Q&A
こちらの質問が他のユーザから「質問の範囲が広すぎる」という評価を受けています
わからない点を明確にし、調査したこと・試したことと共に記入していただくと、回答が得られやすくなります。
現在、とある顧客の案件をリモート作業にて行っています。先方には社内IPからの接続を許可してもらっている状態です。
当然、自宅からなど、社内以外のIPからの接続は許可されていません。現状はまだ大丈夫なのですが、今後、自宅からのリモート作業が必要な場面などがでてくるかと思います。そのため、今のうちに社内ネットワークに外部からアクセスし、踏み台として、先方VPNに接続出来るようにしたいと考えています。
■ マシンはMac(OSはYosemite, ElCapitan)
■ 社内ルータはBuffalo製 WXR1900DHP
※環境情報でその他必要なものがありましたらご指摘ください。
概要でかまいませんので、上記を実現するための手段としてどういったものがあるのかをお教えいただけたらと思います。よろしくお願いします。
追記:
質問はあくまで技術的にどういった方法があるか、です。セキュリティ上の契約面等のアドバイスは不要です。
細かく理解しているのであれば質問するまでもなく自分で調べています。広くしているかわりに「概要でかまいません」ということわりをいれました。細かい回答は現時点で必要としていません。
こちらの質問が他のユーザから「プログラミングに関係がない質問」という評価を受けています
teratailでは、プログラミングに関して困っていることがないと思われる質門を推奨していません。
具体的に困っている理由や解決したいことを明確に記入していただくと、回答が得られやすくなります。
ネットワークがプログラミングと関係ないのであれば削除しますが、ネットワークのタグ等やネットワーク関連の質問がある中でこれだけがダメという理由が見つからないです。解決したい内容については明記しているので修正する必要はないと判断します。
回答8件
0
[前提]
- 先方にそういった使い方でアクセスをするということの承認を貰う。これは絶対にしないと問題発生時に契約以前の問題の専門家としての注意義務違反で損害賠償を請求される可能性があり、刑事罰の対象になる場合もあります。
また、それとは別に社内のセキュリティ規定に沿う必要があり、こっそりやるとまともなセキュリティポリシーを持っている会社なら懲戒免職になってもおかしくない行為です。
厳しい言い方かと思いますが、
正直なところここでこういった質問をしている時点でとても危険な状態なので、
まずは責任者に相談されることを強くお勧めします。
以下、問題発生時の責任の所在が明確になったという前提で考えられる方法です。
[一番簡単な方法]
固定IPを提供してくれるVPNサービスを使い、どこからのアクセスでも同じIPアドレスでインターネットにアクセス出来るようにして、先方にはそのIPアドレスも許可IPに入れてもらう。
[サーバを運用出来る人なら簡単]
VPS等の適当な固定IPサーバを借りて、その固定IPを許可IPに含めてもらう。SSHポートフォワードで先方のサーバに接続を行う
[通常作業しているPC経由でアクセスする方法(簡単な方法)]
googleリモートデスクトップ
や
splashtop等のNATを超えられるリモートデスクトップツールを作業マシンに入れて、外からアクセスして作業する。
[ルータの適切で安全な設定が必要]
http://buffalo.jp/product/wireless-lan/ap/wxr-1900dhp/
固定IPはあるように思われるので、ルータのVPN機能を有効にしてインターネットから社内ネットワークにアクセス出来るようにする。
投稿2015/12/06 14:27
総合スコア18713
ご回答ありがとうございます。提示されたワードを調べてみます。
> 先方にそういった使い方でアクセスをするということの承認を貰う。
既に了承済みですし、了承されていなければ仮にここで技術的な方法がわかったとしても利用することはないのでご心配なく。
0
その行為は、信義上非常に危険なことと思います。
きちんと社内の上司とお客様に承認を得た上で行わないとkazumaekawaさんの首が飛ぶだけでなく、ヘタするとkazumaekawaさん自身が損害賠償責任を負う危険がありますよ。
会社から正式にセキュリティを確保したノートPCの支給を受けて、それを承認を受けた方法で社内ネットへ接続するのが適切な姿と思います。
この機会に、そのような環境を構築することを社内に上申されてみては如何でしょうか?
