前回紹介した「シン・テレワークシステム」は、手軽にリモートデスクトップ環境を構築して、自宅から会社のWindows PCの利用を実現する便利なツールですが、手軽すぎるだけに初期設定のまま使うとセキュリティ上の不安が残ります。会社によっては、社内のセキュリティポリシーに抵触する場合もあるでしょう。そこで今回は、シン・テレワークシステムをより安全に利用するために用意されている接続オプションの導入方法を紹介します。
ワンタイムパスワード(二要素認証)を導入する
シン・テレワークシステムを使う上でぜひ導入しておきたいのがワンタイムパスワード(OTP)による接続認証です。ワンタイムパスワードは、クライアント(リモートのPC)からサーバPC(会社のPC)に接続する際に、認証サーバから送られてくる認証コードの入力が要求されるようになる仕組みです。
認証コードは毎回ランダムに生成され、あらかじめ指定されていたメールアドレス宛に送られてきます。したがって、認証コードを受け取ることができる人、すなわち指定のメールアドレスの持ち主以外は接続することができなくなります。
ワンタイムパスワードは、通常のパスワード認証と組み合わせて利用することで、「パスワードを知っていること」(知識要素)と「認証コードを受け取る端末を保持している」(所持要素)という2つの条件を満たす場合にのみ接続できるようになります。このような2つの要素を必要とする認証方式は、一般的に「二要素認証」と呼ばれ、近年ではセキュリティ向上のためにできる限り導入することが推奨されています。
シン・テレワークシステムでワンタイムパスワードを有効にするには、まずサーバ側のPCで設定アプリを起動して、[セキュリティ設定]ボタンを押してセキュリティ設定画面を開きます。
右上のほうにワンタイムパスワードに関する設定欄があるので、そこの[ワンタイムパスワード(OTP)機能の設定]ボタンをクリックします。
下図のようにワンタイムパスワードに関する設定ダイアログが表示されたら、「ワンタイムパスワード(OTP)認証機能を有効にする」にチェックを入れた上で、認証コードを送信する先のメールアドレスを入力してください。
このメールアドレスの持ち主だけがこのPCにリモート接続できることになるので、間違えないように注意しましょう。また、下部に記載されている「非常用OTP代替コード」は、何らかの理由で認証コードが受け取れなかった場合に緊急的に使えるコードになります。メモした上で、他人に知られないように注意して保管しておきましょう。
[OK]ボタンをクリックすればワンタイムパスワードの設定は完了です。
続いて、リモートのPCからシン・テレワークシステムのクライアントソフトを立ち上げてサーバ側PCに接続してみましょう。接続が開始されると、次のようにワンタイムパスワードの入力を求める画面が表示されます。
そして、指定してあったメールアドレスに次のような文面のメールが届くはずです。このメールに書かれている6桁の番号が認証コードです。
正しい認証コードを入力すれば、通常通りにパスワード認証に進むことができます。
ワンタイムパスワードは導入が簡単でありながら、得られるセキュリティ向上の効果が大きいので、ぜひ導入することをお勧めします。
セキュアなクライアントのみ接続できるようにする
ワンタイムパスワードと並んで、もう一つ導入しておきたい設定が「クライアント検疫」です。これは、クライアントのPCがセキュアに運用されていない場合は接続を拒否するという機能です。この場合のセキュアな運用とは、アンチウィルスソフトがインストールされてリアルタイム保護機能が有効になっていること、Windows Updateで最新のセキュリティパッチが適用されていることなどを指しています。
クライアント検疫を有効にするには、セキュリティ設定画面の「クライアント端末のセキュリティチェック機能」の欄にある「クライアント検疫の実施」の項目にチェックを入れます。[OK]ボタンを押せば設定が反映されます。
試しにクライアントPCのアンチウィルスソフトを無効にした状態で接続してみたところ、次のようなメッセージが表示されて接続が拒否されてしまいました。
セキュアに運用されていないPCからのリモート接続は、サーバ側のPCをも危険にさらすことになります。そのようなリスクを回避するために、できる限りこの設定を有効にしておくことが推奨されます。
許可されたPCだけが接続できるようにする
より安全にリモートデスクトップを運用したい場合は、あらかじめ許可されたPCだけが接続できるように制限をかけてしまいましょう。それには「MACアドレス認証」を利用します。MACアドレスというのは、PCなどに付属しているネットワーク機器に設定されている固有のIDです。世界中で同じIDにならないように、工場から出荷される段階で付与されるため、仕様上は、MACアドレスが分かれば必ず一つの端末を特定できる仕組みになっています。
シン・テレワークシステムでは、サーバ側の設定で、接続できるクライアントPCのMACアドレスを指定しておくことができます。接続要求があった場合、クライアントPCのMACアドレスを調べて、接続許可されたMACアドレスと一致するかどうかを検証します。
MACアドレス認証を利用するには、まず接続に利用するクライアントPCのMACアドレスを知っておく必要があります。WindowsでMACアドレスを調べるには、まずコントロールパネルで[すべてのコンロトールパネル項目]-[ネットワーク接続]と選択して、下図のようにネットワークアダプタの一覧を表示します。
この中から普段インターネット接続に使用しているネットワークを選んでダブルクリックすると、次のようにネットワーク接続の状態が表示されます。
ここで[詳細]ボタンをクリックすると、次のようにIPなどの詳細情報が表示されます。この中の、「物理アドレス」と書かれた12桁の文字列がMACアドレスです。2文字ずつハイフン(-)やコロン(:)で分けて表示されていることが多いです。
クライアントPCのMACアドレスが分かったら、サーバ側の設定を行いましょう。MACアドレス認証を有効にするには、セキュリティ設定画面の「クライアント端末のセキュリティチェック機能」の欄にある「クライアントMACアドレス認証」の項目にチェックを入れ、隣にある[接続許可MACアドレスの登録]ボタンをクリックします。
次のようにMACアドレスの登録画面が表示されるので、接続を許可するクライアントPCのMACアドレスを記述しましょう。許可するMACアドレスは、改行で区切って複数指定することができます。
以上で、設定は完了です。MACアドレス認証を有効にした状態で、許可されていないクライアントPCから接続を行うと、次のようなメッセージが表示されて接続が拒否されます。
なお、MACアドレス認証を有効にした場合、Webクライアントからの接続も次のように拒否されてしまいます。Webクライアントでは端末のMACアドレスが取得できないためです。
そこで、シン・テレワークシステムのWebクライアントには、仮想的にMACアドレスを利用するオプションが用意されています。Webクライアントの画面の下の方に、「仮想MACアドレス」という項目があります。
ここに12桁の任意の文字列を入力することで、それを仮想的なMACアドレスとして利用できるようになります。当然、サーバ側の許可リストに掲載されているMACアドレスでなければ、接続することはできません。
MACアドレス認証は、特定のPCのみクライアントPCとして利用するようなケースで極めて大きな効果を発揮します。セキュリティ上は、会社のPCへのアクセスは特定のPCに限定することが推奨されるため、MACアドレス認証も有効にしておくべき設定と言えるでしょう。
まだまだあるセキュリティオプション
シン・テレワークシステムには、今回紹介したオプションに加えて、もっと強固なセキュリティを実現するオプションが用意されています。特に興味深いのはマイナンバーカードを利用した認証です。次回は、もう一段階レベルアップしたそれらの認証方法を取り上げます。