特権ID管理における課題
特権ID管理における課題は、大きく分けて
★特権IDの利用者、および利用期間は必要最低限とする
★特権IDを利用して、だれが、いつ、どのような作業をしたのかを監査する
であると考えております。
前述の課題によるリスクとして、以下が考えられます。
課題 | リスクの例 |
---|---|
誰が特権IDを使用できるかわからない |
|
特権IDを誰が利用したか特定できない |
|
特権IDで、何をしたのかわからない |
|
特権IDによるアクセスの制御ができない |
|
ログを蓄積しているが、監査には至っていない |
蓄積したログ監査により、以下のようなリスクを発見できる可能性があります。
|
特権ID管理ソフトによる対策
特権ID管理ソフト「Password Manager Pro(以下、PMPという)」の導入によりそれぞれの課題を解決します。
★特権ID利用のワークフローによる承認
★定期的な特権IDパスワードの変更
★特権ID利用による操作の記録
★特権ID管理ツール上の監査、およびログとの突合せ
システム構成と運用イメージ
前述の対策に紐づくPMPの機能について説明します。
【特権ID利用のワークフローによる承認】
項目 | 説明 |
---|---|
パスワードの一元管理 |
共有の特権ID等のパスワードを一元管理します。
|
パスワードのアクセス制限・制御 |
ワークフローを利用することで、ITリソースへアクセスできるユーザーを制限します。
|
【定期的な特権IDパスワードの変更】
項目 | 説明 |
---|---|
リモートパスワードリセット |
PMPのWebインターフェースを通じて、リモートでITリソースのパスワード変更が可能です。
|
【特権ID利用による操作の記録】
項目 | 説明 |
---|---|
セッションレコーディング |
ITリソースへアクセスしている際のユーザーの画面操作をすべて動画として記録します。
|
【特権ID管理ツール上の監査、およびログとの突合せ】
項目 | 説明 |
---|---|
アラートの生成と通知 |
パスワードへのアクセス、変更、期限切れ、ポリシー違反など、パスワードに関するイベントの発生時に、リアルタイムにアラートを生成します。
|
監査レポートの生成と通知 |
「いつ」「誰が」「どの特権ID」にアクセスしたかの履歴を監査証跡としてレポート化します。
|
ワークフローによる申請~承認の仕様は以下の通りとなります。
- ユーザーは、PMPの設定によりに許可されたリソース(サーバ等機器)の特定の特権ID/パスワードのみにアクセス可能(サーバ単位・ID単位)
-
パスワードにアクセスするためのリクエストを管理者へ送信し、管理者がリクエストを承認すると、ユーザーはパスワードにアクセスできる
-管理者が指定期間内に承認しない、あるいは却下すると、リクエストは無効
-2人の管理者による承認が必要となるよう設定することも可能 -
ユーザーが特権IDを利用してリソースへアクセスすると、そのパスワードは一定期間、そのユーザーのみが利用可能
-管理者はいつでもパスワードの使用を停止させることができる
-ユーザーがPMPを経由しての作業を終了し「チェックイン」を押下する、またはPMPで設定されたリソースへのアクセス可能時間が到来すると、パスワードはリセットされる(リセットしないことも可能) - 他のユーザーが同じパスワードへのアクセスを求めた場合、先行するユーザーがパスワードの利用を終了するまではアクセス不可となる
PMPは、以下の特権IDに関する記録をします。
★Windows:操作動画記録(想定ログサイズ:RDPの場合、1分あたり1MB)
★UNIX/LINUX:コマンドのテキストログ記録
★操作記録はPMPサーバ上に格納(ログ容量増加時は、ディスク追加または退避が必要)
★PMP監査ログ
◇PMP監査の例
また監査アクションを他システムへSyslog連携可能です。
◇イベント通知画面
運用面の対策ポイント
特権ID管理を導入するに当たり、運用面の対策を実施します。
★特権IDの利用申請および承認体制の構築
★特権IDの利用期間設定
◇利用申請および承認体制の構築例
項目 | 説明 |
---|---|
申請者 |
|
承認者 |
|
そのほか |
|
◇利用期間設定例
項目 | 説明 |
---|---|
特権ID利用期間の設定 |
|
PMPの障害対策
設計として、PMPの障害対策を検討します。
★PMPの冗長化
★バックアップおよびリストア
◇冗長化例
◇バックアップ検討事項例
-スケジュールバックアップ
-バックアップデータ保管方法/保管場所
-バックアップデータ保管期間(世代)
◇リストア検討事項例
-リストア手順の整備
-障害対応手順の訓練
-データ復旧方法
-復旧の緊急度
-復旧までの代替手段の検討
PMP導入までの流れ
PMP導入に必要な工程の概要は以下となります。
【要件確認】
ヒアリングを実施し、お客様の要件を確認いたします。
-運用要件確認のためのヒアリング実施
-特権ID管理方式、登録リソース情報に関する貴社ご提供情報の確認
-ヒアリング/確認結果を文書として整理
【システム概要設計】
要件確認を基に、システム概要を設計します。
-ワークフロー機能
-特権IDパスワード変更機能
-リモートログイン(踏み台)機能
-レポーティング機能
-非機能要件
【詳細設計】
詳細を設計し、PMPの各パラメータを定義します。
◇特権アカウント情報例