投稿2015/12/06 14:14
総合スコア23272
そこについては既に先方に了承を得ていることですのでご心配には及びません。
> 当然、自宅からなど、社内以外のIPからの接続は許可されていません。
この記述から、自宅→社内→顧客のルートも許可される筈ないと思うのですが...
そう判断して具体的回答を控えました。
許可は頂けているけど技術的にできないと言うことなのですね。
実際面は他の方程詳しくなく、技術的障害の内容が分からないと私の手に余りますので、私はこれにて。
ああ、catsforepawさんへのコメントを見ました。
> 社内のIPから接続すれば問題ない(つまり社内IPを経由すれば問題ない)
「つまり社内IPを経由すれば問題ない」はkazumaekawaさんの解釈ではなく、顧客からの明確な回答なのですよね?
であれば、何故に「社内IPを経由すれば自宅からの接続を許可されています。」旨を書かないのでしょうか?
質問の文面を見ると、未だに「自宅からの接続が許可されている」旨が書かれていないため、「禁止されていることを行うための技術的方法」を問うているように見えます。その質問に回答すると「不正アクセス禁止法」違反を幇助した疑いをかけられる可能性があると思います。流石にいくらなんでも逮捕されることはないとは思いますが、なんか怖いです。
そこまで憶測を並べ立てられる方が怖いです。実契約・業務上の折衝の話をそこまで詳細に話さないと回答できないのでしたら、無理に回答はしなくても結構です。
「つまり社内IPを経由すれば問題ない」が顧客の回答でない場合の危険性を指摘し質問させて頂きましたが、ご回答頂けないのですね。
通常はスルーするのですが、お若い方のようですが嘘を付かないように心掛けられている点は好ましく感じます。もしも、これが顧客の回答でなかった場合、kazumaekawaさんにとって非常に大きなリスクがありますので、老婆心から1つ書かせて下さい。
裁判も含めて一般に「常識」に照らし合わせて判断されます。
「社内IPからの接続を許可する」=「社内IPを経由すれば社外からの接続も許可する」と判断されるかどうかが問題です。少なくとも私の「常識」ではこれは否です。恐らく、多くの専門家も否と判断すると思います。
もしも、顧客の判断が否だった場合、kazumaekawaさんはかなり危険な立場に立ってしまいます。ご自愛下さい。
本件の内容に関わる疑問や質問であればお答えしますが、内容が逸脱しているため回答するつもりはありません。これ以上の引き伸ばしは荒らしでしかないので、ご遠慮ください。何卒よろしくお願いします。
0
私も他の回答者と同様に顧客とよく打ち合わせ・提案をして、顧客と書面で手続きをすべきだと思います。セキュリティ対策がよく判っていない顧客なら尚更なことです。トラブルが発生してからでは遅いです。
技術的な手法としては、SoftEther VPNを使用するという方法もあります。
ただ、ファイヤーウォールを飛び越えていくので慎重に設定することが寛容です。導入まで十分な検証が必要です。客先での検証環境の構築については顧客の同意が必要です。(通常はそのような環境構築には同意はしないと思いますが。)お忘れなく。
【SoftEther VPN オープンソース版】
https://www.softether.jp/2-research/11-sevpn
投稿2015/12/06 15:55
総合スコア16
SofterEtherですね。ありがとうございます。ただ、客先での検証環境の構築は厳しいと思うので今回は難しそうですが、知識として少し調べてみます。
> 私も他の回答者と同様に顧客とよく打ち合わせ・提案をして、顧客と書面で手続きをすべきだと思います。セキュリティ対策がよく判っていない顧客なら尚更なことです。トラブルが発生してからでは遅いです。
顧客側との折衝は既に済みなのでご心配には及びません。今回の質問は契約面のお話ではなく、あくまで技術的な方法になります。
0
契約外でトラブルになった場合、本人の懲戒免職のみならず、会社間の取引停止に至る危険性があります。
まずは、その行為が、正しいのか上長にエスカレーションした上で、先方に確認すべきです。
昨今、情報流出が新聞を賑わしていますが、大丈夫でしょうか?
