パスワードを忘れた? アカウント作成
14167327 story
ソフトウェア

NTT東とIPAなどが「シン・テレワークシステム」を開発、無償提供 38

ストーリー by hylom
仕組み的には新しくないがNTTとIPA発ということで 部門より

NTT東日本と独立行政法人情報処理推進機構(IPA)が、無償のVPNサービス「シン・テレワークシステム」を開発し提供を開始した(NTT東の発表ITmedia)。

接続先のPCに専用のサーバーソフトウェアをインストールしておくことで、専用クライアントをインストールしたPCからサーバーソフトウェアをインストールしたPCの操作ができるようになるというもの。対応OSはWindows XP以降、Windows Server 2003以降。サーバーソフトウェアをインストールしたPCへは「分散型クラウドゲートウェイ中継システム」という中継装置を経由して接続するため、サーバーソフトウェアをインストールしたPCにグローバルIPアドレスが割り当てられていない場合でも利用できるという。

このシステムはNTT東やIPAのほか、筑波大学やKADOKAWA Connected、ソフトイーサなどの協力で構築されているとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2020年04月22日 13時57分 (#3802235)

    システム管理者にとっては新しい悩みの種のご登場ですな。管理者権限なくても動作可能なのは企業的にはマズい。
    しっかり機密度に応じてネットワーク自体がゾーニング出来てればいいけど、そんな企業は大企業でもでも案外少ないからなぁ。
    大半のPCは利便性から特にクラウド全盛になった今となってはインターネットにリーチできるだろう。
    その状態でこれの登場となると、管理者権限いらないキャプチャ型のリモートデスクトップソフトと組み合わせたら、ねぇ。

    • squidでSSL(透過)プロキシ(クライアントには証明書を読ませる)をはめたゲートウェイサーバを噛ませていると外に出られなかったので、制限という意味では制限出来そう

      #逆にどうやったら出られるか知りたい・・・もっと勉強しなきゃ・・・。

      親コメント
    • by Anonymous Coward

      単なる困っちゃん対策ならインストールやプロセスを監視してしょっ引けばよいのでは。
      これを突破できるぐらいに奴になるとネットに繋がる環境を与えた時点で何でもありな気がする。

    • by Anonymous Coward

      インターネットのゲートウェイ(ルータとかファイヤウォール)を、deep packet inspection (DPI) の機能を持った製品に置き換えればブロック出来ますよ。
      L4-7 の挙動とかペイロードを分析して、既知のアプリケーションであればポート番号に関わらずブロックしてくれます。
      ヤマハの RTX のように、安い製品でも DPI を搭載した製品がありますので探してみてはどうでしょう。

      • by nim (10479) on 2020年04月22日 16時25分 (#3802339)

        SoftEtherの仕様覚えてないけど、SSH tunnel over TLS みたいな感じで、
        CONNCT の後さらに二重にTLSセッション張ってしまえば、中身わからなくなるんじゃない?

        親コメント
        • by Anonymous Coward

          普通、TLSって開封してみるもんなんじゃ。。よくしらんけど。

          # 証明書配布はセット。

      • by Anonymous Coward on 2020年04月22日 16時44分 (#3802354)

        https://ja.softether.org/@api/deki/files/4/=1.2.jpg [softether.org]

        このプロダクトのVPN部分のSoftEtherは4つの接続モードが提供されています。
        一番左のEthernet over HTTPSはDPIでもブロックできないと公式が明言しています。

        "ディープ・パケット・インスペクション・ファイアウォール (パケットの内容を高レイヤで分析して遮断する種類の高度なファイアウォール) であっても、SoftEther VPN における VPN 伝送のためのパケットを検出することができません。なぜならば、SoftEther VPN は伝送プロトコルにおいて Ethernet パケットを HTTPS パケットに「偽装」して伝送することができるためです。"
        https://ja.softether.org/ [softether.org]

        親コメント
        • by Anonymous Coward on 2020年04月22日 20時08分 (#3802476)

          パケットを覗いた方曰く

          設定しているVPN Serverに対してCONNECTで繋いだ後、POST https://127.0.0.1/ [127.0.0.1]... とかしていて、こりゃ並のTLS解くプロキシ経由では繋がらんなと笑った。
          FiddlerのHOSTS機能で127.0.0.1を本来のVPN Serverに向けてやれば、一応少しだけ進んだ。image/jpegとか言いながらGIF89aのシグネチャが付いた謎のPOSTするし、応答も謎のバイナリだし、めっちゃ混乱する。
          接続完了と言いつつDHCPでIPアドレス取ってこれないあたり、まだ何か壁があるみたいだ。

          https://twitter.com/falms/status/1034822235750465537 [twitter.com]

          親コメント
        • by Anonymous Coward

          Ethernetの場合、普通パケットと言わずにフレームと言わない?

          と思ったけど、SoftEtherの公式がパケットって書いてるのか。

      • by Anonymous Coward

        RTXレベルの奴じゃ制御できないと思うぞ、これ。CPU負荷的にも。
        Sophos UTMとかXG当たりがアプリケーションファイアウォールの下限だと思う。

      • by Anonymous Coward

        疑問なんだけど、これってリモートワークのためのツールでしょ?
        どうして業務のためのツールが登場すると真っ先にブロックすることを考えるの?

        セキュリティ上、必要ならブロックできた方が良いのは分かる
        どうして同僚の仕事を邪魔したいの? そういう戦略なの?

