最終更新日:2023-06-13
特権IDの管理方法を効率化したい方や、既存のExcel管理に限界を感じている情報セキュリティ部門の方へ。特権ID管理ツールの導入メリットや選び方、おすすめのツールについて解説します。
特権ID管理とは、システムの運用やメンテナンスなどに使われる高権限のIDを管理することで、PAM(Privileged Access Management /特権アクセス管理)とも呼ばれます。
特権IDに該当するのは、ユーザーアカウントの作成・削除、システムの設定ファイルの書き換えなどができる、最も強い権限を持つアカウント。Windowsにおける「Administrator」、macOS/UNIX/Linuxにおける「root」などを指します。
特権IDが万一悪意を持ったユーザーの手に渡った場合、システム停止により企業に大きな被害が出るだけでなく、個人情報や機密情報の漏えい、ランサムウェア攻撃の可能性も考えられます。そのため特権IDは厳格に管理する必要がありますが、現状はExcelなどを使った手作業での管理をしている現場も少なくありません。そこで効果的なのが、特権ID管理ツールです。
特権ID管理ツールを使えば、社内の特権IDや特権ユーザー、特権IDの利用権限の見える化が可能に。ツールの中には、特権IDの一時貸出、特権ユーザーによる操作の記録といった機能を備えたものもあります。リアルタイムで不正行為を検知することで、安全な管理・運用を実現する手段と言えるでしょう。
特権ID管理ツールを導入することで得られる、4つのメリットについて解説します。
特権IDツールでアクセス可能なシステムと時間を指定することで、不正使用を防止。特権ユーザーの操作ログを記録できるツールを使えば、誰が何をしたのかも追跡可能です。手作業での管理に伴う特権IDの不正使用や、情報漏えいといったリスクが大幅に低減します。
特権IDの管理業務である「申請・承認と連動した特権IDの貸出」「ID回収の権限付与」「定期的なパスワード変更」「アカウントの棚卸作業」など、煩雑かつ多岐にわたる業務を自動化。操作ログと作業申請内容との自動突合せ機能もあり、業務負荷を軽減できます。
2008年にJ-SOX法が導入されたことで、上場企業には「内部統制報告書」の提出が義務付けられています。J-SOX法の基本的要素のひとつとして「ITへの対応」があり、IT全般統制の中で重要なポイントとされているのが、特権IDの管理です。
特権ID管理ツールが持つワークフロー、ID管理、アクセス制御、ログ管理といった機能が、監査対応に係る工数を削減。随時実施される外部監査への対応にも有効です。
クレジットカード情報保護に関するセキュリティ基準「PCI DSS」や、金融情報システムセンター(FISC)が策定する安全対策基準に準拠するためには、特権ID管理に関する要件を満たす必要があります。強固なセキュリティが求められる金融機関では、顧客情報の漏えいやデータの改竄といった不正を防止するための安全対策が必須。信頼性の高いセキュリティ基準に準拠することで、不正使用の防止が見込めます。
特権ID管理ツールは3つのタイプに大別できます。それぞれの特徴や、選び方について解説します。
アクセス元となるPCに「クライアント・エージェント」としてインストールすることで、アクセス制御を行うタイプ。
PCへのインストールの手間はありますが、オンプレミス、クラウドを問わず、どのような構成でも導入しやすいのが特徴です。アクセス経路によらず特権IDの貸出制御ができる、リモート・直接アクセスを問わずすべてのアクセスログが点検できる、といった点も強み。
たとえば「ESS AdminONE」は、汎用性の高さが特徴。オンプレミス、クラウドはもちろん、SaaS、ネットワーク機器、IoT機器、カスタムアプリケーション、OS、データベース、ミドルウェアなど、様々なシステムの特権IDを適切に管理できます。
「特権IDの管理」「特権IDの貸出」「特権IDの利用点検」に対応した基本機能を1つのパッケージで提供しているのが「iDoperation」。アクセス元で特権IDの貸出しを行うため、アクセス経路が限定できない環境でもアクセス制御できます。次項で説明する「ゲートウェイ型」を組み合わせて、ハイブリッドな環境も構築可能です。
PCとシステムをつなぐネットワーク上に、ゲートウェイとして設置するタイプ。
PCへのダウンロードが不要で、既存システムに影響を与えないことから、少ない工数でスピーディーに導入できます。オンプレ・クラウド両方の環境に対応できますが、オンプレ環境ごとにゲートウェイを設置する必要があるため、拠点が複数の場合は導入負荷が大きくなることも。また、制御の対象はゲートウェイを通過する通信のみで、直接アクセスや多段アクセスには対応できません。
ゲートウェイ型ならではのスピーディーな導入を実感できるのが、最短1カ月、通常でも2〜3カ月で導入できる「SecureCube Access Check」。既存システムに影響を与えないため、大規模システムでもスモールスタート・早期導入が可能です。アクセス管理・ログ管理の一元化により、内部統制の工数を最大78%削減した実績を誇ります。
「Privileged Access Security」は、幅広い機器やシステムの特権アクセスを一元管理できるソリューション。特権アカウントのパスワードを、ユーザーに知られることなくデバイスへアクセスできるのが特徴です。
ID管理ツールに「特権ID管理機能」が搭載されているタイプ。IDの一元管理や、シングルサインオン実現のために利用されます。
特権ID用のアカウントを作成することで、ツール/システム経由でのみ特権IDにログイン可能。ただし、承認・申請ワークフロー機能が搭載されていないので、特権IDの利用者が限定的である場合に適しています。
該当するのは、ID管理と認証を一元管理できるSaaS型サービス「SeciossLink」。多要素認証とアクセス制限機能に対応しているほか、IDとパスワード、ワンタイムパスワード、クライアント証明書認証、FIDO認証などの多要素認証を使ったログインや、アクセス制限が可能です。ユーザーは特権IDを使用する際にアカウント入力を行わないため、アカウント情報を意識することなく作業できます。
ここからは、クライアント・エージェント型の特権ID管理ツールをご紹介します。
(出所:iDoperation公式Webサイト)
管理対象システムから特権IDを取り込んで、組織内の特権ID・特権ユーザー・権限を見える化。ツールがIDの管理台帳の役目を果たし、複数システムのIDを一元管理できるようになる。
定期的なパスワード変更や、アカウントの突合せ点検といった業務を自動化できるため、管理者の負担軽減にも役立つ。また、特権IDの貸出・返却に関する申請・承認ワークフローにも対応。一時的な貸出の場合は、アクセス可能な領域や貸出期間を設定し、不必要なアクセス・操作を防止できる。アクセスログの収集に加え、不正アクセスも検出可能。ログはテキストと動画の両方で記録する。
(出所:ESS AdminONE公式Webサイト)
2002年の創業以来培った、豊富なノウハウとナレッジを詰め込んだツール。オンプレミスからクラウドまで、多様なシステム環境に適応している。
申請・承認ベースのアクセス許可を実現するワークフロー機能や、パスワードレスアクセスによる複数システムの一元管理、パスワード変更・鍵交換の自動化といった、管理業務の効率化に役立つ機能が充実。システムログの収集、不審アクセスの検出にも対応している。
ゼロトラストを前提とした高いセキュリティ性を誇り、J-SOXや金融庁検査など、法規制に則ったIT統制の実現を支援する。
続いて、ゲートウェイ型の特権ID管理ツールをご紹介します。
(出所:SecureCube Access Check公式Webサイト)
管理対象システムのID棚卸/管理を効率化して、運用工数の削減を実現するソリューション。IT全般統制やJ-SOX監査、FISC安全対策基準、金融庁監査、PCI DSSなど、あらゆる法令基準を満たし、法令基準のアップデートにも素早く対応。ID管理やワークフロー、ログ取得保管といった管理機能も充実している。クラウドとオンプレが混じったシステム構成でも、柔軟な対応が可能。重要ファイルのアップロード・ダウンロード制御、URLでのWebアクセス制御など、セキュリティ・利便性を向上する機能も多数そろう。
(出所:Privileged Access Security公式Webサイト)
