Bomgar アプライアンスの構成

目 次

Bomgar

アプライアンスの概要

3

Bomgar

アプライアンス

Web

インターフェイス

4

アプライアンス管理用インターフェイスへログイン

5

ステータス

6

基本事項：アプライアンスの詳細表示

6

正常性：

Bomgar

仮想アプライアンスの正常性を表示する

7

ユーザー：パスワード とユーザ名の変更、ユーザーの追加

8

ネット ワーク

9

IP

構成：

IP

アド レスとネット ワーク設定の構成

9

静的ルート：ネット ワーク通信の静的ルート 設定

13

SNMP:

シンプル ネット ワーク マネジメント プロト コルの有効化

14

記憶域

15

ステータス

:

ディスク領域およびハード ド ライブ ステータス

15

暗号化：

KMIP 

サーバーと暗号化セッションデータを構成する

17

セキュリティ

19

証明書：

SSL

証明書の作成と管理

19

SSL/TLS

構成：

SSL

暗号とバージョンの選択

25

アプライアンス管理：アカウント、ネット ワークおよびポート の制限、シスログのセット アップ、ロ

グイン同意書の有効化、管理者アカウント のリセット

26

電子メールの構成：電子メールによるアラート 送信を送るためのアプライアンス設定

28

アップデート：新規の更新プログラムを確認し、ソフト ウェアをインスト ールする

30

サポート

32

ユーティリティ：ネット ワーク問題のデバッグ

32

アド バンスト サポート：

Bomgar

技術サポート へのお問い合わせ

33

Bomgar

アプライアンスの比較

34

Bomgar アプライアンスの概要

Bomgar

は、リモート サポート のためのアプライアンスベースのアプローチを最初に導入しました。特許取得済みの展開モデル「Bomgarアプラ イアンス」は、リモート サポート の導入で、非常にセキュアなオプションです。

Bomgar

アプライアンスは、物理または仮想バージョンのいずれも、独自のセキュリティ措置の下にある施設やデータセンターに配置できます。

この導入モデルにより、セキュリティの制御がしやすくなり、アイデンティティ管理を付属したリモート サポート を安全に統合できるようになります。

また、完全な監査証跡を得るためのレポート データやビデオのエクスポート を簡単に行えるようになります。

Bomgar アプライアンスの構 造

Bomgar

アプライアンスは、ハード ウェア管理をユーザー管理から隔離するために、

/appliance

と

/login

の

2

つの管理用

Web

インターフェイスを使用しています。

画 像：Bomgar B300アプライアンス

アプライアンス管理

Web

インターフェイス

/appliance

使用目的：

l ハード ウェアのインスト ールと構成

l

Bomgar

ソフト ウェアのアップグレード

ユーザー管理

Web

インターフェイス

/login

使用目的：

l ユーザーとワークフローの管理

l サポート アクティビティのレポート

l 統合の作成と使用 リソース

Bomgar

アプライアンス管理ガイド

リソース

Bomgar

管理用ガイド

本 書 の使 用

セキュリティ上の理由により、

Bomgar

はユーザー管理とアプライアンス管理を分けています。

従って、このガイド では、

Bomgar

アプライアンスの管理についてのみに焦点を当てていきます。ユーザー管理の情報

( /login Web

インターフェイ ス

)

は

Bomgar

管理用ガイドに記載されています。

Bomgar アプライアンス Web インターフェイス

本ガイド は、

/applianceWeb

インターフェイスにおける

Bomgar

アプライアンスの管理方法に役立つ情報をまとめています。このアプライアンス は、管理の中核的なポイント として、

Bomgar

サイト の管理機能をつかさどります。

本ガイド は、管理者が

Bomgar

アプライアンス ハード ウェア インスト ール ガイド

( www.bomgar.com/docs/privileged-access/getting-

started/deployment/hardware)

に記載された

Bomgar

アプライアンスの初期設定および構成を行った後に利用してください。

Bomgar

を正し くインスト ールした後、お客様へのサポート を直ちに開始していただけます。ご質問等は、

Bomgar

技術サポート

help.bomgar.com

までお問 い合わせください。

アプライアンス管理用インターフェイスへログイン

アプライアンスをインスト ールした後、お使いのアプライアンスの公開

URL

の 末尾に

/appliance

を追記して

(

例

: http://support.example.com/appliance

など

) Bomgar

アプライアンス管理用インターフェイスにログインします。

既定のユーザー名

: admin

既定のパスワード：

password

初回のログイン時に、管理用パスワード の変更を求められます。¹

ログイン画面が表示される前に承諾する必要のある「事前ログイン同意」を 有効にすることで、ログイン画面へのアクセスを制限することができます。事前 ログイン同意を有効にする場合は、

26

ページの「アプライアンス管理：アカウ ント、ネット ワークおよびポート の制限、シスログのセット アップ、ログイン同意 書の有効化、管理者アカウント のリセット 」をご確認ください。

注：セキュリ ティの関係 上、

/appliance

インターフェ イス用に使 用する管理 ユーザー名 とパスワード には、

/login

インターフェイス用とは異なるものを指定し、個々に管理する必要がありま す。

1

パスワード は

8

文字以上で、英数字の大文字、小文字、数字、特殊記号をそれぞれ

1

つ以上含んでいる必要があります。

ステータス

基本事項：アプライアンスの詳細表示

基本事項ページでは、

Bomgar

アプライアンスの情報を確認し、システムの 監視をすることができます。また、使用するローカルタイムを、任意のタイム ゾーンに設定することもできます。システムの時間は常に

