2019年3月29日金曜日

在宅勤務用セキュア接続システム


在宅勤務をしようと思うとき、自宅のノートPCが使えないのに忸怩たる思いをしている人も多いと思う。会社がリモートワーク環境を整えてくれれば問題は無いはずだが、単にVDIやDaaSを用意するだけではセキュリティ的にやや弱い。例えばウィルスが横から画面や操作を盗み見できるし、仮想デスクトップからアクセスされたら、その親OSから、好きなだけ操作やキャプチャが可能である。

これを防ぐには、第一に、相手が仮想マシンではないことを確認し、第二にディスプレイとキーボードを完全に乗っ取れる必要がある。まあ完璧ではないにしても、ハードウェア的にこのことを保証することは、不可能ではない。その方法とは、こうだ。
  1. ハードウェアのキーボードコントローラー(マウス・タッチパネル含)とディスプレイコントローラーに、暗号化機構と、各々専用の電子証明書を搭載しておく。
  2. 組み立てて完成したPCなりシンクライアントは、このペアが搭載されることになる。これを、機器ベンダが登録しておく。
  3. 一方で、ホスト(DaaS/VDI)側も、電子証明書を用意しておく。こちらは公開する必要はない。電子証明書は、できればID単位で作っておく。
  4. これらの電子証明書から、「このホスト(のこのID)とこの(ハードウェア的な)PCのみが通信可能なRDPソフト」を生成する。このソフトは、キーボードとディスプレイの情報を暗号化して通信するため、機器のOSやその他の機器上のソフトからは読み取れない。また、RDP通信自体も当然暗号化されているので、通信路での傍受はできない。
社員が自分のBYOD機器のベンダと型番とシリアル番号を申請すれば、情シスは、それと繋がるソフトを発行できる。その際、その機器の情報を機器ベンダのHPで検索すれば、その機器が実在していることが確認できるので、仮想マシンでないことが確認できる。

また、そのソフトを盗めたとしても、その機器でアクセスしなければ繋がらないし、機器まで盗めたとしても、接続先へのログインには当然認証(パスワードや二要素認証等)があるので、それでもまだセキュリティは保たれる。

このソフトは、機器にコピーしておくのではなく、会社支給のスマホに入れておくのが良いと思う。これなら二要素認証や生体認証を組み合せられるので更にセキュリティは高まる。また、WiFiとの自動接続機能などをこのスマホに搭載しておけば、利便性が高まる。自宅では自宅PC、会社では会社PCと、二つのRDPソフトを入れておけば、各々のPCからは自分用のソフトを立ち上げれば良いだけで済む。尚、機器との接続はBluetoothを使い、通信路の方にWiFiを使うのが良いと思う。

0 件のコメント:

コメントを投稿

注目の投稿:

ダイナミック租税とその指標

今の法律では、税率は一定の計算式で表されるが、そのパラメータは固定である。需要と供給のバランスによって商品の価格を変えるダイナミックプライシングというのがあるが、あれを租税にも適用してはどうかと考えてみた。 納税者の声をベースにして様々な租税や補助金を自動調節して、どこか一箇所...

人気の投稿: