定期的なパスワードリセット
IT セキュリティのベストプラクティスでは、不正アクセスのリスクを最小限に抑えるために、機密リソースのパスワードを定期的に変更することが推奨されています。PAM360 の定期的なパスワード リセット機能は、スケジュールされたパスワードのローテーションを自動化することでこれを実現し、手動でのパスワード変更の必要性を排除します。PAM360 は幅広いリソースのリモート パスワード リセットをサポートしていますが、スケジュールされたパスワードのローテーションはリソース グループ レベルでのみ実行できます。これらのリセットは、エージェントレス モード、またはリモート リソースに PAM360 エージェントを展開することによって実行できます。
管理者は、パスワード リセットを実行するタイミング、各スケジュール間の時間間隔、必要なユーザーへの電子メール通知、再試行回数、再試行間隔などのさまざまなプロパティを定義することにより、定期的なパスワード リセット スケジュールを構成できます。また、PAM360 は、監査およびコンプライアンスの目的で、すべてのパスワード リセット アクティビティの詳細な履歴を保持します。
目的のリソース グループの定期的なパスワード リセット スケジュールを追加するには、次の手順に従います。
- [グループ] タブに移動し、目的のリソース グループの横にある [アクション] ボタンをクリックし、表示されるオプションから [スケジュールパスワード変更] を選択します。
- 表示される [スケジュールパスワード変更] ウィンドウには、選択したリソース グループ名と既存の[パスワード リセットのスケジュール](構成されている場合)
の詳細が表示されます。定期的なパスワード リセット スケジュールを追加する、選択したリソース グループに含まれるメンバー
リソースのリストを表示するには、[選択したリソースを表示] ボタンをクリックします。
![periodic_password_reset_1]()
- 既存のスケジュールを変更するか、新しい定期的な[パスワード リセットのスケジュール]を追加するには、次の手順に従います。
- パスワード変更前に通知 - PAM360
を使用すると、スケジュールされたパスワードのリセット操作について通知する電子メールを対象のユーザーに送信できます。
- [次の日次までに通知] フィールドに、ユーザーに次回通知するまでの期間を入力します。
- 希望する[受信者]を選択します。パスワードにアクセスできるすべてのユーザーに通知するには、[パスワードに対するアクセス許可を持つユーザー] チェックボックスを有効にします。
- [ユーザー] または [ユーザーグループ] ボタンをクリックし、環境内で通知する対象のユーザーまたはユーザーグループを選択します。
- また、[メールアドレスを指定] チェックボックスをオンにして、指定されたフィールドに通知する特定のユーザーの電子メール アドレスを入力することもできます。複数のメールアドレスをコンマ区切り形式で入力できます。
- 必要な詳細を入力したら、[次へ]をクリックして次の手順に進みます。
- 使用するパスワード - ここでは、選択したリソース グループで使用可能なリソースのアカウントに新しいパスワードを割り当てる方法を選択できます。
- 適用されたパスワード
ポリシーに基づいてすべてのアカウントに対してランダムなパスワードを生成するには、[それぞれのユーザー アカウントに一意のパスワードを生成]
ラジオ ボタンを有効にします。
![periodic_password_reset_2]()
- すべてのアカウントに同じパスワードを使用する場合は、[このパスワードを使用する] ラジオ ボタンを選択し、指定されたフィールドに希望のパスワードを入力します。
- 構成されたスケジュールの各インスタンス中にすべてのユーザー アカウントに対してランダムに生成されたパスワードを使用する場合は、[すべてのアカウントに同じパスワードを割り当てますが、スケジュールごとに変更します。] ラジオ ボタンを選択します。このオプションを有効にすると、選択したリソース グループ内のすべてのアカウントに同じパスワードが割り当てられることに注意してください。
- [次へ] をクリックして次のステップに進みます。
- 適用されたパスワード
ポリシーに基づいてすべてのアカウントに対してランダムなパスワードを生成するには、[それぞれのユーザー アカウントに一意のパスワードを生成]
ラジオ ボタンを有効にします。
- リセットのスケジュール - 選択したリソース グループで使用可能なリソースに属するアカウントのパスワードを変更する頻度を指定します。
- タスクを 1 回だけ実行するには [一回のみ] を、数日ごとに繰り返すには [日] を、毎月 1
回実行するには [月毎] を、既存のスケジュールを無効にするには [なし]
を選択します。
![periodic_password_reset_3]()
- [一回のみ] を選択した場合は、パスワード リセット タスクを実行する時刻を指定します。[今] を選択すると、すべてのメンバー リソースのパスワードが直ちにリセットされます。[後で] を選択した場合は、パスワード リセット タスクを実行する希望の日時を指定します。
- 周期として [日] を選択した場合は、指定されたフィールドに、タスクを繰り返すまでの日数、スケジュールの開始日、および開始時刻を入力します。
- 周期として [月毎] を選択した場合は、指定されたフィールドで、毎月スケジュールを実行する日付と開始時刻を選択します。タスクは毎月選択した日時に実行されます。
- 周期を [なし] に選択した場合、構成された定期的なパスワード リセット スケジュールはすべて無効になります。
- [次へ] をクリックして次のステップに進みます。
- タスクを 1 回だけ実行するには [一回のみ] を、数日ごとに繰り返すには [日] を、毎月 1
回実行するには [月毎] を、既存のスケジュールを無効にするには [なし]
を選択します。
- リセットリトライ - 最初のパスワード リセットの試行が失敗した場合に PAM360 が試行する再試行回数と再試行間隔を指定します。
- [失敗時にパスワードのリセットを再試行する] チェックボックスをオンにし、[リトライの試行回数]
フィールドで PAM360 がパスワード リセット タスクを再試行する回数を指定します。
![periodic_password_reset_4]()
- [リトライ間隔(時間)] フィールドに、再試行間の期間を時間単位で指定します。
- [次へ] をクリックして次のステップに進みます。
- [失敗時にパスワードのリセットを再試行する] チェックボックスをオンにし、[リトライの試行回数]
フィールドで PAM360 がパスワード リセット タスクを再試行する回数を指定します。
- パスワード変更後に通知 - パスワード リセット スケジュールの実行後にユーザーに電子メール通知を送信するように設定できます。
- 希望する受信者を選択します。パスワードにアクセスできるすべてのユーザーに通知するには、[パスワードに対するアクセス許可を持つユーザー]
チェックボックスを有効にします。
![periodic_password_reset_5]()
- [ユーザー] または [ユーザーグループ] ボタンをクリックし、環境内で通知する対象のユーザーまたはユーザーグループを選択します。
- また、[メールアドレスを指定] チェックボックスをオンにして、指定されたフィールドに通知する特定のユーザーの電子メール アドレスを入力することもできます。複数のメールアドレスをコンマ区切り形式で入力できます。
- 希望する受信者を選択します。パスワードにアクセスできるすべてのユーザーに通知するには、[パスワードに対するアクセス許可を持つユーザー]
チェックボックスを有効にします。
- 必要な詳細を入力した後、[完了] ボタンをクリックして、選択したリソース グループの定期的なパスワード リセット スケジュールを追加します。
- パスワード変更前に通知 - PAM360
を使用すると、スケジュールされたパスワードのリセット操作について通知する電子メールを対象のユーザーに送信できます。
