PAM360 リリースノート

ManageEngine > 統合特権アクセス管理ソリューション「PAM360」 > リリースノート

リリース情報、新機能のご紹介

注:ビルド8202以降、日本サポート対象外のエディションに関する内容は記載しておりません。ビルド8202よりも前のビルドでは、サポート対象外のエディションに関する内容が一部記載されている場合がございます。現在、日本でサポートしているエディションはEnterprise Editionのみです。

 

ビルド8202変更点

2025年12月24日 日本リリース

機能追加
アクセシビリティ制御

役割が「パスワードユーザー」および「接続ユーザー」のユーザー向けに、アクセシビリティ制御を導入しました。本機能はアクセシビリティ向上のため、Web Content Accessibility Guidelines(WCAG)に沿って設計されています。対象のユーザーはマイプロフィールメニュー(人型アイコン)からアクセシビリティ制御を設定できます。 詳細についてはこちらのページ(英語)をご参照ください。

Tridentハードウェアセキュリティモジュール(HSM)との連携

PAM360とTrident HSMが連携可能になり、新たなHSMベースの暗号化方式としてTrident HSMが利用可能になりました。PAM360の暗号化キーをTrident HSM内に保存できるようになり、PAM360に保存された特権アカウントの認証情報や個人のパスワードのセキュリティが強化されます。

これによって、組織における機密データの管理強化、コンプライアンス対応を実現します。 詳細についてはこちらのページ(英語)をご参照ください。

アプリケーションゲートウェイ

アプリケーションゲートウェイは、PAM360サーバーから直接アクセスできない環境内の特権リソースを管理するための、PAM360専用のサービスゲートウェイです。アプリケーションゲートウェイは安全な仲介役として機能し、DMZ、セキュアサブネット、または組織内の分離されたネットワークセグメント内のリモートリソースとPAM360サーバー間の通信を橋渡しします。

PAM360サーバーとリモートリソースの両方に接続可能なサーバーにアプリケーションゲートウェイを戦略的に配置することで、管理者は特権リソースおよび関連アカウントを効率的にディスカバリーと管理ができます。これによって、組織のセキュリティポリシーやネットワークセグメンテーションを損なうことなく、パスワード変更、パスワード検証などの制御を維持することができます。

アプリケーションゲートウェイは、大規模なリソース管理が必要な環境にも展開可能で、複数のゲートウェイに負荷を分散してタスク実行のバランスを取り、最適なパフォーマンスを維持することが可能です。

詳細についてはこちらのページ(英語)をご参照ください。

PAM360 Remote Connectのアプリケーション認証情報自動入力

PAM360 Remote Connectにアプリケーション認証情報自動入力機能を導入しました。この機能により、DBeaverやMySQL Workbenchなどのサードパーティ製クライアントアプリケーションを介したデータベースサーバーへのリモートアクセスが簡易化され、セキュリティが強化されます。

本機能は、PAM360に登録したデータベースサーバーの認証情報をサードパーティ製クライアントアプリケーションに自動的に入力します。これにより、パスワード漏洩のリスクを低減し、セッションのセキュリティを強化するとともに、すべてのログイン操作がPAM360内で監査可能になります。

AIを活用したインサイト

BYOKモデルを備えた人工知能プラットフォームであるOpenAIとPAM360が連携可能になりました。これにより、AIを活用したインサイトを提供し、ユーザーアクティビティの迅速な分析と特権関連の潜在的なリスクの検知を支援します。

  • クラウド権限のリスク修正
    過剰な権限によるリスクを軽減することを目的とした、AWSのアイデンティティ向けのインラインポリシーを生成します。また、生成したポリシーについて、過剰な権限の削除、および、どのように必要十分な権限のみが付与されるかの要約を提供します。
  • 記録済みセッションの要約
    SSHおよびTelnetセッションの記録に対してAIによる要約を生成し、特権セッションの迅速な理解と分析を可能にします。AIを活用したインサイトにより、組織はアクセスガバナンスの改善と、多様な環境において進化するセキュリティ要求への適応が可能になります。
    詳細についてはこちらのページ(英語)をご参照ください。
特権タスクの自動化

PAM360にQntrl Circuitsによる特権タスク自動化(PTA)機能を追加しました。これにより、ITインフラ全体で都度またはスケジュールに基づく特権タスクのシームレスな実行を実現します。また、システムの構成、ソフトウェアインストール、ファイル転送、AD操作、ログ管理、その他の重要な管理業務を簡単に自動化できます。

PAM360にエンドポイントをリソースとして設定し、PTAで自動化フローを設定するだけで、自動化された認証情報プロビジョニングを活用し、手動または事前定義された間隔でタスクを安全に実行可能です。

特権タスク自動化(PTA)のハイライト

  • タスクの自動実行:手動作業を削減し、エラーを最小限に抑え、特権操作におけるセキュリティを強化します。
  • 認証情報を直接的に取り扱わずにタスクを実行:認証情報を直接的に取り扱うことなくタスクを実行可能にし、自動化されたワークフロー内で高権限なタスクを安全に実行します。
  • アクセス制御の強化:認証情報に基づく操作を安全に自動化することで、不正アクセスのリスクを軽減します。
  • 規制、コンプライアンスへの対応:ガバナンスおよび規制、コンプライアンス対応のために詳細なログを保持します。

PTAはIT運用を円滑、効率的にし、セキュリティを強化すると同時に、PAM360内での管理とコンプライアンスの向上を実現します。

詳細についてはこちらのページ(英語)をご参照ください。

PAM360エージェントの自動アップグレード

Windows、Windows Domain、Linux用のPAM360エージェントに、シームレスなインストールと簡単なアンインストールを可能にする自動アップグレード機能を追加しました。 さらに、Windows、Windows Domain、Linux用エージェントのエージェント設定とモジュール設定は、PAM360のWebコンソール上から直接カスタマイズ可能になりました。

Webサイト接続のセッション録画

PAM360サーバーまたはHTTPSゲートウェイサーバーから直接開始された、Webサイト接続のセッション録画が可能になりました。管理者はセッション中にWebサイト上で行われるすべてのユーザーアクティビティを監視、記録できるようになり、可視性、セキュリティ、コンプライアンス管理が大幅に強化されます。

既存のサーバー接続のセッション録画に加え、Webサイト接続のセッション録画を実装したことで、組織が規制上の要件を満たすこと、潜在的なセキュリティインシデントを迅速に特定、対処すること、および、安全な運用環境を確保することに役立ちます。

Webサイト接続のセッション録画は[監査]タブ→[記録済みWebサイト接続(Recorded Website Connections)]で確認できます。

macOS用のPAM360エージェント

新たにmacOS用のPAM360エージェントを導入し、エージェントベースの機能がmacOSでも利用可能になりました。このエージェントで既存のWindows、Linux用のエージェントと同様、ローカルアカウントのディスカバリー、パスワード変更、およびパスワード検証などの特権管理操作が実行できます。PAM360サーバーに直接接続されていないmacOSのリソース上で、簡単にエージェントをインストールおよび管理し、PAM360の特権操作を実行することが可能になりました。