UTC (

協定世界 時)で表示されます。

ほとんどの場合、この設定は通常変更されません。

Bomgar

は、一つのアプ ライアンスで複数のサイト を使用することを推奨していません。ただし、使用す る設定がひとつの

IP

アド レスに応答する複数のサイト を要求した場合、ド メ イン名ではなく、

IP

アド レスを直接入力して既定のサイト を選択します。一つ

以上の

DNS

エント リがこの

IP

アド レスにダイレクト されていて、「既定なし」を選択する場合、誰かが

IP

アド レスを入力してサイト にアクセスし ようとしても、エラーメッセージが表示されます。

このページから、

Bomgar

アプライアンスを再起動またはシャット ダウンできま す。アプライアンスの再起動は要求されませんが、定期メンテナンスの一環と して、月に一度は再起動することが推奨されます。この再起動を実行するた めに、物理的にアプライアンスにアクセスする必要はありません。

Bomgar

技術サポート からの指示がない限り、次の事項は実行しないでくだ

さい:アプライアンスを出荷時の既定値にリセット する ボタンをクリックすると、

Bomgar

アプライアンスは工場出荷時の状態に戻ります。これにより、すべて のデータ、構成設定値、サイト、アプライアンスの証明書は完全に削除され ます。アプライアンスがリセット されると、電源も自動的に切れます。

正 常 性 ： Bomgar 仮 想 アプライアンスの正 常 性 を表 示 する

注：正常性タブは、仮想アプライアンスまたはクラウド アプライアンスでサポートされているサイトでのみ表示されます。

正常性ページで、仮想アプライアンスまたはクラウド アプライアンスの状態を監視できます。使用中の

CPU

の数、および試用中メモリとスト レージの量に関する情報が表示されます。アプライアンスの正常性を改善するヒント については、ステータスおよびノート 欄を参照してください。

ユーザー： パスワードとユーザ名の変更、 ユーザーの追加

ここでは追加、編集、および

/appliance

インターフェイスの管理ユーザーを 削除することができます。また、管理者のユーザー名、表示名、またはパス ワード を変更することができます。

Bomgar

では、未承認アクセスから保護す るためパスワード を定期的に変更することを推奨しています。

26

ページの「アプライアンス管理：アカウント、ネット ワークおよびポート の制 限、シスログのセット アップ、ログイン同意書の有効化

、

管理者アカウント のリ セット 」をご覧ください。

注：

1

人以上のユーザー アカウントが定義されている必要があります。

Bomgar

アプライアンスには、予め管理者アカウントが

1

つ含まれていま す。管理者アカウントのみを所持する、追加アカウントの作成または管理 者アカウントを置き換えることができます。

ネット ワーク

IP

構成：

IP

アド レスとネット ワーク設定の構成

高度なネット ワーク構成を持つ企業は、アプライアンスのイーサネット ポート に複数の

IP

アド レスを構成することができます。複数のポート を使用すると、セキュリティを強化でき、非標準ネット ワークの接続が可能になります。例えば、インターネット へのアクセスが制限されてい る社員に対し、ネット ワークに接続しないサポート を提供しなくてはならない場合、ひとつのポート を内部のプライベート ネット ワークに使用し、 もう一方をパブリック インターネット に使用すれば、ネット ワークのセキュリティポリシーを侵害することなく、世界中どこでもユーザーがサポート を リクエスト できるようになります。

NIC

チーミングは、単一の論理インターフェースにシステムの物理ネット ワーク インタフェース コント ローラ

(NIC)

を組み合わせます。

NIC

チーミン グは、「アクティブ

-

バックアップ」モード で動作します。

NIC

の

1

つは、すべてのネット ワーク ト ラフィックに使用されます。何らかの理由でその

NIC

上のリンクが失われた場合、もう一方の

NIC

がアクティブになります。

NIC

チーミングを有効にする前に、両方の

NIC

が同じネット ワーク セグメ ント

(

サブネット

)

に接続されており、既存の

NIC

の

1

つにのみ

IP

アド レスが設定されていることを確認してください。

注：仮想アプライアンス環境またはクラウド アプライアンス環境を使用している場合、

NIC

チーミングの有効化 オプションは使用できません。

複数の

IP

アド レスを各

NIC

に割り当てることはできますが、他の

NIC

の

IP

アド レスと同じサブネット にある

IP

アド レスをもつ

NIC

には設定しないでくださ い。このシナリオでは、パケット ロスは、デフォルト ゲート ウェイを持たない

NIC

の

IP

から発生したパケット で発生します。次のような設定例を考えてみてくだ さい：

l

eth0

は、既定ゲート ウェイ

192.168.1.1

で設定します

l

eth0

は

192.168.1.5

に割り当てられています

l

eth1

は

192.168.1.10

に割り当てられています

l

eth0

と

eth1

の両方を、同じサブネット スイッチに接続します

この構成では、どちらの

NIC

がト ラフィックを受信したかにかかわらず、両方の

NIC

からのト ラフィックが既定ゲート ウェイ

(192.168.1.1)

に送信 されます。動的な

ARP

を使用して設定されたスイッチは、

eth0 (192.168.1.5)

または

eth1 (192.168.1.10)

のいずれかにランダムにパケット を 送信し、両方ではありません。

eth0

が

eth1

宛てのスイッチからこのパケット を受信すると、

eth0

はパケット をド ロップします。一部のスイッチは静 的な

ARP

で構成されています。これらのスイッチは、この

NIC

に既定ゲート ウェイがなく、ゲート ウェイの静的な

ARP

テーブルに存在しないた め、

eth1

から受信したすべてのパケット をド ロップします。同じサブネット 上に重複した

NIC

を構成する場合は、

NIC

チーミングを使用してくださ い。

Bomgar

リリース

17.1

以降、「

DCHP

：有効化ボックス」にチェックを入れることで、アプライアンスの

DHCP (Dynamic Host Configuration Protocol)

を有効にすることができます。

DHCP

は、

DHCP

サーバーを使用して

IP

アド レスなどのネット ワーク パラメータの配布を制御し、シス テムがこれらのパラメータを自動的に要求できるようにするネット ワーク プロト コルです。これにより、設定を手動で構成する必要性が減ります。

