リモートパスワード変更

どの組織でも、特権アカウントは重要なシステムや機密データへの高度なアクセス権を持っているため、サイバー攻撃では高価値の標的となります。認証情報の不正使用や侵害のリスクを最小限に抑えるには、強力なパスワード 変更 ポリシーを適用することが、堅牢な特権アクセス管理 (PAM) 戦略の基本的な側面となります。

PAM360 は、リモートパスワード変更機能を通じてこのセキュリティ フレームワークを強化します。これは、管理者がリモート マシンのパスワードを PAM360 コンソールから直接、自動または要求に応じてローテーションできるようにするコア機能です。必要な管理者の認証情報を設定すると、このプロセスを 1 回のクリックでシームレスに実行できるため、一貫したパスワード管理が確保され、手動による介入が減り、企業全体で特権の認証情報が保護されます。

PAM360 は、コマンドライン インターフェース (CLI) を介してアクセスできるあらゆるリソース タイプに対するリモート パスワード変更をサポートし、パスワード管理用のコマンドを受け入れます。リモート パスワード 変更操作は、ターゲット マシンの接続に基づいて 2 つのモードで実行できます。

  • エージェントレス モード: PAM360 は、指定された管理者アカウントを使用してターゲット システムに直接接続し、ログインしてパスワードの変更を実行します。
  • エージェント モード: PAM360 からの直接通信が不可能な、非武装地帯 (DMZ) またはファイアウォールの背後にあるシステム向けに設計されています。この場合、PAM360 エージェントが対象マシンの変更操作を促進します。

上記以外に、PAM360 サーバーに直接接続されていないが、PAM360 アプリケーションゲートウェイがインストールされ、PAM360 サーバーに接続されている環境の場合は、アプリケーションゲートウェイ経由でパスワード 変更操作を実行できます。PAM360 アプリケーションゲートウェイの詳細については、このドキュメントを参照してください。

このドキュメントを読み終える頃には、以下の操作を詳しく理解しているはずです。

  1. PAM360 経由でリモート パスワード変更が発生するタイミング
  2. リモート パスワード変更の実行
  3. エージェントを使用したリモート パスワード変更

1.PAM360 経由でリモート パスワード変更が発生するタイミング

具体的には、次のようなシナリオで発生します。

  • ユーザーによる、PAM360経由のパスワード変更: 管理者または権限あるユーザーが、PAM360 インターフェースを介してリモート リソース (Windows、Linux、ネットワークデバイス、データベースなど)のパスワード変更操作をトリガーします。適切な操作が行われると、新しいパスワードがリモート システムに自動的に適用されます。
  • スケジュールされた、または定期的なパスワードの変更: PAM360 は、ポリシーに基づいて定期的なパスワードのローテーションを強制できます。スケジュールされた時間に、リモート リソースのパスワードが自動的に変更されます。
  • アクセス制御ワークフロー: アクセス制御が設定されたアカウントの場合、ユーザーが接続を開始するためにパスワードを要求するたびに、現在のパスワードがユーザーと共有されます。ユーザーのセッションが終了すると、パスワードは PAM360 とリモート リソースの両方で自動的にローテーションされ、セキュリティが確保されます。

2.リモート パスワード 変更の実行


メモ:

リモート パスワード変更を実行するには、PAM360 では管理者権限を持つアカウントが必要です。リソース アカウントのパスワードを変更する場合、PAM360 は構成された管理者の認証情報を使用してターゲット システムにリモートでログインし、変更を完了します。[リソース]の [設定]>>[リモートパスワード変更] セクションで、管理者の認証情報とその他の前提条件が適切に構成されていることを確認します。リソース タイプに基づいた構成手順については、このドキュメントを参照してください。

手動変更操作を使用してリモート パスワード 変更を実行するには、次の手順に従います。

  1. [リソース] タブの [リソース] セクションに移動し、関連するリソースを選択して、リモート パスワード 変更を実行するアカウントを特定します。
    または、[リソース] タブの [パスワード] セクションに移動して、必要なアカウントを直接探すこともできます。
  2. パスワードを変更するアカウントの [アカウントアクション] アイコンをクリックし、ドロップダウン リストから [パスワード変更] を選択します。
    password-reset-1
  3. 表示されるポップアップで、新しいパスワードを入力し、同内容を確認します。必要に応じて、組み込みの PAM360 パスワード ジェネレーターを選択してください。
  4. [パスワード変更をリモートリソースに適用] オプションを有効にします。

    メモ:

    • 新しいパスワードを入力すると、管理者がリソースに対して設定したパスワード ポリシーが自動的に適用されます。
    • リモート同期の試行が失敗した場合、PAM360 とターゲット システム間の一貫性を確保するために、パスワードの変更はローカルに保存されません。
  5. [保存] をクリックします。これで選択したアカウントのオンデマンド リモート パスワード 変更が正常に実行されます。

複数のリソースにわたる複数のアカウントのリモート パスワード 変更を一括で実行するには、次の手順に従います。

  1. [リソース] タブの [リソース] セクションに移動し、必要なリソースを選択します。
  2. 上部のパネルで [リソースアクション] をクリックし、ドロップダウン リストから [パスワードを変更] を選択します。
  3. 表示される [パスワード変更を実行] ウィンドウの [パスワード設定] で、次のいずれかのオプションを選択します。
    1. それぞれのユーザー アカウントに一意のパスワードを生成: PAM360 は、選択されたリソースの各アカウントに対して強力で一意のパスワードを自動的に生成します。
    2. 対象ユーザーアカウントに次のパスワードを設定:すべてのアカウントに適用される共通のパスワードを入力します。内蔵の PAM360 パスワード ジェネレーターを選択することもできます。
  4. [パスワード変更をリモート リソースに適用] オプションを有効にすると、新しいパスワードが対応するリモート システムに自動的にプッシュされます。
    password-reset-2
  5. パスワード 変更の理由を指定し、電子メールで通知するユーザーまたはユーザー グループを選択します。追加のメールアドレスをコンマで区切って入力することもできます。
  6. [保存] をクリックします。これで選択したアカウントのオンデマンド リモート パスワード 変更が正常に実行されました。

定期的なパスワード 変更のスケジュール設定の詳細については、このドキュメントを参照してください。

3.PAM360 エージェントを使用したリモート パスワード 変更

このセクションでは、リモート マシン上のローカル アカウント パスワードを変更するために PAM360 エージェントが必要になる状況について説明し、管理者がパスワード 変更の問題を迅速に解決して継続的なセキュリティとコンプライアンスを確保するのに役立つトラブルシューティングのヒントを提供します。

PAM360 エージェントがターゲット マシンにインストールされ、サービスとして初めて起動されると、マシンは自動的に検出され、関連付けられているすべてのローカル アカウントとともに、リソースとして PAM360 インベントリに追加されます。展開されると、エージェントは PAM360 サーバーとの安全な暗号化チャネルを確立し、そのマシン上でパスワードの検証やパスワードの変更などの特権操作を実行します。

エージェントを使用すると、サーバーとの直接通信が不可能な環境でも、PAM360 はパスワード 変更操作を実行できるようになります。エージェントは、次のシナリオで特に重要です。

  1. DMZ でのパスワードの変更: 非武装地帯 (DMZ) にある、または PAM360 サーバーから直接アクセスできない隔離されたネットワークにあるマシンのパスワードを変更するときに必要です。
  2. クロス プラットフォームのパスワード 変更: PAM360 サーバーが Linux プラットフォームでホストされているが、Windows デバイスでパスワードを変更して互換性と安全な実行を確保しなくてはならない場合に必要です。
  3. 管理者の認証情報が見つからない場合: リモート リソースの管理者認証情報が PAM360 リポジトリ内に保存されていない場合に役立ちます。このような場合、エージェントがマシン上でローカルにパスワード 変更操作を容易にします。

3.1 トラブルシューティングの手順

パスワード 変更操作が対象システムで有効にならない場合は、次の点を確認してください。

  1. エージェントのインストールに使用されるユーザー アカウントには、パスワード 変更操作を実行するのに十分な権限があること。
  2. PAM360 エージェントが PAM360 Web サーバーと通信できることを確認します。デフォルトでは、この通信はポート8282を介して行われます。Web サーバーにカスタム ポートを構成している場合は、同じポートを使用するようにエージェント構成を更新します。
  3. agent.conf ファイルで指定された PAM360 サーバー名にアクセスできることを確認します。そうでない場合は、エージェントが PAM360 Web サーバーとの接続を正常に確立できるように、到達可能な IP アドレスまたはサーバー名に置き換えます。
  4. 追加されたリソースを表示できない場合は、agent.conf ファイルで指定されたユーザー名が有効でアクセス可能であることを確認してください。

ターゲット マシンに PAM360 エージェントをインストールする方法の詳細については、このリンクを参照してください。管理者の認証情報の存在、リモート パスワード 変更の実行など、その他のすべての要件は上記と同じです。