ジャストインタイム(JIT)の特権昇格

特権アクセス管理

ジャストインタイム(Just-In-Time、JIT)の特権昇格は、重要なシステムへの特権アクセスに制限時間を設ける仕組みです。エンティティ(管理者、ユーザー、アプリケーション、スクリプト)は、必要な時にのみ、作業に必要な時間に限って、機密情報へのアクセスが許可されます。

ジャストインタイムの特権管理では、ユーザーに特権を常時付与する必要がないため、特権の悪用防止につながります。高度な特権アクセス管理システムは、特権アクセスを必要とするエンティティを対象に、必要な時に、特定の作業を完了するために必要な最小限の時間だけ、特権を自動的に昇格できます。

PAM360は、ManageEngine ADManager Plus(Active Directoryの管理・レポートソリューション)とのシームレスな連携により、ジャストインタイムの特権アクセスを効率的に実現します。PAM360は、ドメインアカウントの特権昇格を自動化・制御し、リソースに基づいて特権アクセスの使用可否や使用時間を制限します。この特権アクセス管理の機能により、業務負荷を軽減しつつ、セキュリティ強化を図ります。

PAM360でドメインアカウントをADセキュリティグループにマッピング

PAM360とADManager Plusの連携により、Active Directory(AD)の特定のセキュリティグループにドメインユーザーのアカウントをマッピングできます。マッピングは、ADドメインコントローラーをリソースとしてPAM360に追加し、(連携後にPAM360内で取得・表示される)対象のADセキュリティグループに関連付けることで実行されます。

PAM360でドメインアカウントをADにマッピング

Windowsドメインアカウントとローカルアカウントの権限を承認に基づき一時昇格

PAM360では、Windowsドメインユーザーへの管理者特権の付与・継承は、申請・承認プロセスに沿って行われ、特権の使用時間には制限が設けられます。PAM360の定型化された申請・承認ワークフローは、定義済みのポリシー設定によって構成されています。このワークフローに準拠した特権付与により、ドメインユーザーは自身の認証情報を使って簡単にログインでき、対象システムで特権レベルの操作を行うことができます。制限時間を超えると、ユーザーが重要なシステムにアクセスできなくなるように、権限が自動的に取り消されます。

PAM360は、Windowsリソースを対象としたローカルアカウントの特権昇格にも対応しています。重要システムへの時間制限付きアクセス制御を、ドメインアカウントだけでなくローカルアカウントにも適用することで、組織は徹底した特権アクセス管理を実現できます。

PAM360でのWindowsドメインのジャストインタイム特権昇格

PAM360とADManager Plusの連携による権限管理

ADManager Plusとの連携により、PAM360の管理者ユーザーはドメインアカウントの特権昇格を実施できます。ただし、ADManager Plus内で指定・管理されているユーザー権限の設定が影響を受けることはありません。セキュリティ対策として、ADManager Plusで管理者ユーザーがドメインユーザーの権限レベルを変更した場合、その設定がPAM360での設定変更よりも優先されるように設計されています。この設計により、ドメインアカウントの制御・管理は完全にADManager Plusに準拠し、あらゆる不正アクセスを防止します。

PAM360でジャストインタイムの特権アクセスを効率的に実現!