手軽にリモートデスクトップ環境を実現できるシン・テレワークシステムには、簡易的なユーザー認証機能が備わっており、事前にユーザー登録などを行わなくても使えるのが強みのひとつです。この簡易ユーザー認証は、1台のPCについて1つのパスワードを設定する仕組みのため、複数のユーザーで共用PCをリモードデスクトップとして使いたい場合などには、柔軟に対応することができません。

これに対して、セキュリティオプションとして用意されている「高度なユーザ認証機能」を導入すれば、より柔軟なユーザー認証を利用できるようになります。「高度なユーザ認証機能」では、マイナンバーカードを使った認証もサポートしており、より安全性の高い接続を実現できます。今回は、この「高度なユーザ認証機能」を紹介しましょう。

登録済みのユーザー情報を使った認証で接続を管理する

シン・テレワークシステムの「高度なユーザ認証機能」では、ユーザー名とパスワードを使った認証や、固有の電子証明書を使った認証など、状況に応じていくつかの認証方法を選ぶことができます。「高度なユーザ認証機能」を利用するには、まずサーバ側(会社のPC)アプリでセキュリティ設定画面を開いて、「高度なユーザ認証機能の設定」欄にある「高度なユーザ認証機能を使用する」という項目にチェックを入れます。そして、その下にある[ユーザの管理]というボタンをクリックしましょう。

  • 「高度なユーザ認証機能」を有効にする

    「高度なユーザ認証機能」を有効にする

次のように、管理画面が表示されます。接続に使用するユーザー情報を登録しなくてはいけないので、[新規作成]をクリックしてください。

  • 高度なユーザ認証機能では複数のユーザを登録できる

    「高度なユーザ認証機能」では複数のユーザーを登録できる

ユーザーの新規作成画面が表示されたら、まずは任意のユーザー名を入力しましょう。アカウントの有効期限も指定しておくとより安全です。「高度なユーザ認証機能」ではさまざまな認証方法がサポートされていますが、まずは最も基本となるユーザー名とパスワードによる認証を有効にしてみます。「認証方法」の欄で[パスワード認証]を選択した上で、左上の「パスワード認証」の欄で任意のパスワードを設定してください。

  • 新規ユーザの作成画面。ユーザ毎に認証方法を指定できる

    新規ユーザーの作成画面。ユーザーごとに認証方法を指定できる

[OK]ボタンをクリックすれば、ユーザーが作成されて、下図のように一覧に表示されます。

  • 新規にユーザが登録された

    新規にユーザーが登録された

以上で、サーバ側の準備は完了です。続いてクライアント側のPC(自宅のPC)でクライアントアプリを起動して、サーバ側PCに接続してみましょう。次のように「高度なユーザー認証」という画面が表示されるので、認証方法として「パスワード認証」を選択し、サーバ側で作成したユーザ名とパスワードを入力して[OK]をクリックします。

  • クライアントからの接続時には「高度なユーザ認証」を求められる

    クライアントからの接続時には「高度なユーザ認証」を求められる

認証に成功すれば、リモート接続が確立してサーバ側PCのデスクトップが操作できるようになるはずです。

Webクライアントを使用して接続した場合も、同様にユーザー名とパスワードの入力を求められ、認証に成功すればサーバ側PCのデスクトップが表示されます。

  • ユーザ名とパスワードによる認証はWebクライアントからの接続も可能

    ユーザー名とパスワードによる認証はWebクライアントからの接続も可能

「高度なユーザ認証機能」が簡易ユーザー認証と大きく異なるのは、複数のユーザーを登録することができて、ユーザーごとに認証方法や有効期限を指定したり、パスワードを設定したりできるという点です。ログイン回数や最終ログイン日時もユーザーごとに確認できるため、システム管理者にとってはユーザーの利用状況を把握できるというメリットもあります。

固有証明書によるユーザー認証を利用する

「高度なユーザ認証機能」では、ユーザー名とパスワードによる認証だけでなく、固有のクライアント証明書を使った認証も利用することができます。これは、クライアントごとに固有の電子証明書を用意し、あらかじめサーバに登録した証明書と一致する証明書を持つユーザーだけが接続できるようにするものです。なお、固有証明書によるユーザー認証は、Webクライアントからの接続には対応していないため注意してください。

クライアント証明書は、外部の第三者機関によって公式に発行されたものを使うこともできますが、簡易版として独自に作成して使用することもできます。ここでは、後者の方法を試してみましょう。

固有証明書によるユーザー認証は、さきほどのユーザー名とパスワードによる認証と同様に、ユーザーごとに設定します。まずは「高度なユーザ認証」欄で「ユーザの管理」画面に進んで、設定を行いたいユーザのプロパティを開きます。そして、下図のように認証方法として「固有証明書認証」を選んでください。

  • 認証方法として「固有証明書認証」を選ぶ。証明書は新規で作成することもできる。

    認証方法として「固有証明書認証」を選ぶ。証明書は新規で作成することもできる。

証明書の追加は、右側にある「固有証明書認証」欄で行います。すでに証明書を持っている場合には、[証明書の指定]ボタンから証明書のファイルを追加します。証明書を新規で作成したい場合には、[証明書作成ツール]ボタンをクリックすることで、次のように「新しい証明書の作成」画面が開きます。

  • 「ルート証明書」を選んで必要な情報を記入する

    「ルート証明書」を選んで必要な情報を記入する

簡易的に証明書を作成するだけであれば、証明書の種類は「ルート証明書」を選べば問題ありません。「他の証明書によって署名された証明書」との違いについては説明を省略しますが、簡単に言えば、後者のほうがより正式なフォーマットに則った証明書ということです。

そのほか、名前や所属組織名、有効期間などの必要な情報を記入したら[OK]ボタンをクリックしましょう。

続いて、次のように「証明書と秘密鍵の保存」という画面が表示されるので、保存方法として「PKCS#12」を選択してください。下部の秘密鍵のパスフレーズですが、これは証明書の秘密鍵を使用する際にパスフレーズの入力を求めるかどうかの設定で、パスフレーズを有効にしておいた方がより安全に証明書を運用することができます。

  • PKCS#12形式で証明書を作成

    PKCS#12形式で証明書を作成

入力が完了したら、[OK]ボタンをクリックすれば、次のようにサーバアプリの指定のユーザーに固有証明書が追加されます。

  • 作成した固有証明書が設定されている

    作成した固有証明書が設定されている

以上で、サーバ側の準備は完了です。さて、作成した証明書は「.p12」という拡張子のファイル名で保存されているはずです。クライアントからの接続の際には、毎回ファイルを使用する必要があります。つまり、証明書ファイルを持っているユーザーだけがリモートデスクトップ接続ができるというわけです。

したがって、まずはUSBメモリなどを利用してクライアントPCに証明書ファイルをコピーしましょう。この時、メールなどを使ってインターネット経由で転送しないように注意しましょう。証明書ファイルは鍵の役割を果たすものなので、第三者にコピーされないように注意して取り扱う必要があります。

証明書ファイルの用意ができたら、クライアント側のPCからサーバ側PCに接続してみましょう。「高度なユーザ認証」という画面が表示されたら、認証方法として「証明書認証」を選択し、証明書認証の欄で指定したユーザー用の証明書ファイルを指定してください。

  • クライアントからの接続時には「証明書認証」を選択して、証明書ファイルを指定する

    クライアントからの接続時には「証明書認証」を選択して、証明書ファイルを指定する

[OK]ボタンをクリックすれば認証が行われ、正しい証明書であることが確認できればサーバ側PCのデスクトップが使用できるようになります。