職場の LAN 内にある PC のうち 1 台のみ、常に電源が入っている必要があります。たとえば職場の LAN に 100 台の PC がある場合、わずか 1 台の PC の電源を入れておくだけで、それら 100 台の PC のうち特定の PC を個別に指定して電源を ON することができます。常時電源 ON にする必要がある 1 台のマシンは、消費電力が少ないノート PC や古くなった旧型のマシンなどを有効活用することができます。

Wake on LAN 機能は、専用の装置や、複雑なコマンドや「MAC アドレス」の入力は不要で、GUI 上ですべて完結します。

• 詳しくは、「Wake on LAN リモート電源 ON 機能」をご覧ください。

2. 画面撮影・キャプチャ防止のための電子透かし機能

「シン・テレワークシステム」には、ポリシーサーバーによる統制機能があります。システム管理者は、自社内のすべての「シン・テレワークシステム」のユーザーに対して、ファイルの持ち出しやクリップボード経由の情報コピーを禁止することができます。

しかしながら、たとえファイルやクリップボードのコピーを禁止していたとしても、テレワーク中の社員は、クライアント PC の画面を撮影 (キャプチャ) することにより、カジュアルに、画面に表示されている情報を画像として持ち出しできてしまいます。通常の PC のディスプレイの画面を、デジタルカメラやスマートフォンで撮影することは、物理世界上の出来事です。端末内のソフトウェアによって、禁止することは不可能です。終局的な解決策としては、ヘッドマウント・ディスプレイなどの特殊なモニタを用いることを強制し、それ以外のハードウェアでは表示することができない仕組みを作ることが挙げられますが、そのような特殊なディスプレイを用いてテレワークを強いることは、大変なことであり、現実的ではありません。

さて、この撮影問題は、新しいものではなく、従来も、職場の PC の画面や職場の書類等を撮影 (キャプチャ) して持ち出すことは可能でした。

そこで、この問題を十分実用的に解決する方法として、画面への電子透かしの埋め込みを思い付きました。Beta 6 では、システム管理者が指定した場合、クライアント PC の画面上に電子透かしが強制的に表示されるようになる機能を追加しました。

これにより、社員が出勤て職場 PC のデスクトップを直接操作する場合よりも、自宅から「シン・テレワークシステム」を用いてリモート作業を行なっている場合のほうが、社員に対して画面撮影・キャプチャを抑制することができるようになり、テレワーク時のほうが職場作業時よりもセキュリティ上より一層安全になるというおもしろい逆転現象が発生することとなります。

電子透かしは、図 4 のように、画面全体に細かい文字でまんべんなく表示されます。
(説明のために濃い文字で表示。実際には薄い文字で作業時は気になりません。)

図 4. 画面全体にまんべんなく表示される電子透かし文字列 強調イメージ
(説明のために濃い文字で表示。実際には薄い文字で作業時は気になりません。)

電子透かしを拡大すると、図 5 のように、識別文字列が記載されています。
(説明のために濃い文字で表示。実際には薄い文字で作業時は気になりません。)

図 5. 埋め込まれる電子透かし文字列の拡大図 強調イメージ
(説明のために濃い文字で表示。実際には薄い文字で作業時は気になりません。)

なお、図 4、図 5 は、本ドキュメントでの説明を容易とするために濃い文字で描画していますが、実際には図 6 のように、薄く、利用している間はあまり意識されないような文字で表示されます。たとえば、PowerPoint を閲覧 / 編集しているイメージは図 6 のようになります。よくみると、電子透かしがまんべんなく画面全体に描画されている様子がわかります。

図 6. 実際の画面の様子

自宅の PC で電子透かしが表示されている画面の情報を、社員がスマートフォンで撮影 (キャプチャ) すると、図 7 のようになります。これを拡大すると、図 8 や図 9 のように、追跡情報がより細かく描画されます。一部の透かし文字は輝度や色の加減で読みづらくなっていますが、文字列の一部分が残存していれば、どのユーザーがどの端末で情報を撮影 (キャプチャ) したのかを後から特定することができます。

