特権IDの管理方法を効率化したい方や、既存のExcel管理に限界を感じている情報セキュリティ部門の方へ。特権ID管理ツールの導入メリットや選び方、おすすめのツールについて解説します。
特権ID管理とは、システムの運用やメンテナンスなどに使われる高権限のIDを管理することで、PAM(Privileged Access Management /特権アクセス管理)とも呼ばれます。
特権IDに該当するのは、ユーザーアカウントの作成・削除、システムの設定ファイルの書き換えなどができる、最も強い権限を持つアカウント。Windowsにおける「Administrator」、macOS/UNIX/Linuxにおける「root」などを指します。
特権IDが万一悪意を持ったユーザーの手に渡った場合、システム停止により企業に大きな被害が出るだけでなく、個人情報や機密情報の漏えい、ランサムウェア攻撃の可能性も考えられます。そのため特権IDは厳格に管理する必要がありますが、現状はExcelなどを使った手作業での管理をしている現場も少なくありません。そこで効果的なのが、特権ID管理ツールです。
特権ID管理ツールを使えば、社内の特権IDや特権ユーザー、特権IDの利用権限の見える化が可能に。ツールの中には、特権IDの一時貸出、特権ユーザーによる操作の記録といった機能を備えたものもあります。リアルタイムで不正行為を検知することで、安全な管理・運用を実現する手段と言えるでしょう。
特権ID管理ツールをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
特権ID管理ツールを導入することで得られる、4つのメリットについて解説します。
特権IDツールでアクセス可能なシステムと時間を指定することで、不正使用を防止。特権ユーザーの操作ログを記録できるツールを使えば、誰が何をしたのかも追跡可能です。手作業での管理に伴う特権IDの不正使用や、情報漏えいといったリスクが大幅に低減します。
特権IDの管理業務である「申請・承認と連動した特権IDの貸出」「ID回収の権限付与」「定期的なパスワード変更」「アカウントの棚卸作業」など、煩雑かつ多岐にわたる業務を自動化。操作ログと作業申請内容との自動突合せ機能もあり、業務負荷を軽減できます。
2008年にJ-SOX法が導入されたことで、上場企業には「内部統制報告書」の提出が義務付けられています。J-SOX法の基本的要素のひとつとして「ITへの対応」があり、IT全般統制の中で重要なポイントとされているのが、特権IDの管理です。
特権ID管理ツールが持つワークフロー、ID管理、アクセス制御、ログ管理といった機能が、監査対応に係る工数を削減。随時実施される外部監査への対応にも有効です。
クレジットカード情報保護に関するセキュリティ基準「PCI DSS」や、金融情報システムセンター(FISC)が策定する安全対策基準に準拠するためには、特権ID管理に関する要件を満たす必要があります。強固なセキュリティが求められる金融機関では、顧客情報の漏えいやデータの改竄といった不正を防止するための安全対策が必須。信頼性の高いセキュリティ基準に準拠することで、不正使用の防止が見込めます。
特権ID管理ツールは3つのタイプに大別できます。それぞれの特徴や、選び方について解説します。
アクセス元となるPCに「クライアント・エージェント」としてインストールすることで、アクセス制御を行うタイプ。
PCへのインストールの手間はありますが、オンプレミス、クラウドを問わず、どのような構成でも導入しやすいのが特徴です。アクセス経路によらず特権IDの貸出制御ができる、リモート・直接アクセスを問わずすべてのアクセスログが点検できる、といった点も強み。
たとえば「ESS AdminONE」は、汎用性の高さが特徴。オンプレミス、クラウドはもちろん、SaaS、ネットワーク機器、IoT機器、カスタムアプリケーション、OS、データベース、ミドルウェアなど、様々なシステムの特権IDを適切に管理できます。
「特権IDの管理」「特権IDの貸出」「特権IDの利用点検」に対応した基本機能を1つのパッケージで提供しているのが「iDoperation」。アクセス元で特権IDの貸出しを行うため、アクセス経路が限定できない環境でもアクセス制御できます。次項で説明する「ゲートウェイ型」を組み合わせて、ハイブリッドな環境も構築可能です。
PCとシステムをつなぐネットワーク上に、ゲートウェイとして設置するタイプ。
