1. トップ
  2. 新着ニュース
  3. IT
  4. IT総合

マイナンバーカードも使える、シン・テレワークシステムの高度な認証機能

マイナビニュース / 2021年9月22日 12時32分

写真

画像提供:マイナビニュース


手軽にリモートデスクトップ環境を実現できるシン・テレワークシステムには、簡易的なユーザー認証機能が備わっており、事前にユーザー登録などを行わなくても使えるのが強みのひとつです。この簡易ユーザー認証は、1台のPCについて1つのパスワードを設定する仕組みのため、複数のユーザーで共用PCをリモードデスクトップとして使いたい場合などには、柔軟に対応することができません。

これに対して、セキュリティオプションとして用意されている「高度なユーザ認証機能」を導入すれば、より柔軟なユーザー認証を利用できるようになります。「高度なユーザ認証機能」では、マイナンバーカードを使った認証もサポートしており、より安全性の高い接続を実現できます。今回は、この「高度なユーザ認証機能」を紹介しましょう。

NTT 東日本 - IPA 「シン・テレワークシステム」 新型コロナウイルス対策用 テレワークシステム 緊急構築・無償開放・配布ページ

登録済みのユーザー情報を使った認証で接続を管理する

シン・テレワークシステムの「高度なユーザ認証機能」では、ユーザー名とパスワードを使った認証や、固有の電子証明書を使った認証など、状況に応じていくつかの認証方法を選ぶことができます。「高度なユーザ認証機能」を利用するには、まずサーバ側(会社のPC)アプリでセキュリティ設定画面を開いて、「高度なユーザ認証機能の設定」欄にある「高度なユーザ認証機能を使用する」という項目にチェックを入れます。そして、その下にある[ユーザの管理]というボタンをクリックしましょう。

次のように、管理画面が表示されます。接続に使用するユーザー情報を登録しなくてはいけないので、[新規作成]をクリックしてください。

ユーザーの新規作成画面が表示されたら、まずは任意のユーザー名を入力しましょう。アカウントの有効期限も指定しておくとより安全です。「高度なユーザ認証機能」ではさまざまな認証方法がサポートされていますが、まずは最も基本となるユーザー名とパスワードによる認証を有効にしてみます。「認証方法」の欄で[パスワード認証]を選択した上で、左上の「パスワード認証」の欄で任意のパスワードを設定してください。

[OK]ボタンをクリックすれば、ユーザーが作成されて、下図のように一覧に表示されます。

以上で、サーバ側の準備は完了です。続いてクライアント側のPC(自宅のPC)でクライアントアプリを起動して、サーバ側PCに接続してみましょう。次のように「高度なユーザー認証」という画面が表示されるので、認証方法として「パスワード認証」を選択し、サーバ側で作成したユーザ名とパスワードを入力して[OK]をクリックします。

認証に成功すれば、リモート接続が確立してサーバ側PCのデスクトップが操作できるようになるはずです。

Webクライアントを使用して接続した場合も、同様にユーザー名とパスワードの入力を求められ、認証に成功すればサーバ側PCのデスクトップが表示されます。

「高度なユーザ認証機能」が簡易ユーザー認証と大きく異なるのは、複数のユーザーを登録することができて、ユーザーごとに認証方法や有効期限を指定したり、パスワードを設定したりできるという点です。ログイン回数や最終ログイン日時もユーザーごとに確認できるため、システム管理者にとってはユーザーの利用状況を把握できるというメリットもあります。

固有証明書によるユーザー認証を利用する

「高度なユーザ認証機能」では、ユーザー名とパスワードによる認証だけでなく、固有のクライアント証明書を使った認証も利用することができます。これは、クライアントごとに固有の電子証明書を用意し、あらかじめサーバに登録した証明書と一致する証明書を持つユーザーだけが接続できるようにするものです。なお、固有証明書によるユーザー認証は、Webクライアントからの接続には対応していないため注意してください。

クライアント証明書は、外部の第三者機関によって公式に発行されたものを使うこともできますが、簡易版として独自に作成して使用することもできます。ここでは、後者の方法を試してみましょう。

固有証明書によるユーザー認証は、さきほどのユーザー名とパスワードによる認証と同様に、ユーザーごとに設定します。まずは「高度なユーザ認証」欄で「ユーザの管理」画面に進んで、設定を行いたいユーザのプロパティを開きます。そして、下図のように認証方法として「固有証明書認証」を選んでください。

証明書の追加は、右側にある「固有証明書認証」欄で行います。すでに証明書を持っている場合には、[証明書の指定]ボタンから証明書のファイルを追加します。証明書を新規で作成したい場合には、[証明書作成ツール]ボタンをクリックすることで、次のように「新しい証明書の作成」画面が開きます。

簡易的に証明書を作成するだけであれば、証明書の種類は「ルート証明書」を選べば問題ありません。「他の証明書によって署名された証明書」との違いについては説明を省略しますが、簡単に言えば、後者のほうがより正式なフォーマットに則った証明書ということです。

そのほか、名前や所属組織名、有効期間などの必要な情報を記入したら[OK]ボタンをクリックしましょう。

続いて、次のように「証明書と秘密鍵の保存」という画面が表示されるので、保存方法として「PKCS#12」を選択してください。下部の秘密鍵のパスフレーズですが、これは証明書の秘密鍵を使用する際にパスフレーズの入力を求めるかどうかの設定で、パスフレーズを有効にしておいた方がより安全に証明書を運用することができます。