図 7. 「図 6」 の画面をカメラで撮影 (キャプチャ) した際のイメージ

図 8. 「図 7」 の撮影画面に埋め込まれている文字列

図 9. 「図 7」 の撮影画面に埋め込まれている文字列

この仕組みにより、ユーザーが自宅で作業を行なう際に、画面をカジュアルに撮影 (キャプチャ) して情報持ち出しをしようとする行為を、強力に抑制することができます。

なお、この電子透かし機能は、ユーザーが自ら設定・解除することができては意味がありません。そこで、社内 LAN のポリシーサーバーにより、システム管理者が一括して強制設定することができるようにしました。

ところで、大変悪意のある情報持ち出し犯人は、手間をかけることにより、撮影 (キャプチャ) した画像からその内容の文字や図を手動で抜き出して、電子透かしを除去した上で、再製することは可能です。この電子透かし機能は、そのような確信犯的な手間のかかる情報持ち出しを完全に防止することはできません。しかしながら、そのような悪意のある情報持ち出し犯人が組織内に仮にすでに存在している場合は、仮にテレワーク利用がなかったとしても、そもそも、その犯人によって既存の多種多様な方法で情報持ち出しがされる可能性があり、根本的には別の問題であるということができます。本機能は、悪意のある情報持ち出し犯人による情報持ち出しを完全に防止するためのものではなく、一般的な社員等によるカジュアルな情報持ち出しを抑制するためのものです。

• 上記の図・写真では、電子透かし部分の説明のため、少し透明度を下げて強調しています。実際の表示では、より透明度が高くなります。適切な透明度がどれくらいかは、各ユーザーの PC のディスプレイによって異なるもので大変難しい問題です。しかし、ユーザーが透明度を自由に変更できてしまっては意味がありません。今後微調整していきたいと思います。
• 詳しくは、「画面撮影・キャプチャ防止のための電子透かし機能」をご覧ください。

3. 固有 ID 初期化機能 (VDI クローン対応)

「シン・テレワークシステム サーバー」を VDI 環境で大規模に導入される際、ディスクイメージを生成してクローンされる手法が利用されている場合があります。

以前のバージョンの「シン・テレワークシステム サーバー」では、インストール後にディスクイメージをクローンしてしまうと、すべての端末で「固有 ID」が同一となってしまう問題がありました。この場合、「コンピュータ ID」が同一となってしまい、うまく端末を特定して接続することができませんでした。

そこで、Beta 6 では、「固有 ID」を初期化する機能を追加しました (図 10)。VDI のディスクイメージを作成される場合、クローン直前に固有 ID を初期化するボタンをクリックしていただき、その後に初期化を実行すると、次回の起動時に固有 ID が初期化されます。

図 10. 「固有 ID」を初期化する VDI クローン対応機能

• 詳しくは、「VDI クローン対応機能」をご覧ください。

4. クライアント MAC アドレス認証のポリシーサーバーによるリスト一元管理機能

「シン・テレワークシステム サーバー」には、クライアント MAC アドレス認証機能が搭載されていますが、以前のバージョンでは、クライアント MAC アドレスの一覧の設定は各サーバー端末の画面上で行なう必要がありました。

Beta 6 では、組織全体に設置されているポリシー規制サーバーがある場合は、ポリシー規制サーバー上でもクライアント MAC アドレスの一覧の設定が可能となりました。これにより、各社員からの MAC アドレス追加・削除の申請を、システム管理者に依頼して行なってもらうことができるようになり、MAC アドレス追加・削除が楽になります。

• 詳しくは、「クライアント MAC アドレス認証機能」および「組織 LAN におけるポリシー規制サーバー設置」をご覧ください。

5. 完全閉域化 FW 機能 (テレワーク中はユーザー自宅 PC とインターネットとの間を完全に遮断)

自治体の行政情報システムなどの極めて高いセキュリティを要する環境においては、自宅の PC と、職場側のサーバー PC との間で、完全な閉域網 (インターネット上のいずれのホストとも通信がされない状態) を構成したい場合があります。

従来のバージョンの「シン・テレワークシステム」でも、職場側 LAN からインターネットへの通信は原則禁止されており、ファイアウォールによりホワイトリスト指定された「シン・テレワークシステム」の中継システム宛の通信のみを許可することで、職場側の閉域化は可能でした。