LGPDコンプライアンスレポート

ブラジルの一般個人データ保護法(LGPD)に対応するコンプライアンスレポート機能を追加し、LGPD要件に沿った包括的なレポートを生成できるようになりました。これらのレポートは、データ保護とプライバシーに関するLGPD基準に準拠するため、PAM360における特権データの収集、保存、処理、管理方法に関する詳細なインサイトを提供します。特権アクセスとデータ監視のための組み込みレポートにより、組織は効率的にLGPDコンプライアンス要件を満たすことができます。

NIS2コンプライアンスレポート

欧州連合の改正ネットワークおよび情報システムに関する指令(NIS2)に対応するコンプライアンスレポート機能を追加しました。これにより、140以上のNIS2指令に関連する包括的なレポートを生成し、コンプライアンス検証と報告を実施することが可能になりました。これらのレポートは特権アクセスがどのように管理されNIS2基準に準拠しているかを詳細に可視化し、アクセス活動追跡やインシデント対応の監視を可能にします。特権アクセス追跡とインシデント対応監視の組み込みサポートにより、NIS2要件を効率的に満たすことができます。

PAM360によるクラウド権限管理(CIEM)

クラウドインフラストラクチャ権限管理(CIEM)機能を導入しました。本機能は、権限とポリシーの制御を一元化することでガバナンスを強化し、クラウドの権限を保護するように設計された集中型プラットフォームです。PAM360のCIEMは、過剰な権限、ポリシー違反、設定ミスによるリスクを特定し、AWSクラウド環境全体にわたる脆弱な権限を可視化します。

組み込みの検知および修正ワークフローにより、ゼロスタンディング特権の実現を支援し、セキュリティ脆弱性を効果的に低減することで、クラウドインフラストラクチャをエンドツーエンドで保護します。

機能のハイライト

  • 可視性の向上:一元化されたプラットフォームを通じてクラウドの権限に関する詳細なインサイトを提供し、情報に基づいた意思決定を可能にします。
  • 詳細なアクセスマッピング:ユーザー権限を可視化し、管理と調整を容易にします。
  • 積極的なリスク軽減:過剰な特権や脆弱な権限を特定し、インラインポリシーを活用してリスクを軽減します。
  • 適切な規模の権限管理:すべてのアカウントに最小権限を適用することで、必要最小限のアクセス(Just Enough Access(JEA))モデルを実現します。
  • コンプライアンス対応:継続的なコンプライアンス監視により、業界規制の遵守を支援します。
  • 詳細についてはこちらのページ(英語)をご参照ください。
PAM360経由でADManager Plus内のドメインアカウントパスワード更新

ADManager PlusとActive Directoryを連携するために使用している特権ドメインアカウントを、PAM360内の対応するドメインアカウントに直接関連付けられるようになりました。これにより、PAM360でドメインアカウントのパスワード変更が実行された際、更新されたパスワードがADManager Plusに自動的に同期されます。この自動化によりADManager Plus上での手動更新が不要になりました。

ユーザー責任の移動

ユーザータブ内のユーザーアクションに「ユーザー責任の移動(Transfer User Accountabilities)」機能を追加しました。この機能により、全所有権と承認権限を既存ユーザーから新規ユーザーへシームレスに移動できます。ユーザーが組織や部門を離れる際、ワンクリックでリソースの移行、権限の委譲、承認権限の移管が可能になりました。

詳細についてはこちらのページ(英語)をご参照ください。

カスタムデータベース管理

カスタマイズされたデータベース属性を設定した、データベースのリソース種別を作成できるようになりました。この機能により、独自に構成されたMSSQL、PostgreSQL、Oracle DB、Sybase ASE、NoSQL、JDBCをサポートするその他のSQLサーバーデータベースを、PAM360内に新規リソースとして追加できます。

ユーザーは独自のデータベースに対してパスワード管理やSQL自動ログオンを、管理ニーズに合わせて柔軟に実施できるようになります。これにより、データベースリソースを日々の要件に正確に適合させることが可能となります。

新しい連携(ITOMアプリケーション)

効率的なITインフラ管理を実現するため、ManageEngine IT Operations Management(ITOM)アプリケーションとPAM360が連携可能になりました。この連携により、PAM360でパスワードを変更するたびに、PAM360データベースに保存されているネットワークデバイスの更新されたパスワードが自動的にITOMアプリケーションのデータベースに同期されます。この連携により、パスワードをPAM360に安全に保管し、必要に応じて適切なITOMアプリケーションと共有することで、安全なITインフラ管理を実現します。

