IPA(独立行政法人情報処理推進機構)とNTT東日本(東日本電信電話株式会社) は、シンクライアント型VPNテレワークサービスの実証実験システムであるNTT東日本-IPA「シン・テレワークシステム」を共同で緊急構築し、2020年10月31日まで無償で開放する。
早期にテレワークを実現するツールの提供
新型コロナウイルスに関する政府の緊急事態宣言や在宅勤務への社会的要請を受け、多くの企業や組織で在宅勤務環境の整備が急務となっています。時間的な余裕がない状況下で、ユーザー登録や契約を要する本格的なテレワークシステムの環境整備が困難な中小企業・組織も少なくないでしょう。
しかしながら、在宅勤務のためのシステム (シンクライアント、VDI、VPN など) の導入には時間が必要で、間に合わない場合も多くあります。このような非常事態下では、契約や調達を行なうことなく、直ちにインストールでき、簡単に利用開始できる、無償・ユーザー登録不要の、自宅から会社のパソコンを操作することができるシステムが必要となります。
そこで、IPAサイバー技術研究室は、大規模な通信システムの構築・提供・運用等に豊富な知見と技術を有するNTT東日本のコロナ対策プロジェクト特殊局 (仮設) と連携し、多くの方々が同時に、かつ迅速に利用できるテレワークシステムを緊急構築しました。
このような緊急事態に即応するため、関係する大学、企業等の協力を得て、各組織がこれまで調査・研究開発または整備してきたソフトウェア技術や実験用通信インフラを統合することにより、技術開発を短期間で実現しています。
尚、このシステムは、2020年10月31日までの実験期間*1の間、無償提供されます。
本システムは、申込み、契約などは一切不要です。メールアドレスの登録も不要となっています。回線もNTT東日本による回線サービスに限らず、一般的な任意なインターネット回線が利用できます。
そして、企業環境における一般的な HTTP プロキシやファイアウォールにも対応しており、HTTPS (TCP ポート 443) が外向きに通信できる環境であれば、利用が可能です。ルータや FW 等の内側の PC に、ルータや FW の設定に例外設定のポートなどを開けることなく、安全にリモートアクセスができます。
提供元: NTT 東日本 新型コロナウイルス対策プロジェクト 特殊局 & IPA 産業サイバーセキュリティセンター サイバー技術研究室
しかしながら、本システムは開発中のプログラムや中継システムの技術向上を目的として行なう共同実験であり、常時品質が保証される通信サービスではありません。停止や不具合が発生する可能性もありますが、緊急事態下においてテレワークを直ちに必要とされる方々のため、速やかに広く公開することを最優先としています。
本システムはどなたでも即日利用開始が可能で、申込みや、個人情報・メールアドレス等のユーザー登録は一切不要です。尚、本システムを利用されるユーザーの方々への個別のサポートやお問い合わせへの対応、保証の提供はありません。
企業ニーズをくみとった安全な仕組み
本システムは、職場などで使用するPCに専用ソフトウェアをインストールした後、自宅のPCにも同じ専用ソフトウェアをインストールすることで、職場などのPC画面をインターネット経由で自宅PCに転送し、キーボード・マウスの操作を可能にするものです。ユーザーは、職場などの承諾を受けたうえでPCにソフトウェアを自らダウンロード・インストールし、「サーバーID」および「パスワード」を設定して帰宅します。
自宅PCにおいても、専用ソフトウェアをインストールし、「サーバーID」および「パスワード」を入力することで、職場などのPCの画面にリモートアクセスできます。
さらに、企業のセキュリティポリシー上、ファイルの持ち出しを禁止したい場合のため、ファイルの転送を禁止するバージョンも同時に提供されます。職場などのPCと自宅PC間は、今回の実証実験でインターネット上に構築されるセキュアな「分散型クラウドゲートウェイ中継システム」を介して接続されます。これにより職場のPCがプロキシやファイアウォールの内側にあっても、ポート転送や例外設定を追加する必要はない構成となっています。ユーザー認証 (パスワードまたはデジタル証明書) と TLS 1.3 で暗号化されたSSL-VPN 通信チャネルを用い、セキュリティを実現しています。また本システムは、一般的なインターネット回線で利用可能で、特定の通信事業者の回線に限定されません。
システム概要
簡単に会社の PC をシンクライアント化
