緊急事態を見据えたリモートワーク手法の構築

新型コロナウィルス感染症の拡大、そして全国に広まった緊急事態宣言。それを受けてリモートワークへの問合せが急増しています。
そこで、緊急事態を見据えて現環境で構築可能なリモートワーク手法を考察してみます。

セキュリティとの兼ね合い

リモート接続を行う場合、「セキュリティ」とは切り離せない問題となります。
このような状況でなければ、本来はCitrixやVMWare、RDS（リモートデスクトップサービス）を利用した画面転送のシステムを構築するのが通常の選択肢の一つかと思います。
ただし、構築に時間がかかる、経費もかかるという点から直ぐに実施が出来ないことが考えられます。

そのため、本考察では考えられるリスクや懸案を明確にした上での緊急事態での利用方法を考えて行きたいと思います。

Fortigateを利用したリモート接続

ファイアウォールとして多く導入されている、FortigateはSSL-VPNが通常ライセンスで提供されテレワークにも柔軟に対応が可能な製品となっています。

今回は、FortigateでのSSL-VPNを以下の2種類の手法で紹介します。

前提条件としては、
・Fortigateが導入されている
・グローバルIPアドレスで固定IPが割当られれている

ブラウザを活用したリモート接続

ブラウザを利用してVPN接続を試してみます。

「クイック接続」をクリックし上記のようにRDPから自席端末の情報を入力し「ラウンチ」で接続します

どうでしょうか？今回は自席端末への接続を想定したため、クイック接続から自席端末情報を入力する手順が必要となりました（ブックマーク機能で保存させることも可能です）

もし、内部にリモートデスクトップサービスなどが稼働している場合には以下の手順も可能となります。

ログイン後の画面ですが、管理者が予め設定した「RDP」がブックマークとして登録されています

注意事項

現在は、キーボードの接続が「US」しか選択が出来ませんでした。そのため、接続後に「日本語」キーボードへの切り替えが必要でした。

考えられるリスクと懸案

テストではコピーアンドペーストも出来なかったため、セキュリティとしてはある程度担保出来るのではないかと思います。
ただし、OSやバージョンで全て利用可能なかまでの確認は出来ておりません。
また、自席端末への接続の場合には個々で接続先（IPアドレスやホスト名）を登録する必要があるため利用者が多いと登録の負担が考えられます。

トンネルモードでの接続

もう一つの接続方法は、トンネルモードでの接続となります。
このモードは専用のクライアントソフトウェア「FortiClient」（無償）をダウンロードして必要事項を設定するのみで利用可能です。

利用者は接続後は、自席で利用しているのと同じ様に各種システムやファイルサーバを利用することが可能となりあまり違和感なく利用することが可能です。
ただし、利用する端末をセキュリティ設定を施した上で配布することが出来ない場合にはBYOD等の選択肢となりますが、少しセキュリティに不安が残ります。

考えられるリスクと懸案

トンネルモードでは先程記載した通り、内部ネットワークと同様の状況となります。（勿論ファイアウォールでのポリシーは十分対策を実施することが重要です）
そのため、端末へのセキュリティ対策を十分に行うことが大切です。USBの利用制限やローカルへのデータ保存を制限するなど。
現在はある程度Windows標準機能でも実施出来るので試して頂くのも一つかもしれません。

利用の制限

これまでに紹介した利用については、ブラウザ接続やソフトウェアの接続に関わらず端末の制限なく利用が可能となってしまいます。そこで、Fortigateで可能な利用制限をご紹介します。

１．認証ユーザに２要素認証を適用する（専用のトークン認証およびメールによる認証）
２．クライアント証明書を利用した端末制限

１．認証ユーザに２要素認証を追加

この手法では、端末制限ではなくユーザ認証の強化となります。また、トークンは物理トークンとソフトウェアトークンが利用可能ですがもちろん準備には多少時間がかかります。
もう一つの手段としてはメール認証があります。ユーザに紐付けたメールアドレス宛にワンタイムパスワードが送信されるため容易に2要素認証が実装可能です。