機能強化
  • これまで、カスタムフォルダにアカウントのみを関連付けることが可能でしたが、この機能をリソースにも拡張しました。ユーザーは特定の要件に基づき、リソースをカスタムフォルダに追加できるようになりました。この機能強化により、リソースのグループ化を効率的かつユーザー個別に行うことができるようになり、多数のアカウントやリソースを利用、管理する環境において、アクセシビリティの向上と管理の簡素化を実現します。
  • [管理]タブ→[一般設定]→[ユーザー管理]の「ブラウザ拡張機能を使用して、Webサイトへの自動入力操作を許可。」設定を強化し、3種類の設定に変更しました。 これまで、この設定が有効化されている場合、「リソースURLが登録されているリソースに対して1つのユーザーアカウントのみ登録されていること」、「リソースURLがルートドメインと一致していること」の両方の条件を満たしている場合にのみ拡張機能が資格情報を入力可能でした。これらのアクション対してより細かな制御が可能になりました。
    注:本ビルド以降、リソースURLがドメイン名と完全に一致しない場合、ブラウザ拡張を通じてWeb認証情報が入力できなくなります。管理者は、上記の強化された設定を使用してこの動作をカスタマイズできます。
  • HTTPSゲートウェイセッションおよびWebサイトセッションに関連する以下のクエリレポートを導入しました。
    • HTTPSゲートウェイセッション記録が設定されたアカウント(Accounts Configured with HTTPS Gateway Session Recording)
    • 記録されたHTTPSゲートウェイセッション(Recorded HTTPS Gateway Sessions)
    • 記録されたWebサイトセッション(Recorded Website Sessions)
  • 監査タブのユーザーセッションページに新機能「終了とロック(Terminate and Lock)」を追加し、管理者が不審なユーザー活動や不正アクセス試行に対してより効果的に対応可能になりました。この機能強化により、管理者はアクティブなユーザーセッションを終了させると同時に、ユーザーアカウントをロックできます。これによりアクセスを無効にし、アカウントが手動で再有効化されるまで、ログイン試行がブロックされます。
  • リソースグループの定期的なパスワード変更後に、ユーザーに送信されるメール通知に、監査レポートがCSV形式とPDF形式の両方の形式で添付されるようになりました。
  • ユーザーグループページに「空のユーザーグループ」フィルターを追加し、ユーザーを一切含まないユーザーグループを抽出できるようになりました。
  • [管理]タブ→[一般設定]→[通知]から、管理者が画面上のチャットサポートウィジェットを非表示にできるようになりました。
  • PAM360を使用したSSHセッション中にシームレスにファイル転送を行えるようになりました。SSHコンソール上のシンプルなアップロードおよびダウンロード機能により、ローカルマシンとリモートリソース間でファイルを容易に移動でき、安全な双方向ファイル転送を実行できます。
  • 使いやすさを向上するため、管理タブを再設計しました。新しい管理タブは、シンプルなナビゲーション、強化された検索機能、カスタマイズオプションを備えています。この機能強化の一環として、管理タブ内の複数のメニューを、明確化するために名称変更および再編成しました。この機能強化により、管理者は設定を迅速に見つけられるようになり、全体的な使いやすさと運用効率が大幅に向上しました。
  • 暗号化セキュリティ態勢を強化するため追加の暗号化キーを導入し、PAM360の暗号化キーメカニズムを強化しました。この強化は完全にバックエンドで処理され、既存の設定やワークフローに影響を与えません。
  • アクセス制御ワークフローにおいて、Windowsローカルセキュリティポリシーを使用した特権昇格が可能になりました。これは、適切な委任ポリシーに従って、パスワードのチェックアウトおよびチェックイン時に自動化された特権プロセスを実行することで実現されます。
  • 新しいREST API:以下の新しいREST APIを追加しました。
    • すべてのユーザーレポートの取得:PAM360に登録されている全ユーザーのユーザー名とユーザーIDを取得します。
    • すべてのユーザーグループレポートの取得:PAM360で利用可能な全ユーザーグループのユーザーグループ名とユーザーグループIDを取得します。
    • すべてのリソースレポートの取得:PAM360で利用可能な全リソースのリソース名とリソースIDを取得します。
    • すべてのリソースグループレポートの取得: PAM360で利用可能なすべてのリソースグループのリソースグループ名とリソースグループIDを取得します。
    • リソースをゴミ箱に移動:ユーザーが所有するリソースをゴミ箱に移動します。
    • アカウントをゴミ箱に移動:ユーザーが所有するアカウントをゴミ箱に移動します。
    • ゴミ箱からリソースを復元:ユーザーが所有するリソースをゴミ箱から復元します。
    • ゴミ箱からアカウントを復元:ユーザーが所有するアカウントをゴミ箱から復元します。
    • ゴミ箱内のすべてのリソースを取得:ユーザーが所有するゴミ箱内のリソースを取得します。
    • ゴミ箱内のすべてのアカウントを取得:ユーザーが所有するゴミ箱内のアカウントを取得します。
    • MSSQLリソースのリモートパスワードリセットを設定する:PAM360 で利用可能な MSSQLリソースのリモートパスワードリセットを設定します。
    • ユーザーがアクセスしたパスワードのリセット:ユーザーが所有するすべてのパスワードと、ユーザーと共有されているパスワードをリセットします。
  • これまで、PAM360はSecure File Transfer Protocol(SFTP)を使用して、別途リモートセッションを必要とせずに、リモートマシン間での安全な双方向ファイル転送を実現していました。このファイル転送機能に、UIの改善や転送データ量の上限設定機能の追加などの強化を行いました.。さらに、ユーザーはリモートマシン上のファイルやフォルダのアップロード、ダウンロード、削除が可能となりました。追跡とコンプライアンスのために、すべての操作が監査タブに記録されます。
    注:デフォルトではSFTPセッションごとの最大転送データ量を2GBに制限しています。セッションごとのファイル転送制限は、一般設定で50MBから10GBの範囲でカスタマイズ可能です。また、このファイル転送機能は、主に技術者やアナリストが簡単なスクリプト、設定ファイル、ログなどのアップロードおよびダウンロードを行えるようにし、利便性を向上することを目的としています。本機能を組織内の専用ファイル転送、管理ソリューションの代替とはみなさないでください。ファイルはPAM360ゲートウェイサーバー経由で転送されるため、最適なパフォーマンスを確保するために、転送するファイルサイズを2GB以下に抑えることを推奨します。
