特権ID管理

特権ID管理における課題

特権ID管理における課題は、大きく分けて
★特権IDの利用者、および利用期間は必要最低限とする
★特権IDを利用して、だれが、いつ、どのような作業をしたのかを監査する
であると考えております。

前述の課題によるリスクとして、以下が考えられます。

課題	リスクの例
誰が特権IDを使用できるかわからない	退職者や業務終了後の委託先等がアカウントを継続利用できてしまう本来はアクセスを許すべきでないユーザーが不正にアクセスできてしまうユーザーによって、特権IDパスワードが流出してしまう特権ID利用者の情報セキュリティに対する意識が低下してしまう（牽制の不足）
特権IDを誰が利用したか特定できない	不正アクセス発見時の利用者特定が困難になる本来許可されるべきユーザーによる操作であるかどうか（妥当性）の検証が困難になる
特権IDで、何をしたのかわからない	不正アクセス発見時、何が行われたのかを追跡することが困難になる発生した事象に対するリカバリー方法の検討が難しい
特権IDによるアクセスの制御ができない	悪意のないユーザーがITリソースにアクセスできてしまう必要以上の権限を与えられることにより、重要なITリソースへアクセスができてしまう本来許可されるべきではないITリソースへアクセスできてしまう計画外のシステム操作ができてしまう特定のユーザーに権限が集中する
ログを蓄積しているが、監査には至っていない	蓄積したログ監査により、以下のようなリスクを発見できる可能性があります。不正アクセスの兆候（営業時間外のログイン、定期的なログイン試行）本来と異なる経路からのITリソースへのアクセス（ネットワーク外、業務端末外からのアクセス等）

特権ID管理ソフトによる対策

特権ID管理ソフト「Password Manager Pro（以下、PMPという）」の導入によりそれぞれの課題を解決します。
★特権ID利用のワークフローによる承認
★定期的な特権IDパスワードの変更
★特権ID利用による操作の記録
★特権ID管理ツール上の監査、およびログとの突合せ

※参考資料 https://blogs.manageengine.jp/pmp_admp_telework/

システム構成と運用イメージ

前述の対策に紐づくPMPの機能について説明します。

【特権ID利用のワークフローによる承認】

項目	説明
パスワードの一元管理	共有の特権ID等のパスワードを一元管理します。パスワードは、Advanced Encryption Standard (AES)で暗号化されるパスワードは、PMP上のデータベースに保管される PMPが管理対象リソースのパスワードを変更、記憶し、ログイン時にはユーザーにパスワードを知られることなくPMPがパスワードを代行入力するサーバー・クライアント間はHTTPSによる安全な通信が行われる
パスワードのアクセス制限・制御	ワークフローを利用することで、ITリソースへアクセスできるユーザーを制限します。特権IDを利用できるアクセス対象は、サーバー等のリソース単位、またはリソース上のアカウント単位でユーザー毎に制御することが可能否認された特権ID利用申請は、却下される（不正な利用は許可されない）

項目

説明

パスワードの一元管理

共有の特権ID等のパスワードを一元管理します。

パスワードは、Advanced Encryption Standard (AES)で暗号化される
パスワードは、PMP上のデータベースに保管される
PMPが管理対象リソースのパスワードを変更、記憶し、ログイン時にはユーザーにパスワードを知られることなくPMPがパスワードを代行入力する
サーバー・クライアント間はHTTPSによる安全な通信が行われる

パスワードのアクセス制限・制御

ワークフローを利用することで、ITリソースへアクセスできるユーザーを制限します。

特権IDを利用できるアクセス対象は、サーバー等のリソース単位、またはリソース上のアカウント単位でユーザー毎に制御することが可能
否認された特権ID利用申請は、却下される（不正な利用は許可されない）

【定期的な特権IDパスワードの変更】

項目	説明
リモートパスワードリセット	PMPのWebインターフェースを通じて、リモートでITリソースのパスワード変更が可能です。リアルタイムのパスワードリセット実行指定したユーザー（管理者など）へ、パスワードリセット実行前後の通知が可能エージェントレス/エージェント利用のどちらでも実行可能リソースをグループ化することにより、リソースグループ単位の一括パスワード変更が可能

