クライアント検疫・MACアドレス認証
シン・テレワークシステムを使いたおす(7)
前回は仮想マルチディスプレイと電子透かし機能をご紹介しました。
今回は クライアント検疫・MACアドレス認証 をご紹介します。
クライアント検疫機能
機能の概要
クライアント検疫機能は、シン・テレワークシステムクライアントを使って遠隔操作を接続しようとしているPCが2つの条件を満たしているかどうか検査します。
- アンチウィルスソフトが動作していてパターンファイルがアップデートされているかどうか
- Windows Updateが90日以内に行われたかどうか
これらの条件を満たさないクライアントPCはセキュリティ上ハイリスクと判断して、遠隔操作を拒否できるようになります。
設定方法
設定はごく簡単で、シン・テレワークシステムサーバーのセキュリティ設定を開き、クライアント端末のセキュリティチェック機能の中から”クライアント検疫の実施”のチェックを入れるだけです。
サーバー側の設定を行ったら、あとはクライアントから通常通り接続します。
検疫機能の有効になっているサーバーに接続しようとすると、パスワード入力前にチェック中の画面が表示されます。
無事、チェックに合格すればパスワード入力画面が表示されますのでパスワードを入力します。
動作検証
設定と使い方はこれだけですが、少しだけ踏み込んで動作検証してみましょう。
アンチウィルスソフトが動作していてパターンファイルが最新かどうか
こちらは公式サイトによるとシン・テレワークシステムクライアントソフトがWindowsセキュリティセンターに都度確認をしているとのことです。
というわけで、Windows Defenderのリアルタイム保護を切ってみます。
この状態でクライアント検疫が有効なサーバーに接続しようとすると、下記のメッセージが表示されて接続に失敗しました。
試しにファイアウォールのみをOFFにしてみましたが、こちらは特に影響なくパスワード入力画面が表示されました。
どうやら確認しているのはセキュリティ全体の有効性ではなく、あくまでアンチウィルス機能が動いているかどうかのみのようです。
次に定義ファイルが最新かどうかの検出ですが、Windows Defenderの最新定義ファイルを削除してみました。
最新を削除すると2日前の定義ファイルに戻りましたが、遠隔接続はできてしまいました。
戻る期間が短すぎたのか、Windowsセキュリティセンターでエラーが表示されていないと有効にならないのかもしれません。
Windows Updateが90日以内に行われたかどうか
この条件判定は公式サイトによると
最近インストールされている Windows の Hotfix のうち、最新のものが、90 日以内であるかどうか
https://telework.cyber.ipa.go.jp/advanced_security/
で判断されているそうです。
HotfixとはWindows Updateの適用リストのようなもので、systeminfoコマンドで確認できます。
90日以内の更新プログラムを削除して検証しようかと思いましたが、削除できないプログラム(特にKB4562830は機能更新プログラムでインストール後10日以内でないと消せない)があり検証できませんでした。
Hotfixを見ているということは品質更新プログラムだけでなく機能更新プログラムも90日以内に実施していれば正常と判断される可能性がありますね。
Hotfixにリストが無い(=Windows Updateを一度もしたことがないインストールしたてのWindows)場合はカーネルのタイムスタンプで判定するそうです。
こちらもsysteminfoから”最初のインストール日付”として確認可能です。
クライアントMACアドレス認証機能
MACアドレス物理アドレスともいい、ネットワークインターフェースに1つ割り当てられている英数字12桁のアドレスです。
PC1台に1つではなく、ネットワークインターフェースに1つなのでノートPCのように有線LANと無線LANが搭載されているPCにMACアドレスは2つあります。
ipconfig /all コマンドを実行することでPCに搭載されているネットワークインターフェースの一覧とMACアドレス(物理アドレス)の一覧が表示されます。
あらかじめシン・テレワークシステムサーバーにMACアドレス許可リストを登録しておくと、登録済みMACアドレスのPCからのみ遠隔操作を受け付け、それ以外のMACアドレスからは遠隔操作を拒否します。
設定方法
シン・テレワークシステムサーバーのセキュリティ設定を開き、”クライアントMACアドレス認証”にチェックを入れ”接続許可MACアドレスの登録”をクリックします。
接続を許可するクライアントPCのMACアドレスを入力します。
大文字小文字は区別されず、ハイフンは省略可能です。複数アドレスを登録する場合は改行しましょう。
クライアントPCに複数のMACアドレスがある場合は1つだけ登録すればOKです。
入力が完了したらOKボタンをクリックして変更を確定します。
サーバー側設定が完了したらクライアントPCから接続テストしてみましょう。
正しくMACアドレスが登録されていれば遠隔操作が接続されます。
もしMACアドレス登録対象外のクライアントPCから接続しようとするとエラーメッセージが表示され接続に失敗します。
動作検証
仮想ネットワークインターフェースのMACアドレスを登録してみる
仮想ネットワークインターフェースは物理的には存在しないけれど仮想的にネットワークインターフェースを作成する機能です。
一般的な仮想マシンシステム(Hyper-V,VirtualBox,VMWareなど)で使われる機能です。
仮想ネットワークインターフェースのMACアドレスを登録したところ遠隔操作を接続することができました。
このことから、シン・テレワークシステムは実在するネットワークインターフェース(MACアドレスのOUI)かどうかまでは確認していないようです。
ネットワークインターフェースを無効化してみる
ネットワークインターフェースの無効化とは、インターフェースを通信できないようにすることです。
無効化すると物理リンクも切れますので、イメージ的にはインターフェースの電源を落とすような感じです。
MACアドレス登録しているネットワークインターフェースの無効化をしたうえで遠隔操作を接続したところ、接続することができました。
このことから、登録しているネットワークインターフェースは通信中や通信可能状態である必要はなく、無線LANのMACアドレスを登録しても悪影響は少なそうです。
MACアドレス認証機能の注意点
必ず1つはMACアドレスを登録しましょう
MACアドレス認証機能は”登録されているMACアドレスを持っているクライアントPCからのみ遠隔通信を受け付ける”というものです。
これは”MACアドレス登録が1つもない場合は遠隔通信を一切受け付けなくなる”ということでもあります。
ですので、MACアドレス登録を解除するときに間違って”リストは消したけど機能は有効”な状態は避けましょう。
特にシン・テレワークシステムを使って遠隔で設定変更したときにこれをやってしまうと、もうシン・テレワークシステムシステムで接続は出来ないのでオフィスに行くか誰かに修正してもらうしかなくなります。
MACアドレス認証は完璧ではありません!
MACアドレスは世界で唯一の偽装不可能なアドレスと思われがちですが、実際には違います。
上述の仮想ネットワークインターフェースは任意のMACアドレスを指定できますし、通信フレームのMACアドレスを書き換えて偽装することは容易です。
また、『MACアドレスなんて長い文字列はばれないでしょ!』という意見も耳にしますが、無線LAN(特に公衆WiFi)を利用していると空間をMACアドレスが飛び交っています。
そのMACアドレスを第三者が確認することも可能なので、決してMACアドレス認証を有効にしたからと言って万全と思わないでください。
複雑なパスワードを設定することはもちろん、ワンタイムパスワードの設定もするようにしましょう。
まとめ
- クライアント検疫の誤動作が疑われるときは機能をOFFにしてみましょう
- MACアドレス認証は複数ネットワークインターフェースがあっても無効化状態でもOK
- MACアドレス認証は完璧なセキュリティではありません!
次回は高度なユーザー認証機能のユーザー管理についてご紹介します。
目次はこちら