  • これまで、Active Directoryのスケジュールは同期間隔ごとにグループ化されていました。本ビルド以降、スケジュールはグループ名または組織単位(OU)名ごとに分類されるため、ユーザーとリソースの同期に対するより細かい制御が可能になります。
  • エージェントモジュール、設定、プロパティがPAM360インターフェースから直接管理可能となり、agent.confファイルの修正が不要になりました。この更新により、将来のエージェントアップグレードが簡素化、自動化されます。この機能強化を活用するには、ビルド8202の新規エージェントをインストールし、既存のエージェントと置き換えてください。
  • ノードベースのネストされたグループ化に加え、継承ベースのネストされたグループ化、および、共有設定の継承が可能になりました。管理者は一般設定から、任意のネストされたグループ化方法を設定できます。この新しいネストされたグループ化アプローチにより、管理者はリソースタブ内のパスワードエクスプローラーツリーから、リソースグループやサブグループを作成、変更、削除し、ユーザーやユーザーグループと直接共有することが可能になります。さらに、一般設定のカスタマイズオプションにより、管理者はサブグループの継承共有レベルを制御でき、柔軟かつ効率的なリソースグループ管理が可能になります。
    詳細についてはこちらのページ(英語)をご参照ください。
  • 一般設定で、様々な役割に対して特権アカウントのパスワードを非表示にすることが可能になりました。
  • 複数のアクセスURLに対して、SAMLシングルサインオン(SSO)を設定できるようになりました。これにより、ロードバランサーや高可用性(HA)に対応し、異なるサーバー間で安全かつシームレスな認証が可能になりました。さらに、各アクセスURLに対して複数のIDプロバイダー(IdP)を設定可能となり、既存のIdP設定を異なるアクセスURL間で複製できるほか、PAM360とIdP間の連携を定義するSAML SSOプロパティをカスタマイズできます。これらの機能強化により、認証管理における柔軟性とセキュリティが大幅に向上しました。
  • PAM360サーバーと拡張機能間のシングルサインオン(SSO)をサポートし、利便性が向上しました。これにより、PAM360のWebサーバーにアクティブなセッションが存在する場合、ユーザーは別途ログインすることなく拡張機能に直接アクセスできます。
  • レガシーSSHに加え、ランディングサーバーで設定されたリソースへのリモートセッションにおいて、標準SSH接続が利用可能になりました。
  • PAM360のWebコンソールから起動したHTTPSゲートウェイ接続に認証情報を自動入力できるようになりました。
  • ブラウザ拡張機能から起動したHTTPSゲートウェイ接続において、認証情報の自動入力および自動ログオンが可能になりました。
  • Linux環境において、PAM360エージェントは、エージェントのインストールの並行処理やその他の機能を活用するため、「systemd」ソフトウェアスイートにインストールされるようになりました。
  • PAM360はエージェントファイルのデジタル署名サポートを提供し、真正性の強化と改ざん防止を実現しました。
  • 既存要件の更新と新たな脅威への対応策の導入を含む、PCI DSS 4.0に対応するため、レポート機能を強化しました。これによって最新のPCI DSSへの準拠を支援します。
  • 既存のADManager Plus連携に加え、PAM360環境内で直接Windowsドメインアカウント向けのジャストインタイム(JIT)特権昇格を設定できるようになりました。
    注:この更新は、ManageEngine ADManager Plusとの連携を通じて設定されたWindows Domainリソースの既存のJIT特権昇格設定には影響しません。JIT特権昇格を設定する際に、この新しいオプションが利用できます。
  • ユーザーは、リソース、ユーザー、タスクの監査において、監査の要約および、各監査レコードに関連するリソースとタスクの監査証跡(関連監査)を確認できるようになりました。
    この機能強化により、ユーザーは関連情報を一箇所で簡単に確認でき、特定の監査に関連する情報を包括的に把握することができます。さらに、監査の要約と関連する監査情報はエクスポートまたはメール送信が可能です。
  • 管理者は、リモートでのパスワード変更時に、ドメインアカウントを使用してWindowsローカルアカウントのパスワードを変更できるようになりました。これは個別設定と一括設定の両方で利用可能です。
  • Linux環境において、PAM360サービスは、サービスの並列処理やその他のサービスの機能を活用するため、「systemd」ソフトウェアスイートにインストールされます。
    注:ただし、既存の環境は、変更しない限り、サービスは「initd」プロセスによって制御されます。既存環境でサービスを「systemd」ソフトウェアスイートに変更したい場合は、こちらに記載の手順(英語ページ)に従ってください。
  • 管理者は、一般設定の「リモートセッション管理」で、リモートセッション用のキーボード言語を設定できるようになりました。さらに、ユーザーはマイプロフィール(人型アイコン)のドロップダウンメニューにある「リモートセッション設定」から、リモートセッションで使用するキーボード言語を選択できます。
  • これまで、条件リソースグループ(動的リソースグループ)を作成する際やリソースを条件リソースグループに関連付ける際、「以下のすべてに一致する」(AND)または「以下のいずれかに一致する」(OR)のいずれかの条件のみ指定可能でした。本ビルド以降、ANDおよびORロジックを用いて、多様な組み合わせの条件や部分集合を指定した動的条件を設定できるようになりました。
  • これまで、リソースにSSHプロキシを設定した場合、新しい情報に変更することはできても、無効化することはできませんでした。本ビルド以降、リモート接続アプリケーション用に設定されたSSHプロキシを無効化するオプションを導入しました。
  • グローバル検索の検索結果画面に「接続表示」タブを追加しました。「詳細表示」タブの横に表示されます。
  • TLSプロトコルバージョン1.1および1.2に加え、エージェントおよびHTTPS通信用にTLSバージョン1.3をサポートしました。
  • これまでは、エージェントを通じてディスカバリーしたリソースの所有権を移動するには、設定ファイルを手動で更新する必要がありました。所有権をUI上で移動可能になりました。
  • パスワード生成時に特殊文字「_」を含めることが可能となり、パスワード生成の柔軟性が向上しました。
UI、UXの変更