- 会社の PC に「シン・テレワークシステム サーバー」 をインストールします。次に、自宅の PCに「シン・テレワークシステム クライアント」をインストールします。
- これにより、自宅の PC から、会社の PC を操作することができるようになります。キーボード・マウスの操作が自宅 PC から会社 PC に送信され、画面がリアルタイムで自宅の PC に伝送されます。
- 会社の HTTP プロキシサーバーやファイアウォールの設定を変更することなく利用できます。HTTPS (TCP ポート 443) が外向きに通信できる環境であれば、利用可能です。
- 「グローバル IP アドレス」や「固定 IP アドレス」などが不要です。NAT やブロードバンドルータの内側にある PC に、インターネットからアクセスできます。
- ユーザー登録、申込み、契約は不要で、本日からすぐに利用することができます。
クリップボード、ファイル、プリンタの共有
- ローカルとリモートとの間で、クリップモード、ファイル、プリンタの共有ができます。(動作しない場合もあります)
ファイル持ち出し禁止のセキュリティポリシーへの合致
- サーバー側は 「共有機能無効版」 のインストーラも用意
- 職場のセキュリティポリシーで、ファイルの持ち出しが禁止されている場合 (リモート画面で閲覧・操作は可能であるがファイルを職場外に持ち出してはならない) がある場合に利用可能
セキュリティ
- SSL-VPN 暗号化トンネルでは TLS 1.3 が使用されています。
- ユーザー認証は、単純なパスワード認証のほか、PKI (証明書) 認証や企業の RADIUS サーバーと連携した認証が可能です。
- サーバー側ログの syslog 送付が可能です。
- 接続元 IP アドレスを制限することができます。(IP アドレス単位またはサブネット単位で複数のルールを設定できます。)
システム管理者権限不要
- サーバー側、クライアント側ともにインストールと動作が一般ユーザー権限で可能です。(ただし、一部の機能が制限されます。)
※ 職場の PC にインストールする際には、必ず事前に管理者の承諾を得てください。
各団体や企業の協力で実現
本システムでは、IPAサイバー技術研究室が、各組織の技術と通信インフラの提供を得て、NTT東日本の大規模通信システム運営経験者等と連携をしながら、アプリケーションおよび分散型クラウドゲートウェイ中継システムを構築したものになります。
IPAの未踏ソフトウェア創造事業 (2003年度) の成果であるSoftEther VPN*2のオープンソース版ソースコードのほか、筑波大学における「スケーラブルなストリーム中継処理プログラムの研究」の成果、ソフトイーサ株式会社の企業向けVPN製品「Desktop VPN」のソースコード等の各種技術の無償提供を受け、これらを基礎として、新たに数十万~百万ユーザー程度に対応するキャパシティを目的とした改良を実施しています。
中継システムは、多数のISPと都市部で超高速低遅延に接続されることが重要であることから、株式会社KADOKAWA Connectedの運営する1Tbps級の「ニコニコ動画」のバックボーン、筑波大学OPENプロジェクトの実験ネットワークおよびNICTの超高速研究開発ネットワークテストベッド(JGN)等から通信環境等の無償提供を受け、早期の無償開放が可能となりました。
IPAは、本システムが多くの中小企業・組織において利用されることにより、新型コロナ感染防止のための在宅勤務促進に寄与するとともに、本実証実験に係る各種技術の検証や性能向上等が可能となることを期待しています。
また、今回構築する「分散型クラウドゲートウェイ中継システム」において膨大な負荷が集中的に発生する状況を活用することで、IPAサイバー技術研究室が研究開発中の仮想化技術やサイバー技術研究用インフラ技術、セキュリティ技術、プログラムおよびライブラリの技術向上を図ります。
「シン・テレワークシステム」のソフトウェアは、現在はWindowsにのみ対応しており、以下のWebサイトからダウンロードが可能です。
ダウンロードサイト:https://telework.cyber.ipa.go.jp/news/
*1:本実証実験の進捗および新型コロナウイルスに係る状況によっては、実験期間を延長する場合があります
*2:https://www.ipa.go.jp/files/000006000.pdf
本レポートは、IPA様のプレスリリースを元に作成しております。
ソース:https://www.ipa.go.jp/about/press/20200421.html