投稿2015/12/06 15:10
編集2015/12/06 15:14
退会済みユーザー
総合スコア0
契約面のアドバイスは求めていません。
全員の方から同じ事を書かれている時点で、質問者様も、回答者も、お互いに不幸になるだけなので、いくらなんでも誤解を招く表現は避けるべきかと思いますよ。
あくまで質問されているわけですから、謙虚さは必要かと思います。
大昔、それこそ、客先了解の上、自宅から社内を介し、客先に繋いでいた事はあります。
他の方も書かれている通り、当時大学生が開発し、画期的だと騒がれていた、ソフトイーサー(https://www.softether.jp/)を使用していましたね。
ただし、暗号化オプションが使用出来るとはいえ、直接はとても危険なので、プロクシサーバー兼踏み台サーバーに、ソフトイーサーで自宅から接続し、そこからRDP経由で社内自端末に接続し、更に、客先にRDP接続していましたね。
その名残りで、未だに、自宅で個人的にソフトイーサーを購入し使用しています。
ソフトイーサについては他の回答者から既に情報を頂いておりましたので調査しているところです。ありがとうございます。
誤解云々については色々と言いたいこともありますが、返答すると多分荒れると思うので返答は控えさせていただきます。
ただ一点だけ。
> 全員の方から同じ事を書かれている時点で
全員ではないですよね。こういう断定は印象操作に繋がると判断したのでここだけ反論させていただきました。
0
当然、自宅からなど、社内以外のIPからの接続は許可されていません。
つまり、許可できない理由があることは理解されているわけですよね。
顧客の許可を得ずに接続すれば、いかなる方法であろうと不正アクセスと言われても文句は言えません。下手すれば不正アクセス禁止法に抵触することになります。また、自宅から会社に接続するなら、会社に許可を得た上で会社が提供する方法に従って接続してください。許可を得ずに接続すれば……以下同文。
もし業務で必要があるのなら、まずは会社に相談すべきかと思います。
投稿2015/12/06 15:05
総合スコア5938
社内のIPから接続すれば問題ない(つまり社内IPを経由すれば問題ない)という了承は得ています。
質問の内容はあくまで技術的な話で「社内ネットワークに接続してさらに再度別のVPNに接続する方法」です。セキュリティ関連の契約のアドバイスは求めていません。
そうでしたか。失礼しました。
ただ、そういう前提があるなら先に明示していただかないと。回答した方のほとんどはセキュリティリスクを懸念されています。
せっかく質問の内容を技術面に絞ったのに、それ以外の回答が多くて正直なところかなり辟易としました。(文面にも出てると思いますが・・・)
ただまあ…実際そういう回答が多いから書いておくべきだったんでしょうね。勉強になりました。ありがとうございます。
0
回答ではないのですが、顧客の了解は大丈夫でしょうか?
社内からの接続許可をもらう段階で、社内のネットワーク構成を伝えてあると思いますが、そのときに「外部からVPNで使うこともあり得る」と伝えていないと、それの大きな変更になりますよね。
投稿2015/12/06 14:36
総合スコア84557
0
WXR1900DHPにはL2TP/IPsecを用いたVPNサーバー機能がありますので、そちらを有効にし、MacでのL2TP over IPsecでVPNを作ればいけるのではないかと思います。またこのとき、VPNの「詳細」のオプションタブで「すべてのトラフィックを VPN 接続経由で送信」にチェックを入れてください。そうすれば、全てWXR1900DHP経由でインターネットに送信されはずです。後は向こう側のVPNが何かによりますが、SSL VPNであればたぶん大丈夫だと思います。
すいませんが、試したことがないので全て憶測です。私の家のルータがなぜかWXR1900DHPなので(というか、これって家庭向けじゃなかったのか…)、時間があれば試した結果を追記します。
投稿2015/12/07 10:11
総合スコア21735
0
ベストアンサー
社内にあるマシンから接続を許可しているのであれば、社内へのVPN接続後に社内設置マシンにリモート接続し、リモート接続したマシンからVPNでお客様環境に接続するでは如何でしょうか?
常時マシンを起動したくないのであれば、Wake On LAN機能を持ったノード(ルータとかpfsenseみたいなものとか)を設置すれば、任意のタイミングで社内設置マシンを起動することも可能だと思います。
投稿2015/12/06 14:09
総合スコア4309
あなたの回答
tips
プレビュー
