IBM Support

アシスト・オンサイトのセキュリティーについて

Troubleshooting


Problem

[Japanese] アシスト・オンサイトは、 IBM のサポート・エンジニアがお客様のコンピュータへアクセスし、リアルタイムで問題確認、および解決方法の早期提供を可能にするツールです。本技術情報では、このツールのセキュリティー、および機能の詳細について説明します。

Environment


Resolving The Problem

アシスト・オンサイトのセキュリティーについて
企業の IT 環境へのリモート・アクセスを許可する場合、セキュリティーとプライバシーは基本的な懸念事項です。アシスト・オンサイトは最新のセキュリティー技術で、IBM のサポート・エンジニアとお客様の間で行われるデータ交換に十分なセキュリティーを保証します。接続者の身元は、業界標準の認証技術によって確認、および保護されます。また、アシスト・オンサイトのセッションは、ランダムに生成される非公開のセッション・キーの使用と高度な暗号化機能によって、そのセキュリティーとプライバシーを確保します。

アシスト・オンサイトは、IBM のサポート・エンジニアのお客様のコンピュータへのアクセス、リアルタイムでの問題確認、および解決方法の早期提供を可能にします。
アシスト・オンサイトは、IBM のサポート・エンジニアがその問題の原因を解析し、適切な修正措置を迅速に行うことを可能にする強力なツールです。


アシスト・オンサイトの機能
お客様が問題や質問のために SR や電話等にて PMR をオープンすると、問題の詳細な解析のために、IBM のサポート・エンジニアからスクリーン共有のセッションをお願いすることがあります。IBM のサポート・エンジニアはお客様の名前、お客様番号、PMR 番号と接続コード(Connection code)を入力していただくためにアシスト・オンサイトの URL- http://www.ibm.com/support/assistonsite をお知らせします。接続コードは 5 分間、また一度限り有効な、ランダムに生成された 7 桁の番号となります。サポート・エンジニアは、ネットワーク接続の遅延など必要に応じて、有効時間を更に 10 分間延長することが可能です。接続コードがリレー・サーバーで認証され、セッション・キーが生成されると接続が確立されます。

通常、前述のフォームの入力も含めて、セッションを開始するまでに必要な時間は 1 分ほどです。
600Kb に満たないプラグ・インがお客様のウェブ・ブラウザーを介して自動的にダウンロードされますが、ソフトウェアのインストールは必要ありません。このプラグ・インは、IBM のリレー・サーバーの安全でウィルスのない環境に保管されており、各セッションが確立される毎にダウンロードされるようになっています。

スクリーン共有のセッションが開始されると、IBM のサポート・エンジニアはリレー・サーバーを介してお客様のコンピュータへアクセスします。ランダムに生成された長いセッション・キーを双方に発行することで、指定されたサイト間のみでの接続を確保します。セッションの間、画面データ、ファイル転送データ、および身元認証を含めて、転送される情報はすべて暗号化されます。暗号化と復号化はエンド・ツー・エンドであり、データ転送中に傍受されることはありません。また、転送される情報は、アシスト・オンサイトのコンソールのみで表示可能です。


承認とアクセス制御
アシスト・オンサイトのセッションは、お客様のみが開始可能です。セッションの開始時にブラウザー・プラグ・インの受け入れを拒否することにより、ダウンロードを拒否することも可能です。お客様が接続を許可した場合、”チャットのみ”、”ビューのみ”、もしくは”操作の制御を共有する”が選択できます。セッション中に、マウスやキーボードの制御を取り戻すと同時にスクリーン共有の終了を行うことも可能です。一旦セッションが終了すると、サポート・エンジニアがお客様のコンピューターへ再び接続することは出来ません。新規セッションには、新規のセッション・キーが必要となり、セッションはお客様だけが開始出来ます。


強固なパスワード保護
アシスト・オンサイトのセッションは、強固なパスワード認証にて保護されています。サポート・エンジニアは、チャレンジ・レスポンス方式のパスワードにより認証されます。IBM のシステム管理者は、マネジメント・センターを介して得られる監査レポートから、不正確な ID 、パスワードによるログイン失敗などを知ることが出来ます。


高度な暗号化
アシスト・オンサイトは、セッション中の転送データに部外者がアクセスすることを阻止するため、外部への接続に HTTPS ブラウザー・セッションの最先端技術である 128 ビット MARS 暗号を採用しています。チャット、ビュー、スクリーン共有、データ転送はエンド・ツー・エンドで暗号化され、パケットは通信サーバーを経由する際も決して復号されません。


ファイアーウォールでの妥協なし
アシスト・オンサイトは、殆どのファイアーウォールに対しシームレスに動作します。通常、アシスト・オンサイトの接続は、ファイアー・ウォールの再設定は必要ありません。アシスト・オンサイトは、接続の両端が外向きポートにアクセスするので、通常、ファイアー・ウォールへ穴を開ける必要はありません。


プロキシ検知
プロキシは、ブラウザー設定もしくはレジストリ・キーから検出されます。Internet Explorer、Netscape、Mozilla、Firefox のウェブ・ブラウザーをサポートしています。Java Script パーサーが使用できる場合、プロキシ設定は、Java Script パーサーを介して確認されます。そうでなければ、手動でのプロキシ設定をサポートします。
接続が確立されない場合は、connrpt.txt file として診断レポートが作成されます。
このレポートについては、aos@us.ibm.com にてサポート可能です。