この場合、チェックを入れると、

DHCP

サーバーから

IP

アド レスが取得され、使用可能な

IP

アド レスのプールから削除されます。

注：

DHCP

の詳細については、「

DHCP

とは？」を

https://technet.microsoft.com/en-us/library/

で参照してください。

詳細の表示をクリックすると、アプライアンスの各イーサネット では、送信と受 信の統計を表示および確認できます。

グローバル ネット ワーク構成セクションでは、

Bomgar

アプライアンスのホスト 名を構成することができます。

注：ホスト名フィールド は、技術的要件を満たす必要はありません。ホスト名クライアント ソフトウェアまたはリモート ユーザーが接続するも のには影響しません。

(

これらを変更するには、

/login >

ステータス

>

情報

>

カスタム ビルド のクライアント ソフトウェア構築を参照してくださ い。クライアント ソフトウェアによって試行されたホスト名を変更する必要がある場合は、サポートがソフトウェア更新を構築するために、

Bomgar

技術サポートに連絡してください。

)

ホスト名フィールド は、主に複数の

Bomgar

アプライアンスを区別するのに役立ちます。電子 メール アラートを送信する

SMTP

接続を行うときに、ローカル サーバー識別子としても使用されます。これは、

/appliance >

セキュリティ

>

電子メール構成 に指定された

SMTP

リレー サーバー がロックダウンされている場合に便利です。この場合、構成されたホスト名は、アプラ イアンスの

IP

アド レスの逆引きと一致する必要があります。

使用するイーサネット ポート を選択し既定のゲート ウェイを指定できます。

1

つまたは

2

つ以上の

DNS

サーバーに対し

IP

アド レスを入力しま す。

DHCP

が有効になっている場合、

DHCP

リースではデフォルト のゲート ウェイと優先順位の高い

DNS

サーバーの一覧が表示されます。カ スタム

DNS

サーバー フィールド にリスト された、静的に設定された

DNS

サーバーが最初に接続を試行した後、

DHCP

から受信した

DNS

サーバーが続きます。ローカル

DNS

サーバーが使用できない場合、「

OpenDNS

サーバーにフォールバック」オプションで、

Bomgar

アプライアン スが

OpenDNS

から公開され利用可能になった

DNS

サーバーを使用できるようになります。

OpenDNS

についての詳細情報は、

www.opendns.com

をご覧ください。

ホスト が機能しているかどうかをテスト したい場合は、アプライアンスが、

ping

に応答できるようにします。

Bomgar

アプライアンスを同期する場 合は、ホスト 名または

IP

アド レスをネット ワーク タイム プロト コル

(NTP)

サーバーに設定します。既定の

NTP

サーバーは

clock.bomgar.com

です。

ポート 番号設定 エリアには

2

つの設定があります：サーバー リッスン ポート と 既定

URL

ポート です。これらを設定する場合、有効なポート への接続は、

/appliance >

セキュリティ

>

アプライアンス管理 および

/login >

管理

>

セ キュリティ で設定されたネット ワーク制限によって拒否される可能性がありま す。逆の場合もあります。無効なポート への接続は、接続がネット ワークの制 限を満たす場合でも拒否されます。

サーバー リッスン ポート セクションでは、アプライアンスが待機するポート を設 定できます。

HTTP

の場合はコンマ区切りのポート を

15

個まで、

HTTPS

の 場合は

15

個のコンマ区切りのポート を指定できます。各ポート は、任意の

フィールド に一度だけ、

1

つのフィールド にのみ表示され、両方に表示されることはありません。アプライアンスは、

HTTP

フィールド にリスト されてい るポート のいずれかに行われた

HTTP

接続に応答し、アプライアンスは

HTTPS

フィールド のいずれかのポート に対する

HTTPS

接続に応答し ます。

Bomgar

サポート に連絡してアプライアンスを更新する以外は、ビルト イン リッスン ポート

(80

と

443)

を変更することはできません。

ブラウザーを使って特定のポート でアプライアンスにアクセスするには、ブラウザーの

URL

にポート を入力する必要があります

(

例

:

support.example.com:8200)

。アプライアンスからダウンロード したクライアント は、カスタム ビルド のクライアント ソフト ウェア の下の

/login >

ス テータス

>

情報 のページにリスト されているポート への接続を試みます。これらのポート は、

/login

または

/appliance

アプライアンスから設定す ることはできません。それらを変更するには、

Bomgar

サポート に連絡して、アプライアンスに合わせて新しいアップデート を作成する必要があり ます。インスト ールが完了すると、アップデート のパラメータに

Bomgar

サポート によって 試行 ポート が設定されます。

「既定

URL

ポート 」は、サポート 技術スタッフ コンソールから生成されたセッション キーなど、アプライアンスを指す

URL

を生成するときに使用 されます。既定ポート がネット ワーク上でブロックされている

(

または他の理由で失敗する

)

場合は、既定

URL

ポート を変更して、指定したポー ト で生成した

URL

を生成させることができます。入力するポート は、「サーバー リッスン ポート 」にもリスト されていなければなりません。それ以 外の場合、既定ポート は接続されません。例えば、既定

URL

ポート フィールド に

8080

と入力した場合は、

8080

が

HTTP

または

HTTPS

リッスンポート フィールド にも含まれていることを確認してください。リッスンポート のフィールド とは異なり、いずれかの

URL

ポート フィールド にも複 数のポート を入力することはできません。両方のフィールド に同じポート を入力することはできません。

IP

アド レスを追加する、または編集する場合は、

IP

を有効にするか無効にす るかを選択します。この

IP

が機能するネット ワークポート を選択します。

IP

ア ド レスフィールド では、アプライアンスが応答するアド レスを設定できます。一 方、サブネット マスクは

Bomgar

が他のデバイスと通信するのを助けます。

このアプライアンスの

IP

アド レスと同じサブネット 上にある別の

IP

アド レスを編 集するときは、この

IP

アド レスをプライマリに指定するかどうかを選択する必 要があります。このチェックボックスをオンにすると、アプライアンスはこのIPアド レスをプライマリ、または元のサブネット の