        • by Anonymous Coward

          おもろい奴だな。どう見ても業務以外で悪用可能だろ。

        • by Anonymous Coward

          まともな会社ならリモートワークするにしても情シス部門がコントロールするから。

        • by Anonymous Coward

          リモートワークの許可が出てればブロックなんてする必要はないし、
          君んとこが会社に無断で外部からLANに入るようなことをしても何も言われない会社なら、この話は理解できないと思う。

          • by Anonymous Coward

            リモートワークの許可出していても、ユーザーの裁量のみで勝手に外部の環境と接続できるようにするソフトはブロックしたいぞ。
            リモートワークするんだったら、もうちょっと手綱を管理者側で取りたい。

            #ソフトイーサってなんか昔から微妙にオフィスユースで欲しいものとずれたもの出してくるんだよなぁ。

    • by Anonymous Coward

      トンネルのリダイレクタになっているIPアドレス・FQDNを調べていってBlacklistにいれていくしかないか。
      誰か既に調査した人いないですかね

      • by Anonymous Coward

        リモートワークを禁止すれば?

        • by Anonymous Coward on 2020年04月22日 21時10分 (#3802510)

          別段リモートワークを禁止にすればいいってもんじゃなくてだな...
          このソフトは一般権限で動くのが問題なんだよね。リモートワークじゃなくても使えるから。

          親コメント
      • by Anonymous Coward

        リモート操作される側のPCの、HTTPS通信量を調べてみればどうでしょうか。通常のHTTPS通信であれば、少量のリクエストに対して多くのリプライがあるはずですが、リモートデスクトップ化されている場合、このパターンが逆になり、出ていく量がGETリクエストを送っているとは思えない量になっているのでは。長時間HTTPS接続を張りっぱなしにしているのも目安になると思います。

    • by Anonymous Coward

      NTTがやっていた MagicConnect [magicconnect.net]というツールが、クライアントと遠隔PCの両方からクラウドに接続させて両者をクラウド上で橋渡しする仕組みとか、リモートデスクトップにはMicrosoftのRDPをそのまま使うとか、ポートには443を使うところとか、なんかよく似ているというか、これを焼き直したものなんじゃないかという気がします。

      MagicConnectはHOME版では動かないことからRDPをそのまま使っていたようです。このツールもQ&AにはRDPのポート3389を127.0.0.1に対しては開けておけと書いているので、HOME版でもRDPが使えるようRDPWrapper [github.com]のようなことをして

  • by asap (6830) on 2020年04月22日 19時51分 (#3802467)
    遠隔操作ということですよね。
    操作元にも操作したソフトのライセンスが必要な場合があると思うが。
  • by Anonymous Coward on 2020年04月22日 15時05分 (#3802266)

    タレコみにあるNTT東日本の発表を読むと

    「シン・テレワークシステム」を使えば、職場や大学のパソコンに自宅から安全にアクセスし在宅勤務や研究等の継続をすることができます。

    という記述と

    連携協力組織で研究、開発または整備されてきた各種ソフトウェア技術や実験用通信インフラを一つに統合して、緊急に構築をしたものであり、無保証かつ非営利で、一時的に開放するものです。

    という記述がある。

    結局のところ、仕事で使っていいんだろうか?

    • by Anonymous Coward on 2020年04月22日 16時35分 (#3802350)

      >結局のところ、仕事で使っていいんだろうか?
      「非営利で」というのは、このシステムの運営側はこれの使用に対して利用料金課金をするつもりはない、という意思表示だろ。
      BSD LicenseやApache Licenseのソフトウェアを仕事で使っていい程度には使っていいんじゃないか。

      親コメント
  • by Anonymous Coward on 2020年04月22日 13時26分 (#3802215)

    まあソフトイーサはわかる。久しぶりに名前聞いた気がするけど。
     
    で、なんでKADOKAWA Connectedって何?と思ったら土管持ってるのか。全然知らなかった。

    • by Anonymous Coward

      元AhSKI!関係者が関わったのかな?

    • by Anonymous Coward

      >KADOKAWA Connectedって何?
      要するにドワンゴ(ニコ動)のインフラ部隊+角川書店の情報システム部門?
      https://www.wantedly.com/companies/kdx [wantedly.com]

    • by Anonymous Coward

      だから「シン」の後に点が入るのか。
      #シンクライアントを、シン・クライアントって書くのは珍しいよね?

      見た瞬間それをイメージしたけど、、さすがに関係ないから口にするのははばかられてた。
      ビデオ会議用に、ゼーレのモノリス画像とか使えないかな。

  • by Anonymous Coward on 2020年04月22日 13時37分 (#3802222)

    これほぼDesktopVPNですよね。
    バックボーンを別にたてたバージョンなだけで。

    • by Anonymous Coward

      DesktopVPNユーザーとして金払ってる立場としては...

      • by Anonymous Coward

        今はDesktopVPNも無償開放してますよ。

        • by Anonymous Coward

          もちろん知ってます。
          無償開放する前からの有償利用者は無償利用対象外なのでいつもどおり料金徴収されるようです。

  • はい、VNCです。どうもありがとうございました。

    • by Anonymous Coward

      ローカルIPでも動作可ということで、どちらかというとTeamViewerに近いか。
      企業PCでも無料になればありがたい。

  • by Anonymous Coward on 2020年04月22日 15時41分 (#3802289)

    出社・・・

    • by Anonymous Coward

      社長くらいは出社してない?

      • by Anonymous Coward

        インストールを任せるとロクなことが無い予感しかしない・・・

  • by Anonymous Coward on 2020年04月22日 16時13分 (#3802327)

    0時少し前のかぼちゃ色した終電で帰る

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...