手動でのプロキシ設定について
手動でのプロキシ設定は、設定ファイル -proxy_ibm.txt にて可能です。以下のフォーマットで設定する必要があります:
Proxy=myproxy.mycompany.com:<1234>
<1234> は、お客様がインターネットへの外向き(アウト・バウンド)の通信に使用するプロキシのポート番号です。
このファイルは、C:\ ディレクトリー、またはユーザーのホーム・ディレクトリー直下に配置してください。


ポート、リレーホスト、IP 情報
お客様のファイアー・ウォール、プロキシに追加の設定が必要な場合、必要なIPアドレス、ポート設定は以下の表を参考にしてください。

Hostname / GEOIPPorts
aos.us.ihost.com72.15.208.2348200 or 80
Americas Relay72.15.208.2348200 or 80
EMEA Relay81.144.208.2298200,443 or 80
Asia Pacific Relay203.141.90.538200,443 or 80

アシスト・オンサイトを動作させるためには、暗号化された非 SSL 外向きトラフィックを、以下のサーバに対して許可する必要があります:
72.15.208.234 on port 8200 or 80

また、スループットを良くするために地理的に近いリレー・サーバーを使用する場合は、暗号化された非 SSL の外向きトラフィックを、以下のいづれかのリレー・サーバーに対しても併せて許可する必要があります:
72.15.208.234 on port 8200 or 80
81.144.208.229 on port 8200,443 or 80
203.141.90.53 on port 8200,443 or 80

ログと確認
サーバー側のログは、お客様の名前と IBM お客様番号、サポート・エンジニアの名前とサーバーから割り振られるそのセッション固有の番号、お客様とサポート・エンジニアの IP アドレス、MAC アドレス、そして接続、切断のタイム・スタンプといったセッション情報を記録します。このログのほかに、お客様がご自身のマシンでセッションを確認することも可能です。
ログの採取は、お客様がサポート・セッションを受け入れるにあたって、明示的に有効にする必要があります。これは、以下のセッション許諾ダイアログ上で、チェックボックスにチェックを入れることで実現できます。




この設定により、アシスト・オンサイトのイベントは、ウィンドウズのアプリケーション・ログに記録されます。イベントに含まれるものは以下のとおりです:

- 接続と切断
- 初期化時のセッション・モードと、それ以降の異なるセッション・モードへの変更
- 送信および受信したファイル名
- コンソールから要求されたシステム情報

以下は、ウィンドウズ・イベント・ビューアー上のアプリケーション・ログにて記録されるイベントのサンプルです。




最初のイベントのスクリーンショットは以下のとおりです。また、継続のイベントは、スクリーンショットに続くテキストに抜き出してあります。




1. INFO, Agent AgentX started Shared Control from 127.0.0.1[00:00:00:00:00:00] (Secure) (Linux),
--> INFO, System information sent to 127.0.0.1 (requested by user AgentX),
--> INFO, File MANUAL.TXT started to be received,
--> INFO, File MANUAL.TXT was received successfully,
--> INFO, File LotusInstall.log started to be sent,
--> INFO, File LotusInstall.log was sent successfully,
--> INFO, Session changed to Shared View,
--> INFO, System information sent to 127.0.0.1 (requested by user AgentX),
--> INFO, Agent AgentX's session closed normally,


テンポラリーファイル
メイン・ドライバーは ibmaos.exe であり、forthook.dll、tgrab.sys、aosdel.exe と共に配布されます。

Forthook.dll は、マウス、キーボードの操作をフックします。つまりマウス位置の座標、ウィンドウズのイベント・キューへの挿入、拒否を可能にします。また、セッション終了時にポーズ・キーの押下等を検出することも出来ます。

Tgrab.sys は、ウィンドウズの全画面テキスト・モードをサポートします。

Forthook.dll と tgrab.sys は ibmaos.exe によりセッション終了の際に削除されます。

Aosdel.exe は ibmaos.exe を削除する役目があります。Aosdel.exe は除去のマークが付けられるため、マシンの再起動時に、ウィンドウズにより自動的に削除されます。

最後に、お客様がアドミニストレーターの権限を持ち、システム情報を要求された際、マシンのシリアル番号等のシステム情報を取得するために、ドライバー (egathdrv.sys) が system32 フォルダーにコピーされロードされます。このドライバーは、操作完了時にアンロードされ、自動的に削除されます。

その他:
IBM サポートのウェブサイトにて、検索キーワードを "trcaos" と入力すると、さらなるドキュメントが検索可能です。

http://www.ibm.com/search/?q=trcaos&co=any&lo=any&lang=ja&en=utf

さらにアシスト・オンサイトについてお知りになりたい場合は、 aos@us.ibm.com へご連絡ください。
(現在、お問い合わせは英語のみとなっております。ご不明な点は、PMR 担当のエンジニアにご相談ください)

Related Information

[{"Product":{"code":"SSSTY3","label":"Rational Customer Support"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"Diagnostic Utilities","Platform":[{"code":"PF033","label":"Windows"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"","label":""}}]

Document Information

Modified date:
16 June 2018

UID

swg21432062