IP

アド レスに指定します。これによ り、例えばそのサブネット 上のアプライアンスから発信されるネット ワーク ト ラ

フィックを、定義済みのファイアウォールのルールに従い一致および準拠させるのに役立ちます。

「アクセスの種類」から、この

IP

を介した公開サイト またはカスタマー クライアント へのアクセスを制限できます。「両方を許可する」を使用して、

公開サイト とカスタマー クライアント の両方へのアクセスを許可します。

注：

/login

インターフェイスへのアクセスを制限するため、

/login >

管理

>

セキュリティからネットワーク制限を設定します。

/appliance

イン

ターフェイスへのアクセスを制限する設定

/appliance >

セキュリティ

>

アプライアンスの管理からネットワーク制限を設定します。

管理

IP

アド レスを表示するときに¹

Telnet

サーバーのド ロップダウンから

3

つ の設定を行うことができます：「フル」、「簡易」および「無効」の

3

つの設定から 選択できるようになっています。下記の詳細をご覧ください。これらの設定で は、このプライベート

IP

のみが使用できる

telnet

サーバーのメニューオプショ ンを変更できます。緊急復元などの状況で使用できます。

Telnet

機能は、

1

管理

IP

アド レスを削除または変更しないでください。

特にビルト インのプライベート

IP

に関連付けられているため、他の構成

IP

アド レスでは表示されません。

設定 機能

フル フル機能を備えた

Telnet

サーバーの有効化

簡易

4

つのオプションがあります：

FIPS

エラーの表示、工場出荷時の状態にリセット、シャット ダウンおよび再起動 無効

Telnet

サーバーを完全に無効にします

静 的 ルート ： ネット ワーク通 信 の静 的 ルート 設 定

2

つのネット ワークがお互いに交信できない状態である場合、両方のネット ワークが個別に通信できる場所にアプライアンスがある条件下で、

一方のコンピュータにおける管理者が

Bomgar

アプライアンスを通じてもう一方のネット ワークのコンピュータに接続できるように静的ルート を確 立できます。

高度な設定を行える管理者のみが、静的ルート を設定できます。

SNMP: シンプル ネット ワーク マネジメント プロト コルの有 効 化

Bomgar

アプライアンスは、ネット ワーク、ハード ド ライブ、メモリ、および

CPU

の統計を監視することで、シンプル ネット ワーク マネージメント プ ロト コル

(SNMP)

をサポート しています。¹これにより、監視を目的として

Bomgar

アプライアンスをクエリするために

SNMP

プロト コルを経由して 可用性とその他の統計の取得するツールを使用できるようにします。

このアプライアンスに

SNMP

を有効化するには、

SNMPv2

の有効化にチェックマークを入れます。これにより

SNMPv2

サーバーが

SNMP

クエリ に応答できるようになります。このアプライアンスを

SNMP

を使用してクエリできるシステムの所在位置、読み取り専用のコミュニティ名、

IP

制 限事項、または

IP

アド レスの値を入力します。

IP

アド レスが入力されない場合、すべてのホスト はアクセスを許可されます。

記 憶 域

ステータス

:

ディスク領域およびハード ド ライブ ステータス

「ステータス」ページでは、

Bomgar

アプライアンスのハード ド ライブの領域の 使用率を表示します。

あなたのアクセス サイト ですべてのレコーディング機能(セッション、リモート シェル記録

)

を有効にする場合、または全体的なセッション カウント が高い場 合、ディスク使用率が高くなる場合があります。ディスク使用率

85-95%

では

アラームは発生しません。ハード ド ライブのディスク領域が残り少なくなったら、アプライアンスは自動的に一番古いセッションデータを削除し、そ の空いたディスク領域を新規セッションデータに使用します。

Bomgar B300

アプライアンスの特記事項

B300

では、データのバックアップに独立ディスク冗長アレイ

(RAID)

を使用し ています。

RAID 6

では、アプライアンスが4つのうちの2つのド ライブを喪失して も、データの損失が生じないようになっています。不具合が発生した場合、壊 れたド ライブを外し、送付メンテナンスの許可と修理またはド ライブの交換を 手配するために

Bomgar

までご連絡ください。損傷したド ライブを交換すると き、アプライアンスは自動的に新しいド ライブを使用して

RAID

を再構築しま す。ド ライブの交換時、アプライアンスの電源を切る必要はありません。

Bomgar B400

アプライアンスの特記事項

B400

には、

2

つの論理的

l独立ディスク冗長アレイ (RAID)

が搭載されてい ます。この

RAID

構成には、

2

つの論理

RAID

ド ライブに構成された

8

つの 物理ディスクド ライブが含まれます：

RAID 1

の構成は物理ディスク

0

、

RAID 6

の構成は物理ディスク

1

となります。

RAID 1

または

RAID 6

の物理ド ライブのひとつに不具合が発生した場合で も、性能への影響やデータの喪失は発生しません。ただし、

RAID 6

構成の

2

番目のド ライブに不具合が発生した場合、データの喪失はないものの、パ フォーマンスは低下します。

ハード ウェア不具合の通知

( B300

および

B400

のみ

)

アプライアンスの

LED

にも、ハード ド ライブの状態が表示されます。通常ディ スクのアクティビティを

LED

灯の点灯で知ることができます。ハード ディスクに 不具合が発生した場合、

LED

は赤く点灯し、可聴アラームによる警告で不 具合の通知が行われます。システムが回復する前にアラームを解除するに は、

Web

インターフェイスのアラームを解除ボタンをクリックしてください。

注:「サイレンス アラーム」ボタンは、アラームが鳴っていてもいなくても利用できます。このボタンは、特定の瞬間にアラームがアクティブである かを示すインジケータとして使用することはできません。

注：アラームが鳴っているかを確認するには、サイレンス アラーム ボタンのすぐ上にある 正常性ステータス を確認します。

Bomgar

アプライア ンスと同じ部屋でアラームが鳴っていて、ソースとしてのアプライアンスを削除する場合は、サイレンス アラーム ボタンを数回クリックして、可 能性のあるアラームをすべて取り消します。