PAM360のアイコンを新たなデザインへと変更し、ユーザーインターフェースを一新しました。

セキュリティ強化
  • パストラバーサル、ローカルファイルインクルージョン、蓄積型クロスサイトスクリプティング(蓄積型XSS)、反射型クロスサイトスクリプティング(反射型XSS)、サービス拒否攻撃(DoS攻撃)、静的変数の使用、およびその他のいくつかの脆弱性に対するセキュリティチェックをを強化しました。
  • Strutsフレームワークの依存関係を排除し、内部ライブラリを活用して操作を実行することにより、PAM360のセキュリティを強化しました。
セキュリティ修正
  • リモート接続で発生する不正アクセスの脆弱性を修正しました。
  • 他の承認者による承認を経ずに、管理者が自身の作成した役割を承認できてしまう不具合を修正しました。
  • 以下の操作をユーザーが不正に実行できる不具合を修正しました。
    • 承認管理者に申請されたパスワードアクセス要求の閲覧
    • 編集権限を持たないリソースに対する編集
  • 以下の操作において、攻撃者が任意のコマンドを実行できてしまうリモートコード実行(RCE)の脆弱性を修正しました。
    • レガシーSSH接続によるファイル転送
    • Linuxリソースへの証明書の展開
    • LinuxリソースにおけるSSH鍵のローテーション
  • 権限の低いユーザーが以下の操作を実行できてしまう不具合を修正しました。
    • 共有されていないリソ-スの属性、リソース名、アカウント名の表示
    • 承認管理者でない管理者にパスワードアクセス要求を送信
    • 共有されていないリソースのリソース所有者の情報の取得
    • ユーザーの情報、電子メール、関連するユーザーグループの情報の表示
不具合修正
  • Windows Domainリソースへのフルアクセス権を持つユーザーが、ドメインアカウントのディスカバリー操作に失敗する不具合を修正しました。
  • RDP接続の「リモートオーディオ再生」において、「このコンピューターで再生(Play on this computer)」が有効な場合に、ユーザーのローカルマシンで再生できない不具合を修正しました。
  • 管理者ユーザーが誤って接続ユーザーとしてカウントされ、接続ユーザーの上限に達すると、新しい接続ユーザーを追加できない不具合を修正しました。
  • PAM360 の拡張機能以外の、特定の拡張機能が動作している際に、ブラウザ-ウィンドウがクラッシュし、CPU使用率が増加する不具合を修正しました。
  • これまで、Google WorkSpaceをIdPとして使用したSAML SSO環境で、PAM360 にログインできない不具合が発生していました。この不具合はGoogle Chromeで保護強化機能が有効な状態で発生し、誤ったオープンリダイレクトのエラーを引き起こしていました。この不具合を修正しました。
  • これまで、ユーザーがレガシーSSH、Telnet、またはSQLセッションをリモートリソースに対して開始した際、セッション開始記録が監査履歴に記録されませんでした。この不具合を修正しました。
  • 製品のバックエンドデータベースとして、MSSQLを設定している場合に、PAM360モバイルアプリケーションから、オフラインアクセス用のパスワードをエクスポートできない不具合を修正しました。
  • GlobalSignの証明書の注文を作成する際に、ユーザーがSAN名を追加できない不具合を修正しました。
  • リソースグループに対して設定されたパスワードの非同期に関する通知メールの本文において、PAM360と表記されるべき部分が誤ってPassword Manager Proと表記されていた不具合を修正しました。
  • リダイレクトURLの変更に伴い、Boxクラウドストレージへのパスワードのエクスポートが失敗する不具合を修正しました。
  • リソースタブの「所有・管理」ペインに、表示または変更権限で共有されたパスワードが誤って表示される不具合を修正しました。
  • リソースURLが設定されているリソースの自動ログオンオプションが、管理者に対しブラウザ-拡張機能内で誤って表示される不具合を修正しました。この不具合は、「パスワードのプレーン テキスト表示が無効になっている場合、ブラウザ拡張機能を介してURLで構成されたリソースの自動ログオンを許可します。」オプションが無効となっている状態、および管理者に対してパスワードが非表示となっている状態でも発生していました。
  • Microsoft Entra IDのユーザーグループからPAM360にユーザーをインポートする際、選択したグループに多数のユーザーが含まれている場合にインポートが失敗する不具合を修正しました。
  • ゼロトラストのアクセスポリシーに新しい条件を追加する際、適用先のユーザーグループの選択が意図した通りに行えない不具合を修正しました。
  • Microsoft Entra IDからユーザーをインポートする際に、部門、場所および、Eメールアドレスなどのユーザー属性を正確に取得できない不具合を修正しました。
  • IISのWeb.Configのディスカバリーおよびパスワードリセットが意図した通りに機能しない不具合を修正しました。
  • Windows Domainリソースのパスワード整合性検査に失敗する不具合を修正しました。
  • Dropboxへのパスワードエクスポートに関する不具合を修正しました。
  • PAM360 ユーザーのユーザー名にバックスラッシュ(\)が含まれているユーザーがカスタムクエリレポート作成時、プライバシー設定を「私のみ」と設定すると、作成したカスタムクエリレポートが正しく表示されない不具合を修正しました。
  • ファイル保存のための追加フィールドを持つリソースのアカウントの説明フィールドを編集できない不具合が発生していました。この不具合を修正しました。
  • 一部のインスタンスで、ランディングサーバーを変更する際に、選択したリソースのアカウント情報が表示されない不具合を修正しました。
  • モバイル用の新しいロゴをリブランドから更新しても、iOSデバイスに反映されない不具合を修正しました。
  • ユーザーが誤った認証情報でリソースのRDPセッションを開始した場合、認証の失敗後もセッションウィンドウが開いたままとなる不具合を修正しました。
  • 「一般設定」の「リソース/パスワード作成」にて「アカウント削除を同期」を有効にすると、PAM360エージェントを介して追加されたリソースからアカウントをディスカバリーする際に、PAM360 レポジトリ内のそのリソースに関連するすべての追加済みアカウントが削除される不具合を修正しました。
  • Application Load Balancerが設定されたAWS環境にインストールされたPAM360で、ユーザーの接続要求がランダムに失敗する不具合を修正しました。
  • ユーザー監査の理由フィールドで、「\n」を含むユーザー名が正確に表示されない不具合を修正しました。
  • ユーザーグループにユーザーを追加した際、ユーザー監査に記録される監査内容に、ユーザーグループ名が表示されない不具合を修正しました。
  • ユーザーが接続タブからログイン中のADアカウントを使用してリモートセッションを開始しようとした際、表示されるリモートアクセスプロトコルに誤ったプロトコルが表示される不具合を修正しました。
  • 条件グループ(動的グループ)のリモートパスワード変更を構成する際に、「使用するパスワード」を「すべてのアカウントに同じパスワードを割り当てますが、スケジュールごとに変更します。」と設定しても、それぞれのアカウントに一意なパスワードが生成されてしまう不具合が発生していました。この不具合をを修正しました。
  • ユーザーグループの説明を変更しても更新されず、古い説明が表示される具合を修正しました。
  • AD同期のスケジュールでグループ名を変更すると、時折操作に失敗する不具合を修正しました。
  • エージェント経由で追加されたリソースに対して、指定されたタイムアウト間隔内に複数のパスワードローテーションがトリガーされた際に発生していた不具合を修正しました。
  • RDS MSSQLをバックエンドデータベースとして使用する環境で、RotateKey.batを実行した際に暗号化キーのローテーションが行えない不具合を修正しました。
パフォーマンス改善
  • パスワード整合性検査において大幅なパフォーマンス向上を実現し、標準的なシステム条件下で、最大10倍の速度で操作が可能になりました。このパフォーマンス改善は、膨大なリソースやアカウントを持つ組織にとって特に有益で、コンプライアンス要件や緊急措置による大規模なパスワード整合性検査の際に重要な効率性をもたらします。本改善による効果の例は以下の通りです。
    • 10,000アカウントのパスワード整合性検査はこれまで約54分必要でしたが、約24分で完了するようになりました。
    • 100,000アカウントのパスワード整合性検査はこれまで24時間以上必要でしたが、約6時間で完了するようになりました。
  • 条件リソースグループに大きく依存する組織向けに、全体的なパフォーマンスを大幅に改善しました。
仕様変更
  • PAM360はjTDSドライバーのサポートを終了しました。JDBCドライバーがデータベース接続のデフォルトのドライバーとして機能します。jTDSドライバーをデータベースドライバーとして設定していた場合、こちらの手順(英語)に従ってください。
  • Kubernetes、脆弱性スキャナー、ManageEngine Analytics Plusおよび、チケットシステム(ManageEngine ServiceDesk Plus MSPおよびManageEngine ServiceDesk Plus )と連携する際、PAM360にインポートするサーバー証明書には、Subject Alternative Name(SAN)を含めることが必要になりました。この要件は、セキュリティを強化し、標準的な証明書検証方法へ準拠するために導入されました。
  • これまで、Microsoft AzureのIAMユーザーアカウントのパスワードをローテートする場合、管理者ユーザーアカウントを用いてAzure app経由でPAM360から実行されていました。Microsoft社が管理者アカウントに多要素認証(MFA)を必須としたため、管理者アカウントを使用したリモートパスワードリセットは実行できなくなりました。 今後、リモートパスワードリセットは、管理者ロールが割り当てられたAzure appを用いてのみ実行できます。
    詳細については、こちら(英語)をご確認ください。
  • これまで、WebインターフェースおよびREST APIアクセスを持つユーザーが、アクセス制御が設定されたパスワードをに対してREST API経由で要求すると、Webインターフェースではパスワードが非表示でしたが、APIレスポンスでは表示されていました。セキュリティの強化のため、今後、PAM360のWebインターフェースにアクセスできるユーザーがパスワード要求する場合、パスワードはREST APIレスポンスでも非表示となります。
  • 本ビルド以降、各ブラウザーセッションごとにHTTPSゲートウェイサーバーを通じたアクティブなウェブサイト接続は1接続のみ可能となります。。ユーザーは一度に1つのゲートウェイ接続を開始でき、前のセッションを閉じた後でのみ、同じブラウザーウィンドウから別のゲートウェイ接続を起動できます。この改善により、同時のゲートウェイセッションによって引き起こされるウェブサイトの読み込み遅延や認証失敗などの問題が解決され、セッションの安定性と信頼性が向上します。
    注:ユーザーは、それぞれ構成されたURLに対して別々のブラウザーセッションを開始することで、異なるウェブサイトに同時に接続できます。
  • PAM360はGoogle Workspaceリソースのリモートパスワード変更時のサーバー間の通信にOAuth 2.0をサポートするようになり、セキュリティを強化しました。これに伴い、既存のGoogle Workspaceリソースのリモートパスワード変更設定に追加情報を登録する必要があります。
    注:既存のGoogle Workspaceリソースのリモートパスワード変更設定では、今後パスワード変更ができません。リモートパスワード変更設定を更新する必要があります。
  • ユーザー認証トークンに日数で定義されたアクセス有効期間が設定されます。アクセスの有効性を維持するために、ユーザーは指定された間隔で継続的に認証トークンを再生成する必要があります。この対応により、トークンが早期に期限切れになることを防ぎます。。トークンが期限切れになった場合は、管理者がトークンを再生成できます。
アップグレード
  • Sparkgatewayのバージョンを1045から1094にアップグレードしました。
  • Maverickフレームワークをバージョン1.7.21から1.7.56にアップグレードし、互換性とセキュリティの向上しました。このアップグレードにより、SSHおよびSSL関連の機能を強化しました。具体的な内容は以下の通りです。
    • 新しい形式の鍵:PuTTYおよびAWSを用いて新しく生成された鍵を完全にサポートしました。
    • SSH鍵アルゴリズムの拡張:SSH鍵にRSA-SHA2署名アルゴリズム(rsa-sha2-256およびrsa-sha2-512)を追加し、キーの作成と管理がより柔軟に実施できるようになりました。
  • 内部のセキュリティフレームワークを更新し、セキュリティを強化しました。
  • Tomcatのバージョンを9.0.54から9.0.97にアップグレードしました。
 

