2020年6月29日 / 最終更新日 : 2022年12月9日 MikoshibaHiroyuki セキュリティ

SoftEtherVPN のみでテレワーク作成したときと、「シン・テレワークシステム」との違い

NTT 東日本 – IPA 「シン・テレワークシステム」のホームページから

https://telework.cyber.ipa.go.jp/news/

を6月15日に話題にしましたが、今日6月29日現在で、43,669人で、この2週間にも、8300人も利用者が増えています。(2021.07.30現在で、167,945 人 が使っている)

自前のテレワークシステムを、「シン・テレワークシステム」のコアとなるソフトSoftEtherVPNから構築してみましたが、その所感です。

「シン・テレワークシステム」をSoftEtherVPNベースで構築した場合

ユーザインターフェイス


まず、取っ掛かりとなるユーザインターフェイスですが、「シン・テレワークシステム」の場合、接続すると、Windowsのリモートデスクトップ画面で、サーバの画面をすぐに表示できるようになっています。ネットワークやITに詳しくない人でもすぐに使える仕組みを採用しています。このコロナ渦の非常事態から、なるべく多くの人のリモート環境をフォローしたいことから、この仕様になっていると思います。

SoftEtherVPNベースでの自前システムだと、リモートでの操作は、UltraVNCによる画面操作であるとか、SSH接続でのコマンド操作での利用であるとか、接続の手段は多彩に用意できますが、その分、事前に仕組みを理解した上での利用になります。事前にUltraVNCの操作説明とか、SSH接続してどのようにシステムを使わせたいかを構築時に決めて、その方針からずれた操作は、SoftEtherVPNのアクセス制御機能で、アプリケーションポートをガードするとか、AWSのネットワークを使っていれば、セキュリティグループの設定で変更したポートのみ空けておくとかの調整が必要と思われます。

設計が多岐に渡って必要になる代わりに、ベースの機能を使って、柔軟にシステムデザインができるとも言えると思います。シン・テレワークシステムは、サーバとクライアントの1対1の接続形態なので、どのサーバに接続してどのように運用するかの接続口の決めが、操作のやり易さになりますが、SoftEtherVPNベースだと、たとえばブリッジ接続して、遠隔同士を同一ネットワークにしてしまうなど前提範囲から広めの設計ができると思われます。

適用システムの範囲

シン・テレワークシステムは、適用システムをWindowsのみに絞っているので、Linux、Macのシステムを構成範囲にはできませんが、SoftEtherVPNベースであれば、Linux、FreeBSD,Solaris,Macなどのマシンを含めて、VPNを作成できますので、Linuxでできたプログラムであるとか、専用の業務用途に特化したLinuxディストリビューションに接続して、その機能を使うことなどもできます。

今はやりのNextCloud ( ownCloud のフォークシステム)を、Ubuntuサーバで用意するとか、ラズパイディストリビューションで用意したりすると、Dropbox、GoogleDrive のようなストレンジサーバを、自前環境に構築して、運用することも可能になります。

ただし、SoftEtherVPNベースにも、注意点があります。私が構築した経験では、ラズパイ用のSoftEtherVPNクライアントは、最新のRasbian Busterではうまく動きませんでした。ラズパイを使うのであれば、1代世代前のRasbian Stretch上で動かす必要があります。また、その場合、クライアントは1つの仮想Hubに対して、同一の遠隔拠点からは1台しか接続できません。さらに、SoftEtherVPNBridgeであれば、各拠点には1台のみです。まあ、これは複数台だとループを作ってしまうし、元々2台は必要ないはずですけど。

セキュリティ

シン・テレワークシステムの導入を考えた場合に、一番考慮に上ってくるのが、セキュリティだと思います。元々のSoftEtherVPNからして、リテラシーの低い人が勝手に企業LANに別セグメントを作り込んでしまうのは、システム管理者からすれば脅威だと思います。シン・テレワークシステムでも、有線LANを使って、リモート接続した後に、無線LANを介して、接続を許可している範囲を超えて、別セグメントに侵入ができてしまうのではないかと。リモート接続を許可する端末については、無線機能をコマンドから無効化しておくなどの施策も必要ではないかと感じます。

つまり、どちらのシステムでも、システムをどのように利用させるかの検討をしっかり行って、セキュリティ区画を設け、ルールを決めた上で、アクセス施策を打っておくのが大切かと思います。

セキュリティの面からすると、シン・テレワークシステムは、その辺のフリーソフトではまねのできない豊富な認証機能が使えるのはポイントが高いと思います。さらにその上に、

クライアント検疫機能・MAC アドレス認証機能、二要素認証・ワンタイムパスワード (OTP) 機能、マイナンバーカードを用いたユーザー認証機能を、短期間に機能追加して、実装しているのはすごいと思います。

ホームページにある、「新コロナウィルスと人間の智慧によって作成され通信回線によって媒介される各種のリモートワークのためのプログラムコードとの戦い」にどうか勝利することを願わずにはいられません。

※ その後、2020 年 7 月 9 日「シン・テレワークシステム」 Beta 6 多数の新機能公開の「5. 完全閉域化 FW 機能 (テレワーク中はユーザー自宅 PC とインターネットとの間を完全に遮断) 」が対応されたので、上記は心配なくなったようです。たぶん、SecureNATを使っているのだと思いますが。・・・いや、中継ラズパイがNATしているんか?

カテゴリー
セキュリティネットワークラズパイLinux仮想システム
タグ
ネットワーク

前の記事

ラズパイACCESSPOINTにMotioneyeをセットアップしてドライブレコーダーにする
2020年6月28日
ネットワーク

次の記事

Windowsパソコン上のVirtualBoxで、PIXEL for PCからMotioneyeを動かして、監視カメラにする
2020年7月1日