特権IDを使った情報システムの操作を一元管理・監視する統合型ソリューション。クラウドからオンプレまで幅広いユースケースに対応して、特権認証情報を保護する。
標的型攻撃からIDや認証情報を守る、監査や規制要件に対応するなど、セキュアな環境での特権ID管理を実現。アクセス先である個々のサーバーの特権パスワードを、利用者に知らせず管理作業ができる点も強み。定期的に自動更新するサーバーのパスワードにより、漏えい事故を防止する。操作ログの監視・記録、不審な動きの検知・アラート、特権IDの申請承認ワークフロー機能などを搭載。
(出所:One Identity Safeguard公式Webサイト)
特権IDの保存、管理、記録、および分析のためのセキュアな方法を提供。ネットワーク上の特権IDを迅速に検出し、堅牢なアプライアンスに保存することで、セキュリティを強化し管理業務を効率化する。
タイピングやマウスの動き、表示ウィンドウなど、セッションアクティビティをログとして記録。暗号化したうえでタイムスタンプが付与され、ファイルに保存されるので監査への対応がスムーズになる。記録されたログは特定のイベントを検索し、発生時の記録をビデオのように再生可能。ユーザー行動分析技術を活かして、組織の内外に潜む脅威を見つけ出すこともできる。
(出所:Password Manager Pro公式Webサイト)
特権ID管理に必要な機能を網羅した管理システム。重要度に合わせたIDの整理から一元管理、申請/承認ワークフローによる統制強化、利用ログの取得・記録と、一連の特権ID管理業務を支援する。パスワードの非表示運用やアクセス制御など、セキュリティ強化に役立つ機能も充実。
同ツールをインストールしたサーバーを踏み台に、社内のサーバーやネットワーク機器、データベースなどにアクセスできる、リモートログイン機能を搭載。安全なアクセスゲートウェイおよびダイレクトログインによって、外部からのアクセスがあっても重要インフラを保護できる。承認者(管理者)の数だけ料金がかかるライセンス制を採用。
最後は、特権ID管理機能を備えたツールです。
(出所:SeciossLink公式Webサイト)
低コストかつ短期間で導入ができるSaaS型サービス。シングルサインオンや多要素認証、統合ID管理、CASB(Cloud Access Security Broker)機能などを備えている。
ID同期機能を使って「特権ID」をクラウドサービス側に作成することで、特権ID管理を実現。アカウントのパスワードはランダムに生成・設定されるので、不正利用防止につながる。特権ID利用者に対しては、利用できるシステムや有効期限、どの特権IDを割り当てるのか、といったルールが設定でき、意図しないシステムへのアクセスや有効期限外の利用を防ぐ。
利用者、利用時間、利用システムを記録した操作ログを保存できるので、内部監査等でも活用できる。ネットワーク内で構築するSeciossGatewayを介すれば、サーバーへのリモートアクセスも可能。
業務効率化に欠かせないSaaSは、一方で、「特権IDの申請・承認に手間がかかる」「特権IDを正しく安全に管理できているかわからない」「監査時に、台帳とログを突合せするのが大変」といった課題を持ち合わせています。「特権IDの不正使用防止」「特権IDの管理業務の効率化」「監査対応の工数削減」「各種セキュリティ基準への対応(PCI DSS、FISC安全対策基準など)」といったメリットを持つ特権ID管理ツールが、これらの課題を解決します。
導入を検討する際は、以下の3タイプから、自社の環境にあったツールを選びましょう。
(1)クライアント型
(2)ゲートウェイ型
(3)ID管理ツール搭載型
マルウェアなど、悪意のある攻撃は年々巧妙化しています。また、悪意がなくても万一の事故が起こる可能性はゼロではありません。ユーザーと顧客の安心を守るためにも、特権ID管理ツールの導入を検討してみてください。
このページの内容をシェアする
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
サービスの導入検討状況を教えてください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