項目

説明

リモートパスワードリセット

PMPのWebインターフェースを通じて、リモートでITリソースのパスワード変更が可能です。

リアルタイムのパスワードリセット実行
指定したユーザー（管理者など）へ、パスワードリセット実行前後の通知が可能
エージェントレス/エージェント利用のどちらでも実行可能
リソースをグループ化することにより、リソースグループ単位の一括パスワード変更が可能

【特権ID利用による操作の記録】

項目	説明
セッションレコーディング	ITリソースへアクセスしている際のユーザーの画面操作をすべて動画として記録します。 Windowsの操作記録は、動画により記録スケジュール設定によるパスワードローテーションの自動化（定期変更）動画として記録したRDPセッションの容量は、1分につき約1MBのディスク容量が必要 ※無操作時間は、記録を行わないためディスク容量を節約 UNIX/Linuxの操作記録は、テキストログ（Telnetまたはssh）により記録

項目

説明

セッションレコーディング

ITリソースへアクセスしている際のユーザーの画面操作をすべて動画として記録します。

Windowsの操作記録は、動画により記録
スケジュール設定によるパスワードローテーションの自動化（定期変更）
動画として記録したRDPセッションの容量は、1分につき約1MBのディスク容量が必要
※無操作時間は、記録を行わないためディスク容量を節約
UNIX/Linuxの操作記録は、テキストログ（Telnetまたはssh）により記録

【特権ID管理ツール上の監査、およびログとの突合せ】

項目	説明
アラートの生成と通知	パスワードへのアクセス、変更、期限切れ、ポリシー違反など、パスワードに関するイベントの発生時に、リアルタイムにアラートを生成します。メールによるパスワード所有者への発信が可能（イベント発生時、または日次ダイジェスト） CSVによる一括ダウンロードが可能 SIEM（セキュリティ情報イベント管理）ツールに対して、SNMPトラップやSyslogメッセージを送信可能
監査レポートの生成と通知	「いつ」「誰が」「どの特権ID」にアクセスしたかの履歴を監査証跡としてレポート化します。リソースやユーザー、タスクに関する監査レポートの生成（リソースやユーザーの追加、変更やパスワードの変更　等）

項目

説明

アラートの生成と通知

パスワードへのアクセス、変更、期限切れ、ポリシー違反など、パスワードに関するイベントの発生時に、リアルタイムにアラートを生成します。

メールによるパスワード所有者への発信が可能
（イベント発生時、または日次ダイジェスト）
CSVによる一括ダウンロードが可能
SIEM（セキュリティ情報イベント管理）ツールに対して、SNMPトラップやSyslogメッセージを送信可能

監査レポートの生成と通知

「いつ」「誰が」「どの特権ID」にアクセスしたかの履歴を監査証跡としてレポート化します。

リソースやユーザー、タスクに関する監査レポートの生成
（リソースやユーザーの追加、変更やパスワードの変更　等）

ワークフローによる申請～承認の仕様は以下の通りとなります。

ユーザーは、PMPの設定によりに許可されたリソース（サーバ等機器）の特定の特権ID/パスワードのみにアクセス可能（サーバ単位・ID単位）
パスワードにアクセスするためのリクエストを管理者へ送信し、管理者がリクエストを承認すると、ユーザーはパスワードにアクセスできる
－管理者が指定期間内に承認しない、あるいは却下すると、リクエストは無効
－2人の管理者による承認が必要となるよう設定することも可能
ユーザーが特権IDを利用してリソースへアクセスすると、そのパスワードは一定期間、そのユーザーのみが利用可能
－管理者はいつでもパスワードの使用を停止させることができる
－ユーザーがPMPを経由しての作業を終了し「チェックイン」を押下する、またはPMPで設定されたリソースへのアクセス可能時間が到来すると、パスワードはリセットされる（リセットしないことも可能）
他のユーザーが同じパスワードへのアクセスを求めた場合、先行するユーザーがパスワードの利用を終了するまではアクセス不可となる