暗 号 化 ： KMIP  サーバーと暗 号 化 セッションデータを構 成 する

暗号化 セクションでは、

Bomgar

アプライアンスに保存されているセッションデータを暗号化できます。セッションデータを暗号化するために他の 暗号化機能でデータを使用するには、鍵管理相互運用性プロト コル

(Key Management Interoperability Protocol, KMIP)

サーバーがご使 用の環境内で利用可能であり、必要な暗号化キーを保管し、

Bomgar

アプライアンスでディスクを暗号化および復号化する必要があります。

最初にデータを暗号化するときは、データは

4GB

以下に制限されています。ただし、最初の暗号化後、この

4GB

の制限は適用されなくなりま す。

注：最初に暗号化するデータが

4GB

を超える場合は、

Bomgar

技術サポートへ

help.bomgar.com

までお問い合わせください。

Storage :: KMIP

サーバー セクションで、外部

KMIP

サーバーのホスト 名と、サーバーにアクセスする必要のあるポート を入力します。有効な 証明書権限者の

CA

署名入り証明書をアップロード すると、

KMIP

サーバーが

Bomgar

アプライアンスとの識別情報を確認し、また

Bomgar

アプライアンスを

KMIP

サーバーに対して認証するために使用します。

パスフレーズ、ユーザ名、およびパスワード を入力して、

KMIP

サーバーへの認証をサポート します。保存して変更をテスト する をクリックすると、

Bomgar

アプライアンスと

KMIP

サーバー間の接続を保存して確認します。

KMIP

サーバーとアプライアンスとの間の接続が確立されると、スト レージ

::

暗号化 セクションの 暗号化 ボタンが利用可能になります。

KMIP

サーバーが適切に設定されていない場合、またはデータが以前に暗号化されていない場合は、暗号化 オプションは使用できず、代わりに 非 暗号化 と表示されます。

暗号化 ボタンをクリックすると、アプライアンスはセッション データをバックアップし、

KMIP

サーバーに格納する暗号化キーを生成するプロセスを 開始します。暗号化キーが保存されると、データは暗号化され、バックアップが復元されます。

詳細については、「保存データの暗号化のホワイト ペーパー」を

www.bomgar.com/docs/remote-support/how-to/data-at-rest/index

にてご 確認ください。

セキュリティ

証明書：

SSL

証明書の作成と管理

自己署名入り証明書および証明書リクエスト を作成し、証明書権限者によって署名された証明書をインポート し、どの

IP

アド レスをどの証 明書で安全に維持するかを決定して、

SSL

証明書を管理します。

証明書のインスト ール

Bomgar

アプライアンスには、予め自己署名入り証明書がインスト ールされて います。ただし、

Bomgar

アプライアンスを効果的に使用するためには、少なく とも自己署名入り証明書を作成する必要があります。または、証明書権限 者によって署名された証明書のリクエスト をしてアップロード するのが好ましい 形です。

自己署名入り証明書または証明書リクエスト を作成するには、作成をクリック します。「証明書の覚えやすい名前」では、この証明書を認識するための名 前を入力します。キーのド ロップダウンから、新規キーの作成を選択するか、

既存のキーを選択します。あなたの組織に当てはまる情報を入力します。

注：リクエストされた証明書が交換されている場合は、交換された証明書の既存するキーを選択する必要があります。

リクエストされた証明書が再キーの場合は、証明書に新規キーを選択します。

再キーのセキュリティ

::

証明書

::

新規証明書セクションのすべての情報は、再キーがリクエストされた証明書と同じものにする必要があり ます。新しい証明書の覚えやすい名前を使用することで、セキュリティ

::

証明書 セクションで証明書を簡単に識別できるようになります。

セキュリティ

::

証明書セクションに表示される一覧から以前の証明書をクリックして、再キーを必要する情報を取得することができます。

新規キーまたは再キー証明書で行う

IP

アド レスのインポートおよび適用のステップは同じです。

名前

(

一般名

)

のフィールド で、

Bomgar

サイト のわかりやすいタイト ルを入力します。

代替名のサブジェクト セクションで、

Bomgar

サイト のホスト 名を入力して 追加 をクリックします。この

SSL

証明書で保護される各

DNS

名ま たは

IP

アド レスに

SAN

を追加します。

注：

DNS

アド レスは完全修飾ド メイン名として入力できます。例えば、access.example.com、またはワイルド カード ド メイン名などです。

ワイルド カード ド メイン名は、

access.example.com、

などの複数のサブド メインに対応します。

証明書権限者によって署名された証明書を取得する場合は、「証明書リクエスト の作成」をクリックし、証明書署名要求

( CSR)

を行います。

それ以外は、自己署名入り証明書の作成をクリックします。

証明書権限者の署名付き証明書を使用するには、選択した証明書権限 者に連絡し、

Bomgar

で作成した

CSR

を使用して新しい証明書を購入し ます。購入が完了すると、証明書権限者は一つまたは複数の新しい証明書 ファイルを送信します。それぞれの証明書ファイルは

Bomgar

アプライアンス にインスト ールする必要があります。

証明書および/またはプライベート キーをアップロード するには、「インポート 」を

クリックします。最初のファイルを参照してアップロード します。証明書権限者によって送信された各証明書に対してこれを繰り返します。多くの 場合、証明書権限者は、

Bomgar

アプライアンスにインスト ールする必要があるルート 証明書を送信しません。ルート が見つからない場合は、

新しい証明書の下に警告が表示されます：「証明書チェーンに一つまたは複数の証明書権限者が存在せず、自己署名証明書で終了しな いようです。」

アプライアンス証明書のルート 証明書をダウンロード するには、証明書権限者から送信された情報を調べて、適切なルート へのリンクを確認し ます。存在しない場合は、証明書権限者に連絡して入手してください。これが実行不可能な場合は、ウェブサイト でルート 証明書スト アを検 索してください。これには証明書権限者のすべてのルート 証明書を含み、すべての主要な証明書権限者はルート スト アをオンラインで公開し ています。