入力が完了したら、[OK]ボタンをクリックすれば、次のようにサーバアプリの指定のユーザーに固有証明書が追加されます。

以上で、サーバ側の準備は完了です。さて、作成した証明書は「.p12」という拡張子のファイル名で保存されているはずです。クライアントからの接続の際には、毎回ファイルを使用する必要があります。つまり、証明書ファイルを持っているユーザーだけがリモートデスクトップ接続ができるというわけです。

したがって、まずはUSBメモリなどを利用してクライアントPCに証明書ファイルをコピーしましょう。この時、メールなどを使ってインターネット経由で転送しないように注意しましょう。証明書ファイルは鍵の役割を果たすものなので、第三者にコピーされないように注意して取り扱う必要があります。

証明書ファイルの用意ができたら、クライアント側のPCからサーバ側PCに接続してみましょう。「高度なユーザ認証」という画面が表示されたら、認証方法として「証明書認証」を選択し、証明書認証の欄で指定したユーザー用の証明書ファイルを指定してください。

[OK]ボタンをクリックすれば認証が行われ、正しい証明書であることが確認できればサーバ側PCのデスクトップが使用できるようになります。


マイナンバーカードによるユーザー認証を利用する

シン・テレワークシステムの「高度なユーザ認証機能」で特に興味深いのは、マイナンバーカードを使ったユーザ認証にも対応していることです。マイナンバーカードには電子証明書が内蔵されており、対応するICカードリーダーを持ってさえいれば、個人のPCでも認証用の証明書として利用することができます。

マイナンバーカード内の電子証明書は、たとえ所有者本人や発行者であっても秘密鍵を抽出することができないようになっているので、第三者に秘密鍵を盗み取られるという心配がありません。そのため、マイナンバーカードの証明書を使ったユーザー認証は特に安全性が高いと言えるでしょう。民間の第三者機関が発行する電子証明書と比べて、追加の費用をかけずに誰でも取得できるのも大きな強みです。もしマイナンバーカードとICカードリーダーを持っているのであれば、このマイナンバーカードを使ったユーザー認証を導入することをお勧めします。

マイナンバーカードを使ったユーザー認証を有効にするには、まずサーバ側PCにICカードリーダーを接続して、マイナンバーカードを差し込んでおきます。

ここから先の設定方法は、先ほどの固有証明書による認証と似ています。まずユーザーのプロパティ画面で、認証方法として「固有証明書認証」を選択します。そして固有証明書認証の欄で[証明書の指定]ボタンを押してください。

続いて、下図のような「証明書の読み込み」画面が表示されるので、「スマートカードから証明書を読み込む」にチェックを入れて、[使用するスマートカードの選択]をクリックします。

マイナンバーカードが正しく認識されていれば、次のように「スマートカードの選択」という画面が表示されるので、デバイス名が「My Number Card」となっているものを選んで[OK]をクリックします。

次のような確認ダイアログが表示されるので、内容を確認した上で[はい]を押してください。

続いて、マイナンバーカードにアクセスするために、カードに設定されたPINコード(発行時に設定した番号)を入力して[OK]を押してください。

PINコードが正しければマイナンバーカードが読み込まれて、次のように「証明書の指定」画面が表示されます。ここでは「USERCERT」を選択して[OK]をクリックします。

以上で設定完了です。マイナンバーカードの証明書を設定した場合には、固有証明書認証の欄には、発行者が「JPKI」の証明書が表示されているはずです。

さて、準備ができたら、これまでと同様にクライアント側PCから接続してみましょう。今度はクライアントPC側にICカードリーダーを接続して、マイナンバーカードを差し込んでください。サーバ側PCに接続しようとすると、例によって「高度なユーザ認証」の画面が表示されるので、次のように「スマートカード認証」を選択して、下部の「スマートカード認証」欄にある[スマートカードの選択]ボタンをクリックします。

「スマートカードの選択」画面では、「My Number Card」を選択して[OK]を押してください。

サーバの設定をした時と同様に、下記のような確認ダイアログが表示されるので、内容を確認して[はい]を押します。

「高度なユーザ認証」の画面に戻ってくるので、今度は[証明書と秘密鍵の指定]ボタンをクリックしましょう。

再度、「スマートカードの選択」画面が表示されるので、「My Number Card」を選択して[OK]で次へ進みます。

ここで、マイナンバーカードにアクセスするためのPINコードを入力してください。

正しいPINコードを入力すれば、また「高度なユーザ認証」の画面に戻るので、最後に[OK]ボタンをクリックすれば、認証が行われてサーバ側PCのデスクトップに接続されます。
まとめ

シン・テレワークシステムは、特別な設備投資を行わなくても手軽にリモートデスクトップ環境が構築できる点が大きな強みとなっているサービスですが、使い方次第ではより高度な認証を有効にして、高いセキュリティを確保することも可能です。

今回は触れませんでしたが、高レベルなセキュリティが設定されている行政情報システムで使用するための「行政情報システム適応モード」や、社内ネットワークの管理者がシン・テレワークシステムの動作の制限や動作状況の一元管理を行うための「エンタープライズ環境用ポリシー規制サーバー」、画面のキャプチャを防止するための電子透かしなどといった機能も提供されています。

これらの機能を活用すれば、独自のセキュリティポリシーに合わせて柔軟に運用することができるので、システム管理者とも相談した上で、便利な活用方法を探ってみてはいかがでしょうか。
(杉山貴章)

この記事に関連するニュース

トピックスRSS

ランキング