ビルド7100変更点

2024年11月05日 日本リリース

新機能
  • PAM360はサービスアカウントのディスカバリーだけでなく、Windowsドメインリソース内のエンタープライズ管理者やドメイン管理者アカウントなどの特権ドメインアカウントのディスカバリーにも機能を拡張しました。この機能には、カスタマイズ可能なディスカバリー基準と同期スケジュールがあり、管理者はこれらの高権限のアカウントへのアクセスを効率的に管理することができます。Windows Domainリソース内のアカウントの正確な管理を実現することで、特権ドメインアカウントの管理を大幅に合理化します。
  • Kubernetes連携 - TLSシークレット管理

    PAM360は、コンテナ型アプリケーションのデプロイ、スケーリング、シークレット管理を自動化するオープンソースプラットフォームであるKubernetes(K8s)と連携できるようになりました。Kubernetes SecretsはKubernetesプラットフォームが提供する機能で、Kubernetesクラスター内にKubernetes TLSシークレット(証明書)をセキュアに保存することができます。

    この連携により、管理者はKubernetesのTLSシークレット(証明書)をPAM360にセキュアに取り込み、単一の集中リポジトリ内で管理し、複数のKubernetesクラスターから取得したシークレットをローテーション/更新することができます。

    PAM360コンソールの[証明書]→[Kubernetes]でKubernetesのTLSシークレット(証明書)をPAM360で設定・管理できます。

  • プライベート認証局(CA)/中間 CA

    PAM360 は、組織内部で証明書を作成・管理できる新機能「プライベート CA(中間 CA)」を提供します。指定されたユーザーは、ルート証明書を使用して署名された中間証明書を使用して、社内サーバー、アプリケーション、サービスのためのエンドユーザー証明書に署名することができます。

    この機能により、組織は以下のことが可能になります。

    • 外部認証局に依存することなく、セキュリティを強化し、証明書管理プロセスをよりコントロールできるようになります。
    • 外部脅威のリスクを最小化し、証明書管理プロセス全体を改善できます。
    • 認証局の完全なコントロールを維持し、証明書の発行・失効プロセスを合理化することで、組織が発行する証明書の信頼性と安全性を確保し、すべての内部証明書を一元的に管理・監視します。
  • Azure Key Vault - TLSシークレット管理

    PAM360は、Microsoftが提供する管理サービスであるMicrosoft Azure Key Vaultのシークレットに保管されているTLSシークレットを管理できるようになりました。この連携により、ユーザーはAzure Key Vaultのシークレットに保管されているSSL/TLS証明書をPAM360のリポジトリにインポートすることで、PAM360経由でSSL/TLS証明書の作成(PFX形式)、更新、ライフサイクル全体の管理を行うことができます。

  • 設定可能なACMEの拡大

    PAM360は、証明書のライフサイクル管理を効果的に自動化するために、ACMEプロバイダーの追加をサポートしています。これまで管理可能だったLet's Encrypt、Buypass Go SSL、ZeroSSLなど、SSL/TLS証明書管理の自動化を提供する認証局との連携と同様に、PAM360は他のACMEサービスプロバイダを柔軟に組み込めるようになり、正確な自動化で効率的な証明書管理を実現できるようになりました。設定可能なACMEの詳細については、[管理]→[証明書]→[ACME プロバイダー]で確認できます。

  • PAM360 SDK

    PAM360 Software Development Kit(SDK)は、開発者と管理者に新たな道を開き、DevOps、CI/CDプラットフォーム、または組織内のその他のマイクロサービス/ソフトウェアとPAM360の機能をシームレスに連携します。SDKを活用することで、開発者は特権アクセス管理機能をアプリケーションに効率的に組み込むことができ、PAM360環境内でのセキュリティとシームレスな機能の提供を保証できます。

    PAM360 SDKの主なハイライト

    • JavaとPythonのサポート:SDKはJavaとPythonをサポートしており、多様なプログラミング環境への柔軟性と互換性を実現します。
    • 使いやすさ:SDKを使用して、アプリケーション/環境全体で適切なPAM360 APIを活用することにより、クライアントアプリケーションでハードコードされたPAM360データを排除します。
    • 容易なデータのやりとり::SDKを使用することで、PAM360とクライアントアプリケーション間でシームレスにデータをやりとりします。これを通じて、プロセスを合理化し、効率を向上することができます。
    • シンプルな連携:組織のJava/Pythonアプリケーション内でPAM360 APIをシンプルなメソッド/関数として宣言・定義することで、連携プロセスを簡素化し、開発コストを削減します。
    • スムーズなデータ転送:適切なAPIを活用することで、他のアプリケーションからPAM360に簡単にデータをプッシュし、スムーズでリアルタイムのデータ同期を実現します。

    PAM360 SDKの設定と管理の詳細については、ヘルプドキュメントを参照してください。

  • PAM360は、SCIM 2.0(System for Cross-domain Identity Management)をサポートし、SCIMがサポートするIDプロバイダーとPAM360アプリケーション間でユーザーデータをやりとりできるようになりました。PAM360サーバーネットワーク内にインストールされたIDプロバイダーのSCIMプロビジョニングエージェントは、管理者が、提供されたSCIM APIを使用して、既存のアイデンティティ管理システムとPAM360アプリケーション間でユーザーとユーザーグループの詳細を簡単に同期するのに役立ちます。
    機能のハイライト
    • ユーザー・ライフサイクル管理の自動化::SCIM 2.0のサポートにより、組織のポリシーにそったユーザーデータのシームレスな同期を実現します。
    • セキュリティ強化:SCIM 2.0のサポートにより、ユーザーデータに対する手動作業の介在を減らすことでセキュリティを強化します。
    • シンプルな連携:PAM360のSCIM 2.0のサポートにより、外部のIDプロバイダーとの連携を容易にし、システムの互換性を向上します。

    PAM360のSCIM APIとMicrosoft Entra IDのSCIMプロビジョニングのサンプル構成についての詳細は、ヘルプドキュメント(英語)を参照してください。

  • タイムベース・ワン タイム パスワード(TOTP)