PCへのダウンロードが不要で、既存システムに影響を与えないことから、少ない工数でスピーディーに導入できます。オンプレ・クラウド両方の環境に対応しますが、オンプレ環境ごとにゲートウェイを設置する必要があるため、拠点が複数の場合は導入負荷が大きくなることも。また、制御の対象はゲートウェイを通過する通信のみで、直接アクセスや多段アクセスには対応できません。
ゲートウェイ型ならではの導入までの手軽さを実感できるのが「PAM360」。管理者の数で決まる料金形態で、社内全体で展開しやすいシステムです。ITリソースへのアクセス保護に役立つ網羅的な機能を備えた統合管理プラットフォームで、自社のワークフローに合ったセキュアな運用を実現します。
また、「SecureCube Access Check」は大規模システムでもスモールスタート・早期導入が可能。アクセス管理・ログ管理の一元化により、内部統制の工数を最大78%削減した実績を誇ります。
「Privileged Access Security」は、幅広い機器やシステムの特権アクセスを一元管理できるソリューション。特権アカウントのパスワードを、ユーザーに知られることなくデバイスへアクセスできるのが特徴です。
ID管理ツールに「特権ID管理機能」が搭載されているタイプ。IDの一元管理や、シングルサインオン実現のために利用されます。
特権ID用のアカウントを作成することで、ツール/システム経由でのみ特権IDにログイン可能。ただし、承認・申請ワークフロー機能が搭載されていないので、特権IDの利用者が限定的である場合に適しています。
該当するのは、ID管理と認証を一元管理できるSaaS型サービス「SeciossLink」。多要素認証とアクセス制限機能に対応しているほか、IDとパスワード、ワンタイムパスワード、クライアント証明書認証、FIDO認証などの多要素認証を使ったログインや、アクセス制限が可能です。ユーザーは特権IDを使用する際にアカウント入力を行わないため、アカウント情報を意識することなく作業できます。
ここからは、クライアント・エージェント型の特権ID管理ツールをご紹介します。
(出所:iDoperation公式Webサイト)
管理対象システムから特権IDを取り込んで、組織内の特権ID・特権ユーザー・権限を見える化。ツールがIDの管理台帳の役目を果たし、複数システムのIDを一元管理できるようになる。
定期的なパスワード変更や、アカウントの突合せ点検といった業務を自動化できるため、管理者の負担軽減にも役立つ。また、特権IDの貸出・返却に関する申請・承認ワークフローにも対応。一時的な貸出の場合は、アクセス可能な領域や貸出期間を設定し、不必要なアクセス・操作を防止できる。アクセスログの収集に加え、不正アクセスも検出可能。ログはテキストと動画の両方で記録する。
(出所:ESS AdminONE公式Webサイト)
2002年の創業以来培った、豊富なノウハウとナレッジを詰め込んだツール。オンプレミスからクラウドまで、多様なシステム環境に適応している。
申請・承認ベースのアクセス許可を実現するワークフロー機能や、パスワードレスアクセスによる複数システムの一元管理、パスワード変更・鍵交換の自動化といった、管理業務の効率化に役立つ機能が充実。システムログの収集、不審アクセスの検出にも対応している。
ゼロトラストを前提とした高いセキュリティ性を誇り、J-SOXや金融庁検査など、法規制に則ったIT統制の実現を支援する。
続いて、ゲートウェイ型の特権ID管理ツールをご紹介します。
(出所:PAM360公式Webサイト)
組織に合わせてコントロールできる柔軟な特権アクセス統合管理ソリューション。ゲートウェイ方式で一連の工程を中継し、ワークフローに沿って一元管理が可能。内部不正の防止に役立つ操作画面の動画記録やAIによる異常検知に加え、パスワードの自動変更やSSH鍵・SSL/TLS証明書の管理など、網羅的な機能でセキュリティ体制強化を広くサポートする。
大規模な展開でもコストを抑制しやすい、承認者数ベースの料金体系も強み。申請者やITリソースの登録は無制限なので、全社的な導入にも向いている。そのほか、効率化に役立つSIEMツールやITサービス管理ツールなど外部システムとの連携も充実している。
(出所:SecureCube Access Check公式Webサイト)