項目 | 説明 |
---|---|
管理対象リソース情報 | OS種別、ユーザーアカウント、パスワード |
承認ルール | リソース名、利用可能ユーザ、承認者、無効化までの期限 |
Windows向け設定情報 | リソース名、RDPポート番号、ドメイン/アカウント名、パスワードリセット用アカウント |
UNIX/Linux向け設定情報 | リソース名、SSHポート番号、パスワードリセット用アカウント、特権昇格(su/sudo)、root情報 |
◇一般設定情報例
項目 | 説明 |
---|---|
PMPユーザー情報 | 管理者、パスワード管理者、パスワードユーザー、監査担当 |
ActiveDirectory情報 | ドメイン名、ドメインコントローラ情報、認証、ユーザ名 |
パスワードポリシー | パスワード長、大文字小文字/数値の必須化 |
バックアップ | 実施頻度、日時、パックアップ世代保持数 |
メールサーバ設定 | メールサーバー名、使用ポート番号 |
【導入およびテスト】
設計を基にPMPを導入します。
◇導入項目例
-ソフトウェアインストール
-基本設定
-構築手順書作成
-運用手順書作成
◇設定例
-パラメータシートによる各種設定
◇テスト例
-単体テスト(PMP単体の動作確認)
-総合テスト
(特権ID利用申請~承認、パスワード変更、レポーティング機能確認、障害テスト)
【関係者説明会】
運用手順書を基に、管理者向け説明会を実施します。
◇運用手順書イメージ
【初期サポート】
運用開始後、PMP設定方法等、電話/メールにて問い合わせに回答します。
アウトプット
実施内容に関するドキュメントなどの成果物を作成します。
◇アウトプット例
-要件確認書
-パラメータシート
-作業結果報告書
-構築手順書、運用手順書
導入費用
PMPの導入費用は、主にSI費用とライセンス費用となります。
【SI費用】
- 要件確認
- システム設計
- ソフトウェア導入構築
- 受け入れ
- 関係者説明支援
- 初期サポート、リリース支援
そのほか、以下のオプションがあります。
支援内容 | 説明 |
---|---|
特権ID運用設計支援 | 特権IDのアカウント設計、承認フロー、パスワード定期/随時変更など、特権ID運用の設計を支援します。 |
ログ運用設計支援 |
ログの保管期間、ログローテーション、ログサーバのログ監査を含めたログ点検運用等の設計を支援します。
※ログ点検については巻末の参考資料「ログ点検の検討項目」参照 |
ログ監査のアウトソース | ログデータを預かるなどし、ログ監査作業を継続的に支援します。 |
情報セキュリティ教育 | 特権ID管理導入のための教育、またはより広い範囲における情報セキュリティ教育を支援します。 |
運用開始後のサポート | 特権ID管理運用開始後の各種改善、スコープの変更や他ツール導入に関する相談、PMP導入後の改善計画等、各種対応を支援します。 |
【ライセンス費用】
ライセンス費用は以下となります。※2020年2月29日時点
通常ライセンス価格:¥2,454,000(初年度保守サポート付き)
管理対象機器(リソース)およびパスワード利用申請ユーザーは無制限
承認者数は5名以内を想定
冗長ライセンスは、通常ライセンスの50%
年間保守サポート:¥409,000/年
※上記価格はメーカーの価格改定により、費用の変動がございます。
参考情報
【最小システム要件】
項目 | 必要スペック |
---|---|
ハードウェア
(最小構成) |
CPU 1.8Ghz Pentium Processor
メモリー 2GB以上 ハードディスク 10GB以上(モジュール含む) |
オペレーティングシステム(*) |
Windows Server 2008 32bit、2008 R2、2012、2012 R2、2016、2019
Redhat Linux 5,6、CentOS5,6、SuSE Linux (*)Linux に本製品をインストールした場合には、Windows OS のリモートパスワード変更は実施できません。 |
ウェブクライアント | IE 11以上(CA証明書が必要)、Firefox 45以上、Google Chrome 49以上 |
【自動ログイン仕様】
項目 | 説明 |
---|---|
Webブラウザからリモートログインが可能 |
ユーザーは、Password Manager Proを通じて自分のブラウザーからリモートターミナルセッションを起動できます。
|
【パスワードポリシー画面】
【ログ点検の検討項目】
項目 | 説明 |
---|---|
点検対象 |
|
点検タイミング |
|
点検方法 |
|
点検結果の記録および報告 |
|
点検者の設定 |
|
ZOHO製品リンクページ
ゾーホージャパン株式会社
Password Manager Pro http://www.manageengine.jp/products/Password_Manager_Pro/
ServiceDesk Plus https://www.manageengine.jp/products/ServiceDesk_Plus/
ADSelfService Plus https://www.manageengine.jp/products/ADSelfService_Plus/
本資料に掲載されている製品、会社などの固有名詞は各社の商号、商標または登録商標です。®マーク、TMマークは省略しています。