    二要素認証(2FA)としてTOTPを利用するアカウントに対応するため、PAM360でTOTPのサポートを開始しました。

    この機能により、管理者は特に2FAが設定されたWebsite Accounts(リソース種別)のために、アカウント内のシェアードTOTPシークレットを利用して、TOTPコードをさらに生成することができます。一度設定すると、ユーザーはPAM360インターフェースから直接該当の特権アカウントにアクセスすることができ、共有パスワードと一緒に2FA用のTOTPコードの生成が容易になります。

    これにより、2FAが構成された共有アカウントを活用するための、ユーザーの設定、検証、認証の合理化されたエンドツーエンドのプロセスを実現し、全体的なセキュリティ体制とユーザーエクスペリエンスを向上します。

  • PAM360のアプリケーション制御によるエンドポイント特権管理

    ManageEngineのApplication Control Plusによるアプリケーション制御機能を使用して、PAM360のエンドポイントの権限管理機能を強化しました。

    この機能により、管理者はPAM360全体で組織のエンドポイントにおけるアプリケーションの使用状況を効率的に制御できます。カスタマイズ可能なルールにより、管理者はPAM360のインターフェイスから直接、許可リストとブロックリストを作成、管理でき、アプリケーションへのアクセスを正確に制御できます。さらに、ブレイクグラスシナリオ(緊急事態用シナリオ)では、管理者はブロックリスト上のアプリケーションを一時的に許可することができ、セキュリティを強化し、ユーザーのアプリケーションアクセス管理を簡素化します。

    機能のハイライト
    • エンドポイント特権管理:要件に基づき、特権アプリケーションへのアクセスを制御します。
    • アプリケーションのアクセス制御:認証済みのユーザーとアプリケーションの詳細な許可リストとブロックリストを確立します。
    • 簡易化されたアクセス管理:アプリケーションのディスカバリーとアクセス割り当てにより、ユーザー権限管理を簡易化します。
    • ジャスト・イン・タイムのアプリケーションのアクセス:緊急な状況において、一時的な特権アプリケーションアクセスを有効化します。
    • セキュリティと効率の強化:アプリケーションアクセス制御により、リスクを軽減し、エンドポイント管理を最適化します。

    既にManageEngine Application Control Plusライセンスをお持ちの場合、高度なアプリケーション管理機能が利用可能になります。Application Control Plusのバージョン11.3.2404.1以上を使用して、PAM360環境で安全かつ効率的なエンドポイント管理を体験できます。

    Application Controlを未使用の場合は、最大25台のWindowsデバイスを無料で管理できるApplication Control Plusを今すぐダウンロード(英語ページ)してください。

    アプリケーション制御の詳細については、ヘルプドキュメントを参照してください。

  • ServiceDesk Plus Cloudとの連携

    PAM360はServiceDesk Plus Cloud(以下、SDP)と連携可能になり、PAM360内の特権リソースへSDP技術担当者がセキュアでシームレスにリモートアクセスすることができるようになりました。

    この連携により、セキュリティを損なうことなく、かつ、トレーサビリティのためにセッションを記録した上で、管理者は認証済みの担当者にリモートアクセスを許可できるようになりました。技術者はSDPポータルから直接、起票したリクエストの対象マシンにセキュアにアクセスできるため、リモートセッションのためにインターフェースを切り替える手間が省けます。

パフォーマンス改善

PAM360では、定期的なパスワード・ローテーションの性能を大幅に強化し、標準的なシステム環境条件下で動作時間を10倍高速化しました。

この改善は、膨大なリソースを持つ組織にとって有益であり、特に迅速なパスワードのローテーションを必要とする緊急時に、重要な効率性を提供します。

本強化の重要性の例:

  • 800のLinuxリソースを持つリソースグループのパスワードのローテーションにかかる時間は、以前の68分から約5分に短縮されます。
  • 10,000のリソース(4,000のWindowsリソースと6,000のLinuxリソースを含む)を持つ複雑なリソースグループのパスワードのローテーションは、以前の14~20時間から大幅に短縮され、約39分で完了するようにります。

この機能強化は、多様なIT環境におけるパスワードのリセット管理における業務効率と生産性の向上への取り組みを強調するものです。

アップグレード
  • PostgreSQLのバージョンを10.18から14.7にアップグレードしました。
機能強化

  • ユーザーは、PAM360アプリケーション内からサポートチームに直接製品の問題を報告し、必要な詳細情報やログを効率的に提供できるようになりました。 詳細については、[Webコンソール右上の人型アイコン]→[サポート]の順に移動し、問題を報告をクリックしてください。
    ※本機能は日本語サポートでは未対応の機能です。

  • PAM360 は、FortiGateファイアウォールから証明書をディスカバリーできるようになりました。さらに、これにより複数のFortiGateファイアウォールアカウントの追加と管理、および証明書の個別デプロイが容易になりました。
  • [証明書]→[証明書]→[複数サーバー]に新しいオプションが追加され、ユーザーは「複数サーバー」ページで文字、日付、電子メールなどのフィールドを追加できるようになりました。
  • SSL証明書の複数のサーバーリストをSSL期限切れ予定の通知メールに含めることができるようになりました。
  • DigiCertがベンダーとしてSSLストアの一覧に追加されました。これまで利用可能だったSSLストアのベンダーには、Thawte、Geo Trust、Rapid SSLが含まれますが、今後はDigicertの一部となります。
  • 証明書の同期ステータス確認の設定([管理]→[SSL証明書]→[証明書の同期ステータス])において、電子メールアドレスを追加できるようになりました。
    追加後、設定された繰り返し時間で、すべてのSSL証明書と証明書がデプロイされたサーバーのリストが、以下の詳細とともに指定の電子メールアドレスに送信されます。
    有効期限までの日数、有効期限、シリアル番号、フィンガープリント
  • 証明書署名要求(CSR)を作成する際、コモンネーム、有効期限、ストアパスワードのみが必須フィールドとなりました。
  • セキュリティ強化のため、鍵アルゴリズムに以下の鍵サイズを追加しました。
    • RSA鍵サイズ3072および4096
    • DSA鍵サイズ2048および3072
  • PAM360は、SSL証明書を暗号化するためのSHA256 SSLフィンガープリントのサポートを開始しました。[管理]→[SSH/SSL設定]>[SSLフィンガープリント]から管理者はSHA値を変更できます。さらに、チェックボックスを有効にすることで、既存のすべての証明書をSHA256フィンガープリントに変更することも可能です。
  • PAM360の鍵ダッシュボードでは、1024ビット以下の鍵計算においてEC証明書の鍵サイズを考慮しないようになりました
  • 新しいREST API機能
    次の新しいAPIを追加しました。
    • AD/Entra IDからユーザーをインポートする:Active DirectoryまたはMicrosoft Entra IDからPAM360にユーザーをインポートします。
    • すべてのSSL/SSH監査の詳細を取得する:PAM360からすべての鍵と証明書の監査を取得します。
    • ファイルからSSLを一括ディスカバリーする:ファイルに保存されているDNS名に基づいてSSLディスカバリーを実行します。
    • SSL脆弱性数を取得する: SSL脆弱性の総数を取得します。
    • SSHキーのパスフレーズを取得する::SSHキーのパスフレーズを取得します。
    • CSRをインポートする:有効な情報を提供して証明書署名要求(CSR)をインポートします。
  • これまで、REST APIではMicrosoft CAを使用してCSRに署名していました。今後は、Microsoft CAまたはルートCAのいずれかを使用してCSRに署名することができます。さらに、APIレスポンスには証明書のシリアル番号が表示され、その他のAPI関連の用途に使用することができます。
  • [管理]→[SSH/SSL設定]→[追加フィールド]→[ドロップダウン]で必要な値を指定することにより、追加のフィールドデータをドロップダウンの選択肢として追加することができるようになりました。
  • [証明書]タブの[証明書の詳細]画面に証明書関連の追加フィールドが表示されるようになりました。
  • CSRを作成するために、KeyStoreファイルをローカルにエクスポートしてインポートし直すのではなく、PAM360のSSLリポジトリからKeyStoreファイルをインポートしてCSRを作成することができるようになりました。
  • パブリック認証局(CA)連携を介して実行されたすべてのSSLディスカバリーは、監査に記録されます。
  • 追加のエクスポート形式として、PKCS 8エクスポート種別を導入しました。
  • PAM360は、既に利用可能なDNSサポート種別に加えて、公開認証局から証明書を取得する際にドメイン制御の検証を完了する「DNS Made Easy」のサポートを開始しました。
  • SSL有効期限レポートのデータは、有効期限に基づいてソートされるようになりました。
  • 証明書ツール(証明書形式コンバーター)に2つの証明書変換フォーマットを追加し、Java KeyStore(.jks)からPrivacy Enhanced Mail(.pem)への変換、およびその逆の変換をサポートするようになりました。
  • パスワードが設定されていないSSH鍵、または、同じパスワードが設定されているSSH鍵を一括でインポートできるようになりました。
  • Microsoft Entra ID連携