管理対象システムのID棚卸/管理を効率化して、運用工数の削減を実現するソリューション。IT全般統制やJ-SOX監査、FISC安全対策基準、金融庁監査、PCI DSSなど、あらゆる法令基準を満たし、法令基準のアップデートにも素早く対応。ID管理やワークフロー、ログ取得保管といった管理機能も充実している。クラウドとオンプレが混じったシステム構成でも、柔軟な対応が可能。重要ファイルのアップロード・ダウンロード制御、URLでのWebアクセス制御など、セキュリティ・利便性を向上する機能も多数そろう。
(出所:Privileged Access Security公式Webサイト)
特権IDを使った情報システムの操作を一元管理・監視する統合型ソリューション。クラウドからオンプレまで幅広いユースケースに対応して、特権認証情報を保護する。
標的型攻撃からIDや認証情報を守る、監査や規制要件に対応するなど、セキュアな環境での特権ID管理を実現。アクセス先である個々のサーバーの特権パスワードを、利用者に知らせず管理作業ができる点も強み。定期的に自動更新するサーバーのパスワードにより、漏えい事故を防止する。操作ログの監視・記録、不審な動きの検知・アラート、特権IDの申請承認ワークフロー機能などを搭載。
(出所:One Identity Safeguard公式Webサイト)
特権IDの保存、管理、記録、および分析のためのセキュアな方法を提供。ネットワーク上の特権IDを迅速に検出し、堅牢なアプライアンスに保存することで、セキュリティを強化し管理業務を効率化する。
タイピングやマウスの動き、表示ウィンドウなど、セッションアクティビティをログとして記録。暗号化したうえでタイムスタンプが付与され、ファイルに保存されるので監査への対応がスムーズになる。記録されたログは特定のイベントを検索し、発生時の記録をビデオのように再生可能。ユーザー行動分析技術を活かして、組織の内外に潜む脅威を見つけ出すこともできる。
最後は、特権ID管理機能を備えたツールです。
(出所:SeciossLink公式Webサイト)
低コストかつ短期間で導入ができるSaaS型サービス。シングルサインオンや多要素認証、統合ID管理、CASB(Cloud Access Security Broker)機能などを備えている。
ID同期機能を使って「特権ID」をクラウドサービス側に作成することで、特権ID管理を実現。アカウントのパスワードはランダムに生成・設定されるので、不正利用防止につながる。特権ID利用者に対しては、利用できるシステムや有効期限、どの特権IDを割り当てるのか、といったルールが設定でき、意図しないシステムへのアクセスや有効期限外の利用を防ぐ。
利用者、利用時間、利用システムを記録した操作ログを保存できるので、内部監査等でも活用できる。ネットワーク内で構築するSeciossGatewayを介すれば、サーバーへのリモートアクセスも可能。
(出所:統合認証・アクセス管理ソリューション公式Webサイト)
IDの一元管理、シングルサインオン・フェデレーション、多要素認証、特権ID管理など、認証環境の様々な課題をトータルに解決する包括的なソリューションサービス。業務要件、規模・予算、信頼性の要件などにあわせて適切な製品・サービスを提案し、構築までを支援する。
システムごとに分散した特権IDを集中管理し、統一ポリシーに従ったIDの発行処理を実現。特権ID作成時に利用者や使用目的を明確にすることで、不要な特権IDや共有特権IDの発生を防止する。更に、特権ユーザーの操作ログを収集し、システム障害時の原因究明や不正アクセス発覚の際のトレーサビリティにも活用可能だ。
オンプレミス環境だけでなく、クラウド環境やモバイル環境における認証強化策も支援する。
業務効率化に欠かせないSaaSは、一方で、「特権IDの申請・承認に手間がかかる」「特権IDを正しく安全に管理できているかわからない」「監査時に、台帳とログを突合せするのが大変」といった課題を持ち合わせています。「特権IDの不正使用防止」「特権IDの管理業務の効率化」「監査対応の工数削減」「各種セキュリティ基準への対応(PCI DSS、FISC安全対策基準など)」といったメリットを持つ特権ID管理ツールが、これらの課題を解決します。
導入を検討する際は、以下の3タイプから、自社の環境にあったツールを選びましょう。
(1)クライアント型
(2)ゲートウェイ型
(3)ID管理ツール搭載型
マルウェアなど、悪意のある攻撃は年々巧妙化しています。また、悪意がなくても万一の事故が起こる可能性はゼロではありません。ユーザーと顧客の安心を守るためにも、特権ID管理ツールの導入を検討してみてください。
特権ID管理ツールをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。