PMPは、以下の特権IDに関する記録をします。
★Windows：操作動画記録（想定ログサイズ：RDPの場合、1分あたり1MB）
★UNIX/LINUX：コマンドのテキストログ記録
★操作記録はPMPサーバ上に格納（ログ容量増加時は、ディスク追加または退避が必要）
★PMP監査ログ

◇PMP監査の例

また監査アクションを他システムへSyslog連携可能です。

◇イベント通知画面

運用面の対策ポイント

特権ID管理を導入するに当たり、運用面の対策を実施します。
★特権IDの利用申請および承認体制の構築
★特権IDの利用期間設定

◇利用申請および承認体制の構築例

項目	説明
申請者	特権ID利用者の特定アクセス可能なリソース（対象サーバ、アカウント）
承認者	承認者の設定承認可能なリソース（対象サーバ、アカウント）承認体制（1名または2名）
そのほか	PMP管理者の設定

◇利用期間設定例

項目	説明
特権ID利用期間の設定	特権ID利用開始後のユーザー利用期間特権ID利用後のパスワードリセット有

PMPの障害対策

設計として、PMPの障害対策を検討します。
★PMPの冗長化
★バックアップおよびリストア

◇冗長化例

◇バックアップ検討事項例
－スケジュールバックアップ
－バックアップデータ保管方法/保管場所
－バックアップデータ保管期間（世代）
◇リストア検討事項例
－リストア手順の整備
－障害対応手順の訓練
－データ復旧方法
－復旧の緊急度
－復旧までの代替手段の検討

PMP導入までの流れ

PMP導入に必要な工程の概要は以下となります。

【要件確認】
ヒアリングを実施し、お客様の要件を確認いたします。
　－運用要件確認のためのヒアリング実施
　－特権ID管理方式、登録リソース情報に関する貴社ご提供情報の確認
　－ヒアリング/確認結果を文書として整理

【システム概要設計】
要件確認を基に、システム概要を設計します。
　－ワークフロー機能
　－特権IDパスワード変更機能
　－リモートログイン（踏み台）機能
　－レポーティング機能
　－非機能要件

【詳細設計】
詳細を設計し、PMPの各パラメータを定義します。

◇特権アカウント情報例

項目	説明
管理対象リソース情報	OS種別、ユーザーアカウント、パスワード
承認ルール	リソース名、利用可能ユーザ、承認者、無効化までの期限
Windows向け設定情報	リソース名、RDPポート番号、ドメイン/アカウント名、パスワードリセット用アカウント
UNIX/Linux向け設定情報	リソース名、SSHポート番号、パスワードリセット用アカウント、特権昇格（su/sudo）、root情報

◇一般設定情報例

項目	説明
PMPユーザー情報	管理者、パスワード管理者、パスワードユーザー、監査担当
ActiveDirectory情報	ドメイン名、ドメインコントローラ情報、認証、ユーザ名
パスワードポリシー	パスワード長、大文字小文字/数値の必須化
バックアップ	実施頻度、日時、パックアップ世代保持数
メールサーバ設定	メールサーバー名、使用ポート番号

【導入およびテスト】
　設計を基にPMPを導入します。
　◇導入項目例
　－ソフトウェアインストール
　－基本設定
　－構築手順書作成
　－運用手順書作成
　◇設定例
　－パラメータシートによる各種設定
　◇テスト例
　－単体テスト(PMP単体の動作確認)
　－総合テスト
　　(特権ID利用申請～承認、パスワード変更、レポーティング機能確認、障害テスト)