通常、証明書の正しいルート を見つける最も簡単な方法は、ローカルマシンで証明書ファイルを開き、「証明書パス」または「証明書階層」を 調べることです。この階層またはパスのルート は、通常、ツリーの最上部に表示されます。証明書権限者のオンライン ルート スト アのルート ス ト アでこのルート 証明書を探します。完了したら、証明書権限者のルート スト アからダウンロード し、上記の通りに

Bomgar

アプライアンスにイ ンポート します。

重 要

！

証明書がいずれのホスト名をも保護する前に、必ずひとつまたは複数のIPアド レスを証明書に割り当ててください。証明書名をクリックして

IP

アド レスを割り当てます。

中間および

/

またはルート 証明書は、現在使用中

(

または使用中であった自己署名入り証明書

)

のものとは異なります。新しい証明書に

IP

ア ド レスを割り当てる前に、

Bomgar

技術サポート からアップデート をリクエスト してください。

Bomgar

技術サポート は、新しい証明書とその中間 およびルート 証明書のコピーを必要としてます。

注：複数の

IP

アド レスがお使いのアプライアンス宛になっている場合は、

IP

アド レスに割り当てられた証明書が、その一般名およびサブジェ クトの別名に対応していることを確かめます。ホスト名に対応する

IP

アド レスが不明な場合には、ホスト名をpingして、どの

IP

アド レスに 解決するかを確認できます。証明書によって保護されたホスト名を使用して何者かがあなたのサイトにアクセスしようとした場合で、ホスト 名に対応する

IP

アド レスがその証明書に割り当てられていない場合は、サイトにアクセスしようとした人物はセキュリティエラーを受信し、接 続が信頼できるものではないという警告を受けます。

証明書

お使いのアプライアンスに利用できる

SSL

証明書の表を表示します。

サーバ名表示

(SNI)

を提供しない接続、または間違った

SNI

を提供する接 続の場合は、リスト から既定の

SSL

証明書を選択して、既定 欄の下のボタ ンをクリックして接続します。既定の

SSL

証明書は、自己署名証明書でも 初期インスト ール用に提供された既定の

Bomgar

アプライアンス証明書でも ありません。

注：

SNI

の詳細については、サーバー名表示

(Server Name Indication)を https://cio.gov/sni/

で参照してください。

証明書の名前をクリックして詳細を表示し、証明書チェーンを管理して。

重 要

！

新たに

IP

アド レスをアプライアンスに追加する度に、そのアド レスには出荷 時既定証明書が割り当てられます。新しい

IP

アド レスを確保する適切な 証明書の

IP

アド レス構成を更新する必要があります。このアド レスは、ネッ トワーク上で登録された

DNS

ホスト名が必要であり、適切な証明書は、

IP

アド レスではなく

DNS

アド レスのサブジェクトの別名

(SAN)

エントリがあ る証明書です。証明書は、

IP

アド レス

SAN

エントリを含めることができます が、これはほとんどの場合推奨されない構成です。

1

つまたは複数の証明書をエクスポート するには、該当する証明書のボックスにチェックマー クを入れ、表の上部にあるド ロップダウンからエクスポート を選択した後、適用をクリックしま す。

証明書を

1

つのみエクスポート する場合は、利用可能であれば、証明書、

プライベート キー

(

オプションのパスフレーズ保護あり

)

、証明書チェーンのすべ て、またはそのいずれかを含むことをすぐに選択できます。エクスポート をクリッ クしてダウンロード を開始します。

複数の証明書をエクスポート する場合は、各証明書を個々にエクスポート す るか、

1

つの

PKCS#7

ファイルでまとめてエクスポート するかを選択できます。

複数の証明書を

1

つのファイルでまとめてエクスポート する場合は、続行をク リックしてダウンロード を開始します。このオプションを使用すると、実際の証 明書ファイルのみがエクスポート され、プライベート キーや証明書チェーンはエ クスポート されません。

プライベート キーおよび証明書チェーン、またはそのいずれかをエクスポート に 含めるには、個々のエクスポート を選択し、続行をクリックして選択した証明 書をすべて表示します。リスト されたものごとに、利用可能であれば、証明 書、プライベート キー

(

オプションのパスフレーズ保護あり

)

、証明書チェーンの すべて、またはそのいずれかを含めることを選択します。エクスポート をクリック してダウンロード を開始します。

注：プライベートキーは、例外的にのみ、または一切アプライアンスからエク スポートしないようにする必要があります。もし盗まれた場合、キーを生成 した

Bomgar

サイトは攻撃者によって容易に危害を受けることがあります。

エクスポートする必要がある場合は、プライベートキーに必ず強力なパス ワード を割り当てる必要があります。

1

つまたは複数の証明書を削除するには、該当する証明書のボックスにチェックマークを入 れ、表の上部にあるド ロップダウンから削除を選択した後、適用をクリックします。

注：通常の使用状況下では、正常に動作する代わりの証明書に置き換え られるまで、証明書を決して削除しないください。

正確さを保証するには、削除したい証明書を見直した後、削除をクリックし ます。

証明書リクエスト

サード パーティが署名した証明書に対する保留リクエスト を表示します。証明 書リクエスト 名をクリックして詳細を表示します。

また詳細の表示には、あなたが希望する証明書権限者に署名入り証明書 を依頼する際に提供できるデータも含まれています。

注：証明書を更新する場合、元の証明書に使用したものと同じ証明書リ クエスト データを使用します。

1

つまたは複数の証明書リクエスト を削除するには、該当するリクエスト のボックスにチェック マークを入れ、表の上部にあるド ロップダウンから削除を選択した後、適用をクリックしま す。

