L2Connect FAQ




よくあるご質問
Q:
インターネット回線を使って通信を行うと、途中で誰かに盗聴されたり、改ざんされたりすることはないのですか?
Q:
利用を許可していない社員や、悪意の第三者に L2Connect 経由で社内にアクセスされてしまうことはありませんか?
Q:
正規ユーザである社員が、利用が認められていない個人のPCにL2Connect Remote Accessをインストールして社内にアクセスすることを防ぐことはできますか?
Q:
L2Connectのブリッジ機能により拠点間接続を実現しながら、一部のサーバは外部からアクセスできないようにすることは可能ですか?
Q:
L2Connect Bridge を用いて本社と支社を拠点間接続を行っていますが、社員が持ち込んだPCを支社のネットワークに接続すると、本社内にアクセスできてしまうのですか?
Q:
「どこでも使える」は困ります。接続できる場所を限定することは可能ですか?
Q:
インターネット上に設置された悪意あるサーバに社員が勝手にアクセスしたことにより、会社のサーバが攻撃を受けてしまう可能性はありますか?
Q:
L2Connect を用いてユーザが勝手にブリッジすると、VPN、あるいはその先のネットワークとイントラネットが直接接続されてしまいます。セキュリティ上とても許容できないため、制限したいのですが可能でしょうか?
Q:
セキュリティレベルをできるだけ高くするため、L2Connect経由で利用できるアプリケーションを Web のみにしたいのですが、可能ですか?
Q:
特定ユーザの利用できる範囲を制限するなど、細かく通信の制御を行いたいのですが、その設定方法を教えてください。
Q:
特定ユーザが接続できる期間を制限できるのでしょうか?
Q:
特定ユーザが接続できないようにすることは可能ですか?
Q:
特定ユーザが接続できる期間を制限することは可能ですか?
Q:
社内での使用を禁止することは可能ですか?
Q:
社内はVLANにより通信できる範囲を制限しているのですが、これをリモートアクセス時にも適用することは可能ですか?





Q:
インターネット回線を使って通信を行うと、途中で誰かに盗聴されたり、改ざんされたりすることはないのですか?
A:
はい、されません。
L2Connect の通信は、全て暗号化されており、第三者がその内容を盗み見たり、書き換えたりすることはできません。暗号方法も、下記のとおり、幅広いアルゴリズムを選択できます。

暗号化アルゴリズム バージョン 公開鍵暗号方法 共通鍵暗号方法 鍵長(bit) ハッシュ関数
AES256-SHA SSLv3 RSA AES 256 SHA1
DES-CBC3-SHA SSLv3 RSA 3DES 168 SHA1
AES128-SHA SSLv3 RSA AES 128 SHA1
CAMELLIA128-SHA SSLv3 RSA Camellia 128 SHA1
CAMELLIA256-SHA SSLv3 RSA Camellia 256 SHA1
TLS1.2にも対応予定
AES128-SHA256 TLSv1.2 RSA AES 128 SHA256
AES256-SHA256 TLSv1.2 RSA AES 256 SHA256
Q:
利用を許可していない社員や、悪意の第三者に L2Connect 経由で社内にアクセスされてしまうことはありませんか?
A:
いいえ、アクセスされません。
不正なユーザが利用できないように、通信する前にユーザの確認を行います。L2Connect で利用可能な確認方法は、次のとおりです。