【関係者説明会】
　運用手順書を基に、管理者向け説明会を実施します。
　◇運用手順書イメージ

【初期サポート】
　運用開始後、PMP設定方法等、電話/メールにて問い合わせに回答します。

アウトプット

実施内容に関するドキュメントなどの成果物を作成します。
　◇アウトプット例
　－要件確認書
　－パラメータシート
　－作業結果報告書
　－構築手順書、運用手順書

導入費用

PMPの導入費用は、主にSI費用とライセンス費用となります。

【SI費用】

要件確認
システム設計
ソフトウェア導入構築
受け入れ
関係者説明支援
初期サポート、リリース支援

そのほか、以下のオプションがあります。

支援内容	説明
特権ID運用設計支援	特権IDのアカウント設計、承認フロー、パスワード定期/随時変更など、特権ID運用の設計を支援します。
ログ運用設計支援	ログの保管期間、ログローテーション、ログサーバのログ監査を含めたログ点検運用等の設計を支援します。 ※ログ点検については巻末の参考資料「ログ点検の検討項目」参照
ログ監査のアウトソース	ログデータを預かるなどし、ログ監査作業を継続的に支援します。
情報セキュリティ教育	特権ID管理導入のための教育、またはより広い範囲における情報セキュリティ教育を支援します。
運用開始後のサポート	特権ID管理運用開始後の各種改善、スコープの変更や他ツール導入に関する相談、PMP導入後の改善計画等、各種対応を支援します。

【ライセンス費用】
　ライセンス費用は以下となります。※2020年2月29日時点
　通常ライセンス価格：￥2,454,000(初年度保守サポート付き)
　管理対象機器（リソース）およびパスワード利用申請ユーザーは無制限
　承認者数は5名以内を想定
　冗長ライセンスは、通常ライセンスの50%
　年間保守サポート：￥409,000/年
　※上記価格はメーカーの価格改定により、費用の変動がございます。

参考情報

【最小システム要件】

項目	必要スペック
ハードウェア (最小構成)	CPU 1.8Ghz Pentium Processor メモリー 2GB以上ハードディスク 10GB以上(モジュール含む)
オペレーティングシステム(*)	Windows Server 2008 32bit、2008 R2、2012、2012 R2、2016、2019 Redhat Linux 5,6、CentOS5,6、SuSE Linux (*)Linux に本製品をインストールした場合には、Windows OS のリモートパスワード変更は実施できません。
ウェブクライアント	IE 11以上(CA証明書が必要)、Firefox 45以上、Google Chrome 49以上

【自動ログイン仕様】

項目	説明
Webブラウザからリモートログインが可能	ユーザーは、Password Manager Proを通じて自分のブラウザーからリモートターミナルセッションを起動できます。 HTML5対応のWebブラウザーから１クリックで、ITリソースにWindows RDPやSSH、Telnetを利用してリモート操作でログイン可能リモートターミナルセッションはブラウザー上でエミュレートされる（プラグインやエージェントをインストールする必要なし）

項目

説明

Webブラウザからリモートログインが可能

ユーザーは、Password Manager Proを通じて自分のブラウザーからリモートターミナルセッションを起動できます。

HTML5対応のWebブラウザーから１クリックで、ITリソースにWindows
RDPやSSH、Telnetを利用してリモート操作でログイン可能
リモートターミナルセッションはブラウザー上でエミュレートされる
（プラグインやエージェントをインストールする必要なし）

【パスワードポリシー画面】

【ログ点検の検討項目】

項目	説明
点検対象	PMP監査ログログサーバ
点検タイミング	日次、週次、月次点検随時の操作ログ（テキストログ、Windows操作動画記録）
点検方法	各ログの点検ポイントログサーバとPMP監査ログの突合（ログインユーザー、時間、アクセス先の突合　等）アクセス履歴の集計不審なログを発見した際の調査フロー　等
点検結果の記録および報告	チェック結果確認表（仮称）への記録月間・年間レポート作成不審なログを発見した際の記録方法、報告フロー　等
点検者の設定	それぞれの点検を実施する担当者の設定

ZOHO製品リンクページ

ゾーホージャパン株式会社

Password Manager Pro http://www.manageengine.jp/products/Password_Manager_Pro/

ServiceDesk Plus　 https://www.manageengine.jp/products/ServiceDesk_Plus/

ADSelfService Plus　 https://www.manageengine.jp/products/ADSelfService_Plus/

本資料に掲載されている製品、会社などの固有名詞は各社の商号、商標または登録商標です。®マーク、TMマークは省略しています。