正確さを保証するには、削除したい証明書リクエスト を見直した後、削除を クリックします。

キー

お使いのアプライアンスの証明書および証明書リクエスト に関連したプライ ベート キーの表を表示します。関連証明書名またはリクエスト 名をクリックし て、関連項目の詳細を表示します。

1

つまたは複数のプライベート キーを削除するには、該当するキーのボックスにチェックマーク を入れ、表の上部にあるド ロップダウンから削除を選択した後、適用をクリックします。

正確さを保証するには、削除したいプライベート キーを見直した後、削除をク リックします。

注：使用中の証明書に関連したキー( IPアド レスが割り当てられているも の)は削除できません。

SSL/TLS 構 成 ： SSL 暗 号 とバージョンの選 択

TLSv1.1

、

TLSv1

、および

/

または

SSLv3

を有効にするか無効にするかを選 択します。最適なセキュリティを得るために、

Bomgar Web

インターフェイス は、

TLSv1.1、 TLS1.0

または

SSLv3

に変換する前に、常に既定で

TLSv1.2

を指定する必要があります。

ただし、一部の旧ブラウザは

TLSv1.2

に対応していない場合があります。

1

つ以上の旧セキュリティ プロト コルを無効化にして、有効化したセキュリティ プ ロト コルをサポート していない旧ブラウザーから管理用インターフェイスへのアク セスする場合、

Bomgar

はログインを許可しません。

TLSv1.1

、

TLSv1.0

、お よび

SSLv3

を有効にすることで、ブラウザのバージョンに関わらず任意のコン ピュータから

Web

インターフェイスに接続できるようになります。

この設定は、

Bomgar

アプライアンスの

Web

インターフェイスに対する接続に 主に影響します。お使いのコンピュータとお客様のコンピュータ間のサポート ト ンネルは、有効化した他のセキュリティ プロト コルに関わらず、常に

TLSv1.2

で暗号化されます。

お使いのアプライアンスでどの暗号群を有効にするのか、無効にするのかを 選択します。優先順位を変更するには、暗号群をド ラッグアンド ド ロップしま す。暗号群への変更は保存ボタンがクリックされるまで有効になりません。

アプライアンス管 理 ： アカウント 、ネット ワークおよびポート の制 限 、 シスログのセット アップ、

ログイン同 意 書 の有 効 化 、 管 理 者 アカウント のリセット

最大ログイン試行回数を設定することで、

/appliance

管理用インターフェイ ス アカウント へのアクセスを管理します。最大ログイン試行回数を超えた場 合のアカウント ロック期間を設定します。また、有効期限が切れるまでのパス ワード が使用できる日数および、過去に使用した同じパスワード の使用制 限を設定します。

許可、不許可のネット ワークアド レスを設定することで、またインターフェイスが アクセスできるポート を選択することで、アプライアンスの管理用インターフェイ スのアクセスを制限することができます。

承認アド レス フィールド に、

IP

アド レスまたは

/appliance

へのアクセス権が毎 回付与されるネット ワークを定義します。拒否アド レスで、

IP

アド レスまたは

/appliance

へのアクセスが毎回拒否されるネット ワークを定義します。承認 または拒否する

IP

アド レス、および上記フィールド のいずれにも一覧表示さ れないネット ワークを決定するために、既定アクションのド ロップ ダウンを使用 します。重複している場合は、最も正確に一致するものが優先されます。

例えば、

10.10.0.0/16

へのアクセスを許可、

10.10.16.0/24

へのアクセスを拒 否し、他からのすべてのアクセスを拒否する場合は、

10.10.0.0/16

を承認ア ド レス フィールド に、

10.10.16.0/24

を拒否アド レス フィールド に入力し、既 定アクションを拒否に設定します。

Bomgar

ア プライアンス は、

Bomgar

ク ライアント

間のピアツーピア接続を容易にするために、

UDP

ポート

3478

で

STUN

サー

ビスを実行するように設定できます。この機能を使用するには、ローカル

STUN

サービスを有効にする チェックボックスをオンにします。

シスログ サーバーにエント リをコンマで区切って

10

個までのログ メッセージを 送信できるように、アプライアンスを構成することができます。イベント 通知メッ セージのデータ形式を選択します。標準仕様

RFC 5424

、従来の

BSD

形 式、またはシスログの

TLS

化のいずれかから選択します。

Bomgar

アプライア ンスのログは

local0

ファシリティを使用して送信されます。

注：シスログの

TLS

化は常に

TCP

ポート

6514

を使用します。

詳細なシスログ メッセージの参考資料については、「シスログ メッセージのリファレンス ガイド 」を

www.bomgar.com/docs/remote- support/how-to/integrations/syslog/index

にてご確認ください。

ユーザーが

/appliance

管理用インターフェイスにアクセスする前に、承諾する

ログイン情報を忘れた場合、または変更する必要がある場合に、サイト の管 理者ユーザー名およびパスワード を既定値に復元できる管理者アカウント の リセット を選択することができます。

電 子 メールの構 成 ： 電 子 メールによるアラート 送 信 を送 るためのアプライアンス設 定

Bomgar

アプライアンスが自動メール通知を送信できるよう、

SMTP

リレーサーバーを構成し、

1

つまたは

2

つ以上の管理者連絡先を設定し ておきます。

管理者連絡先の電子メールアド レスを入力したら、設定を保存し、すべてが正しく機能することを確認するためのテスト 電子メールを送信しま す。

電子メールは次のイベント に対して送信されます：

l シスログ サーバーの変更

– /appliance

のユーザーがシスログ サーバのパラメータを変更しました。

l

RAID

イベント

– 1

つ以上の

RAID

ロジカル ド ライブが最適の状態ではありません

(

劣化または一部が劣化している状態

)

。

l

SSL

証明書有効期限の通知

–

使用中の

SSL

証明書(エンド エンティティ証明書またはチェーン内の任意の

CA

証明書のいずれか を含む

)

