リモート操作における不正操作を防止するには？：運用管理・きっと役立つTips集――JP1編

知っているようで知らないことも多い運用管理ツール。「こうしたいけどよく分からない」を解決する、日々の仕事に役立つ小技を紹介する。

[ITmedia]

このコンテンツは、オンライン・ムック「運用管理の過去・現在・未来」のコンテンツです。関連する記事はこちらでご覧になれます。

クライアントPCをリモートから操作する際の内容を制限する

　JP1には、リモートでクライアントPCを操作する「JP1/NETM/Remote Control」という機能がある。遠隔地のクライアントを保守するには便利な機能だが、不正操作を防止するために操作可能な内容を制限することができる。

　JP1/NETM/Remote Controlは、遠隔地のクライアントPCをリモートコントロールするための機能である。操作を許可するクライアントPC側には「JP1/NETM/Remote Control Agent」をインストールするが、リモートコントロールによる不正操作、あるいは情報漏えいを防止するために、操作可能な内容を設定しておくことができる。その設定方法は以下のとおりだ。

ユーザー認証の種別を設定する

　まず、ユーザー認証の設定を行う。利用可能なユーザー認証は、3つの方法がある。

1.標準の認証を使用する

　JP1/NETM/Remote Controlに用意されている標準のユーザー認証を使用する場合は、「認証方法」で「標準」を選択する。設定は、複数のユーザーを指定できる。

2.Windowsの認証を使用する

　Windowsの認証機能を連携させて使用する場合は、「種別」で「Windows」を選択する（画面1）。ただし、ユーザー名に「@」が含まれていると正しく認証できないので、注意が必要だ。

画面1　Windowsの認証機能を使用するには、「種別」で「Windows」を選択する

　この設定により、Windowsの認証と連携して動作するため、ユーザー名やパスワードといったユーザー情報登録をJP1/NETM/Remote Control側で変更する必要がなくなる。また、グループも指定できるので、ユーザーの変更があった場合、JP1の設定は変えず、Windowsでグループを構成するメンバー情報を変更するだけで運用できる。

　Windowsの認証を使用するユーザーまたはグループには、「ネットワーク経由でコンピュータへアクセス」という権利が与えられている必要がある。

3.臨時の認証を使用する

　ヘルプデスク対応など、通常は許可していないクライアントPCを一時的にリモートコントロールできるように設定するのが、臨時の認証だ。これは、登録したユーザーで一度接続したり、Windowsをログオフ、またはシャットダウンしたりといったタイミングで自動的に削除される。臨時の認証を使用する場合は、「種別」で「臨時」を選択する。

グループに対して許可する操作内容を設定する

　次に、各ユーザー、グループに対して許可する操作内容を設定する。「操作許可」タブを開き、クライアントPCの操作内容を制限する（画面2）。

画面2　「操作許可」で利用可能な操作内容を設定する

　これにより、例えば、以下のような運用が行える。

• ヘルプデスク対応者には画面操作のみを許可し、障害調査担当者には画面操作以外にクライアントPCからのファイル取得を許可する。
• 運用管理者のみにクライアントPCのシャットダウンやリブートを許可する。
• 環境更新権限があるユーザーにのみクライアントPCへのファイル転送を許可する。

　なお、各機能はバージョンによって仕様差があるため、マニュアルで確認することをお勧めする。