認証方式 概要 セキュリティ
パスワード L2Connect Serverに登録した文字列とL2Connect Accessで入力した文字列が一致することにより、ユーザ認証を行う。
低い
パスワード情報を入手しただけでなりすましが可能となる。総当たり攻撃が可能。
電子証明書(PKI) L2Connect Serverに登録された電子証明書と、対となる秘密鍵を持っていることによりユーザ認証を行う。
高い
PCに記憶された秘密鍵が盗まれないかぎり安全である。
認証デバイス ICカード 秘密鍵をICチップに収納し、PINで確認した後に、電子証明書認証を行う。ICチップから秘密鍵を取り出すことはできない。 単価は安いが、リーダ/ライタが必要。
非常に高い
物理的なICチップと、PINの情報の両方がないとなりすましできない。
USBトークン リーダ/ライタ不要で使い勝手が良い。
TPMチップ 一部PCに内蔵されている。
Q:
正規ユーザである社員が、利用が認められていない個人のPCにL2Connect Remote Accessをインストールして社内にアクセスすることを防ぐことはできますか?
A:
はい、防げます。
L2Connect ネットワークデバイスの仮想 MAC アドレスは、クライアント製品をインストールするときに乱数で作成され、インストールするたびに別の値となります。そのため、あらかじめ正規の仮想 MAC アドレスをL2Connect Server のフィルタリングリストに登録することにより、他のPCにクライアント製品をインストールしても通信できなくなります。
Q:
L2Connectのブリッジ機能により拠点間接続を実現しながら、一部のサーバは外部からアクセスできないようにすることは可能ですか?
A:
はい、できます。
L2Connect Bridge と L2Connect Server には、あらかじめ通信を許可する/しないMACアドレスを登録することができます。これにより、個人情報が収納されたデータベースや、何らかの理由によりセキュリティパッチが提要されていないPC等を、外部からアクセスできないようにすることができます。
Q:
L2Connect Bridge を用いて本社と支社を拠点間接続を行っていますが、社員が持ち込んだPCを支社のネットワークに接続すると、本社内にアクセスできてしまうのですか?
A:
いいえ、アクセスされません。
L2Connect Remote Bridge と L2Connect Server には、それぞれMACアドレスフィルタリング機能が搭載されています。通信を許可したい/許可したくないPCのMACアドレスを登録しておくことにより、必要最小限のPCのみがL2Connectネットワークに接続されるように制限をかけることができます。
制限場所 本社からのセキュリティポリシの強制 制限による通信効率向上
L2Connect Remote Bridge × あり
L2Connect Server なし
Q:
「どこでも使える」は困ります。接続できる場所を限定することは可能ですか?
A:
はい、限定できます。
L2Connectには通信元のIPアドレスを制限する機能があります。この機能を使うことにより、L2Connect Serverと通信できる場所をあらかじめ特定することができますので、例えば自宅からの接続を防ぐことなどが可能です。
Q:
インターネット上に設置された悪意あるサーバに社員が勝手にアクセスしたことにより、会社のサーバが攻撃を受けてしまう可能性はありますか?
A:
はい、攻撃を受けることはありません。
L2Connect 製品のライセンスには、グループ番号が設定されており、この番号が一致しないサーバ製品とクライアント製品は通信することができません。そのため、インターネット上の悪意のサーバに社員が接続することができなくなっています。
Q:
L2Connect を用いてユーザが勝手にブリッジすると、VPN、あるいはその先のネットワークとイントラネットが直接接続されてしまいます。セキュリティ上とても許容できないため、制限したいのですが可能でしょうか?
A:
はい、可能です。
イントラネットのセキュリティを考えた場合、ユーザが勝手にブリッジを作成することは絶対に許してはいけないことと考え、サーバ側とクライアント側の両方で制限ができるようになっています。
1.クライアントでの制限
L2Connect の PC 向けクライアント製品は、PCを接続する L2Connect Remote Access と、ネットワークを接続する L2Connect Remote Bridge に大別できます。それぞれには専用のライセンスが必要であり、L2Connect Remote Access でブリッジ機能を用いることはできないような技術的な仕組みが施されています。
2.サーバでの制限
L2Connect Serverに登録する際には、必ずユーザ種別(Remote Access か、Remote Bridgeか)を設定しなければなりません。そのため、万が一L2Connect Remote Accessと登録されたユーザがL2Connect Remote Bridgeのライセンスを入手したとしても、L2Connect Serverに接続することができません。
Q:
セキュリティレベルをできるだけ高くするため、L2Connect経由で利用できるアプリケーションを Web のみにしたいのですが、可能ですか?
A:
はい、可能です。
L2Connect Serverでは、通過/遮断するポート番号を指定することができます。アプリケーション毎に使用するポートは決まっていますので、例えばファイルコピーを禁止するなど、L2Connectネットワークで利用できるアプリケーションを制限することが可能です。
Q:
特定ユーザの利用できる範囲を制限するなど、細かく通信の制御を行いたいのですが、その設定方法を教えてください。
A:
はい、下記の方法で可能になります。
L2Connect Serverでは、ユーザ名、IPアドレス、ポート番号、プロトコル単位で許可/不許可を設定するアクセスコントロールリストを作成することが可能です。この機能を用いることにより、詳細な設定を行うことができます。
Q:
特定ユーザが接続できる期間を制限できるのでしょうか?
A:
はい、制限できます。
L2Connect自身にはユーザが利用できる期間を制限する機能はありませんが、認証に使用する電子証明書の有効期間を利用することにより、一定時間のみ有効なアカウントを作成することができます。簡易認証局では、1日単位で制限することができます。 なお、電子証明書の認証はL2Connect Server で行いますので、クライアントPCの時計を狂わせても、有効期間の過ぎた電子証明書を利用することはできません。
Q:
特定ユーザが接続できないようにすることは可能ですか?
A:
はい、可能です。
いくつかの方法により、ユーザが接続できないようにすることができます。
1 電子証明書を無効にする
発行した電子証明書が証明書廃棄リストに登録されると、その証明書を用いたユーザ認証ができなくなり、結果としてその証明書を利用しているユーザは接続できなくなります。
2 ユーザを接続拒否する
ユーザプロパティの接続拒否を設定することにより、当該ユーザの他の情報を変更せず、ユーザが接続できないようにすることができます。
3 ユーザを削除する
サーバのユーザデータベースから当該ユーザを削除することにより、ユーザが通信できないようにすることができます。
Q:
特定ユーザが接続できる期間を制限することは可能ですか?
A:
はい、制限できます。
L2Connect自身にはユーザが利用できる期間を制限する機能はありませんが、認証に使用する電子証明書の有効期間を利用することにより、一定時間のみ有効なアカウントを作成することができます。簡易認証局では、1日単位で制限することができます。 なお、電子証明書の認証はL2Connect Server で行いますので、クライアントPCの時計を狂わせても、有効期間の過ぎた電子証明書を利用することはできません。
Q:
社内での使用を禁止することは可能ですか?
A:
はい、禁止できます。
L2Connectプロトコルは、完全にhttpsプロトコルを偽装しておらず、特有の癖がつけてあります。そのため、ファイアウォールのセキュリティポリシで「httpsの偽造を許さない」等と設定することにより、L2Connectを利用できないように制限することができます。
Q:
社内はVLANにより通信できる範囲を制限しているのですが、これをリモートアクセス時にも適用することは可能ですか?
A:
はい、適用できます。
L2Connect では、ユーザ単位に指定した VLAN タグを付け、そのままイントラネットにフレームを出すことが可能です。これを既存のネットワークと結びつけることにより、部署毎などに設定されたVLANと、外部からのアクセスをシームレスに接続することが可能です。
Copyright© BizMobile Inc. All Rights Reserved. BizMobile株式会社
alt