が

90

日以内に期限切れになります。

アップデート ： 新規の更新プログラムを確認し、 ソフト ウェアをインスト ー ルする

このアプライアンスは定期的に重要なアップデート を確認し、利用できる場合 は管理者連絡先に電子メールを送信します。更新プログラムを自動的にイ ンスト ールするかを選択し、ド ロップダウン メニューを使用してインスト ールの 時間を選択できます。

アプライアンスの再起動やサービスの中断が必要なアップデート は、ボックスに チェックを入れている場合を除いて、自動アップデート プロセスからは除外されます。

最新のビルド が利用可能になると、

Bomgar

から通知が届きます。新規アッ プデート パッケージがアプライアンスにビルド された通知を受け取ったら、アップ デート を確認するボタンをクリックして、パッケージの場所を確認し、インスト ー ルする準備をします。

複数のソフト ウェアパッケージがアプライアンスにビルド されている場合、利用 可能なアップデート の一覧に個別にそれぞれが表示されます。このアップデー ト をインスト ールするボタンをクリックすると、新規ソフト ウェアが自動的にダウン ロード され、インスト ールが開始します。

Bomgar

アプライアンスで使用できるアップデート パッケージまたはパッチがな い場合は、「利用可能な更新プログラムがありません」というメッセージが表 示されます。アップデート は利用可能ですが、アプライアンスにアップデート を

配布するときにエラーが発生した場合は、「アップデート の際にエラーが発生しました。詳細情報は、

help.bomgar.com

をご覧ください。」など のメッセージが表示されます。

アップデート を確認する機能の使用は必須ではありません。アプライアンスが インターネット に接続されていない場合、または組織のセキュリティポリシーの ため自動アップデート 機能が使えない場合は、手動でアップデート を確認す ることができます。アプライアンス ダウンロード キーリンクをクリックし、一意のア プライアンスキーを生成した後、制限のないシステムで、

update.bomgar.com

からそのキーを

Bomgar

アップデート サーバーへ送信し ます。利用可能なアップデート を取り外しのできる保存デバイスへダウンロー ド した後、そのアップデート をお使いのアプライアンスが管理できるシステムへ 転送します。

ソフト ウェアパッケージをダウンロード した後、手動インスト ールセクションでファ イルを参照し、ソフト ウェアのアップデート ボタンをクリックしてインスト ールを完 了します。

注：ダウンロード 後にすぐソフトウェアアップデートを直接インストールできる よう準備をしてください。アップデートがインストールされたら、利用可能な アップデートのリストに表示されなくなります。ソフウエアのアップデートを再

用または

ATLAS

用

)

は、

EULA

は一度だけ承諾する必要があります。

download.bomgar.com

を通じてアップデート を取得する際は、

EULA

承諾プロセスは同一のものです。

EULA

の拒否を選んだ場合、エラーメッセージが表示され

Bomgar

ソフト ウェアのアップデート ができなくなります。

EULA

を承諾した後にアップデート に問題がある場合は、

Bomgar

技術サポート まで

help.bomgar.com

にてお問い合わせください。

インスト ール中、このアップデート ページには全体的なアップデート 進行状況を通知する進行状況バーが表示されます。ここで行ったアップデー ト により、お使いの

Bomgar

アプライアンスのすべてのサイト とライセンスも自動的にアップデート されます。

ソフト ウェアのアップデート をインスト ールしている最中、ログイン済みのサポー ト 技術スタッフは、一時的に技術サポート セッションと

Bomgar

サポート 技術 スタッフ コンソールへの接続を失うことなります。そのため、ソフト ウェアのアップ デート はピーク時間以外に予定してください。ただし、アップデート パッケージに 追加ライセンスのみが含まれている場合は、サポート 技術スタッフの接続に 支障をきたすことなく、アップデート をインスト ールできます。

最新の

Bomgar

アップデート の情報を得るには、

http://www.bomgar.com/support/changelog

をご覧ください。

サポート

ユーティリティ：ネット ワーク問題のデバッグ

ユーティリティ セクションは、ネット ワーク問題のデバッグに使用できます。接続を確立できない場合に、これらのユーティリティが理由を特定する のに役立ちます。アプライアンスの

DNS

サーバーをテスト し、ホスト 名または

IP

アド レスが正しく解決されているかを確認します。

Bomgar

アプ ライアンスで

Ping

を使用してネット ワーク接続をテスト します。ト レースルート を使用してパケット がアプライアンスから外部システムへ移動する パスを表示できます。

TCP

接続テスト を使用して、ターゲット

IP

アド レスまたはホスト 名の特定ポート 接続を確認することもできます。

アドバンスト サポート ： Bomgar 技 術 サポート へのお問 い合 わせ

アド バンスト サポート セクションでは、

Bomgar

技術サポート チームの連絡先情報を提供しています。また、アプライアンスで開始されたサポー ト ト ンネルを

Bomgar

技術サポート に戻すことも可能です。これにより、複雑な問題も素早く解決できます。

進行中の

Bomgar Corporation

とのサポート セッション が表示されている場合、

Bomgar

技術サポート は

Bomgar

アプライアンスでアクティ ブなセッションを行っています。時間 欄は、

Bomgar

技術サポート があなたのアプライアンスとどのくらいの時間セッションしているかを示します。

セッションを停止するには、終了 をクリックすると、アプライアンスと

Bomgar

技術サポート との間のト ンネルが閉じられます。

Bomgar アプライアンスの比較

B400 ( 詳細 _{) B300 (} 詳細 _{) B200 (} 詳細 ₎

カスタマー サポート 技術スタッ フの最大能力

同時技術者は

1200

人 まで 同時技術者は

300

人 まで 最大

3

セッションごとに

20

人までの 同時技術者を実行する

Jump

テクノロジー

25,000

人までのアクティブ

Jump Client

10,000

人までのアクティブ

Jump Client

1,000

人までのアクティブ

Jump Client

展開

1U

ラックマウント 可能サーバー

Atlas

展開に互換性あり

1U

ラックマウント 可能サーバー

Atlas

展開に互換性あり

1U

ラックマウント 可能サーバー