しかしながら、自宅側の PC は、テレワーク中であってもインターネットとの任意の通信が可能でした。自宅側の PC のインターネットの出口に、職場側と同様にデフォルトですべての通信を遮断するファイアウォールを設置することで、この問題は原理上は解決可能でしたが、自宅側の WAN 部分にファイアウォールを導入する必要があり、非現実的でした。

そこで、Beta 6 では、接続先サーバーが行政情報システム適応モードで動作している場合は、クライアント側で「完全閉域化ファイアウォール機能」を動作することができるようにしました。「完全閉域化ファイアウォール機能」は、Windows のカーネルモードに挿入する強力な通信フィルタにより、自宅側の PC と「シン・テレワークシステム」の中継ゲートウェイとの間の通信以外のすべてのインターネット通信を遮断することができる機能です。本機能により、テレワーク中は、自宅 PC と職場 PC との間が、たとえインターネット経由であっても、閉域網 (閉域 SIM や IP-VPN、専用線など) とほぼ同等の閉域性セキュリティを実現することができます。たとえば、テレワーク中は、クライアント PC はマルウェアからの攻撃を受けることも、マルウェアのサーバーとの間の通信を行なうこともできなくなります (図 11)。

これは、行政情報システムを運用されている方からのリクエストによるものです。

図 11. 完全閉域化 FW 機能によりテレワーク中はユーザー自宅 PC とインターネットとの間の通信が完全に遮断され閉域化が可能

「完全閉域化ファイアウォール機能」は、Windows の高い特権レベルで動作するため、ファイアウォールを開始する際に、UAC (ユーザーアカウント制御) のポップアップが表示されます。また、一時的な通信フィルタを Windows カーネルに挿入する仕組みであるため、プロセスを終了すると自動的に通信フィルタは除去されます。自宅 PC に不具合が残ることはありません。カーネルモードのドライバ等のインストールも行ないませんので、安定して完全閉域化を実現することができます。

「完全閉域化ファイアウォール機能」を利用するためには、クライアント PC は Windows Vista 以降である必要があります。

なお、接続先サーバーで「検疫機能」を ON にしている場合は、「完全閉域化ファイアウォール機能」の有効化が強制されます。ユーザーは、自宅側 PC で「完全閉域化ファイアウォール機能」の立ち上げをキャンセルすることはできません (キャンセルした場合は、テレワークの通信も切断されます)。接続先サーバーで「検疫機能」を ON にしていない場合は、「完全閉域化ファイアウォール機能」の有効化はユーザーの任意となります。

図 12 は、「完全閉域化ファイアウォール機能」の立ち上げの画面です。

図 12. 「完全閉域化ファイアウォール機能」の立ち上げの画面

図 13 は、「完全閉域化ファイアウォール機能」が有効な状態で表示される画面です。この画面は、背後に移動することができ、テレワーク中は非表示にすることができます。この画面を閉じると、「完全閉域化ファイアウォール機能」は終了します。接続先サーバーで「検疫機能」を ON にしている場合は、「完全閉域化ファイアウォール機能」を終了させると、テレワーク通信も自動的に切断されます。

図 13. 「完全閉域化ファイアウォール機能」が有効な間常に表示されている画面

• 詳しくは、「行政情報システムでの利用」をご覧ください。

6. ポリシーサーバーによるサーバー端末を指定した明示的着信許可機能 (リストに登録されていないサーバー端末は動作禁止する)

「行政情報システム適応モード」を有効としている場合、サーバー側端末の MAC アドレスをポリシーサーバーに設定し、そのポリシーサーバーに登録されている MAC アドレスでのみ「シン・テレワークシステム サーバー」の着信機能が動作するような制限機能を追加しました。

これにより、行政情報システムにおいて、多数の職員がそれぞれの端末に「シン・テレワークシステム サーバー」をインストールしている状態でも、システム管理者は、各端末を特定して、明示的に許可した端末のみがサーバーとして動作するように制御を行なうことができます。行政システム内におけるセキュリティポリシー上、そのような特定が必要な場合や、同時接続数を制限したい場合などに有効です。

これは、行政情報システムを運用されている方からのリクエストによるものです。

• 詳しくは、「行政情報システムでの利用」をご覧ください。