    PAM360のMicrosoft Entra IDからユーザーをインポートする機能を強化し、以下の機能が利用可能になりました。

    • 役割と言語の割り当て
    • 二要素認証の設定
    • ユーザーグループの検索

    さらに、役割、言語、二要素認証の情報が[Microsoft Entra ID同期スケジュール]ページに表示されるようになり、管理者は以下のことができるようになりました。

    • ユーザーインポート同期スケジュールの追加
    • [アクション]列の[スケジュールの編集]アイコンからスケジュールの編集
    • [アクション]列の[今すぐインポート]アイコンからユーザーを即座にインポート
    • 一括編集とインポート操作の実行
    • ユーザーインポートスケジュールで設定された各ユーザーグループの役割、言語、二要素認証、同期間隔の変更
    • ドメイン詳細の追加、編集、削除
  • LDAP連携

    PAM360では、LDAP連携のユーザーインポート機能が改善され、管理者は次の機能を利用できるようになりました。

    • 役割および言語の割り当て
    • 二要素認証の設定

    これらの機能強化はLDAPサーバーの構成ページに反映され、次の操作を実行できるようになりました。

    • [アクション]列の[スケジュールの編集]アイコンからグループおよび組織単位(OU)のスケジュール編集
    • 一括編集の実行
    • LDAP(グループ/OU/検索フィルター)からインポートされたユーザーの役割および言語の割り当て、二要素認証の設定

    注意:Microsoft Entra IDとLDAPどちらにおいても、最初のインポート時に適用した設定は、変更しない限りその後のスケジュールでも保持されます。

  • PAM360は、PAM360 Remote ConnectアプリケーションでSSHプロキシのサポートを開始しました。詳細に関しては、PAM360 Remote Connectのリリースノート(英語)をご参照ください。
  • 管理者は、PAM360のユーザーアカウント作成時にさまざまなアクセス権限をカスタマイズできるようになりました。単一のユーザーアカウントに対して、Web アクセス、REST APIアクセス、SDKアクセスなどのさまざまなオプションが選択可能になりました。ビルド7100以降、管理者は組織の要件に応じてユーザー権限を細かく調整できるようになり、ユーザーにPAM360のアクセスを正確に割り当てることができます。特に、既存のREST APIのみのユーザー作成は変更されず、SDKアクセスを提供するという利点が追加されています。

    注意:ビルド7100へのアップグレードは既存のユーザーアカウントの役割と機能には影響しません。ただし、管理者は既存のユーザーアカウントの変更時に、これらの新しいアクセスレベルを活用できるようになりました。

  • これまで、PAM360には、バックエンドデータベースをPostgreSQLからMicrosoft SQLに変更または移行する際にカスタム接続プロパティを指定する設定がありませんでした。ビルド7100以降、カスタム接続プロパティを追加できるようになり、バックエンドデータベースを変更または移行する際にMicrosoft SQLサーバーに接続する際の柔軟性を向上しました。
  • ユーザーの総数とアクティブユーザー数の誤認識を防ぐために、ユーザーダッシュボードの表記をいくつか修正しました。
  • Active Directoryからリソースまたはユーザーをインポートする際、ユーザーは以下の操作を実行できるようになりました

    リソースのインポート時

    • パスワードポリシーの設定
    • グループの検索
    • 選択したグループの表示

    ユーザーのインポート時

    • 役割および言語の割り当て
    • 二要素認証の有効/無効化
    • グループの検索
    • 選択したグループの表示

    最初のインポート時に適用した設定は、変更しない限りその後のスケジュールでも保持されます。

  • 上記の内容に関して、「Active Directory同期スケジュール」ページに同様の設定(役割、言語および二要素認証)が表示されるようになりました。さらにユーザーは本ページから直接以下の操作が実行できるようになりました。
    • [アクション]列の「スケジュールを編集」アイコンからスケジュールを編集
    • [アクション]列の「いますぐインポート」アイコンからスケジュールを即座にインポート
    • 「スケジュールを編集」ウィンドウからスケジュールの所有者を変更
    • Active Directoryから同期スケジュールによってインポートされたリソースにパスワードポリシーの割り当て
    • 選択したグループまたは組織単位(OU)の表示、役割の割り当て、二要素認証の有効/無効化
  • PAM360は秘密鍵によるセキュアファイル転送プロトコル(SFTP)セッションのサポートを開始しました。この認証方法を使用するアカウントは、[ログインに秘密鍵を使用する]オプションを有効にしたうえで、有効なSSH鍵を所有する必要があります。
  • PAM360はランディングサーバーで構成されたリモートリソースのSFTPセッションのサポートを開始しました
  • PAM360では、有効なチケットシステムと連携する場合、ユーザーはSFTPセッションに有効なチケットIDを提示する必要があります。
  • Remote Connectが有効または無効なユーザーの一覧を取得するために、以下のクエリレポートを導入しました。
    • Remote Connectアクセスがあるユーザー
    • Remote Connectアクセスがないユーザー
  • 同期間隔を最大化するために、「同期間隔」の「分」フィールドを削除しました。既存の分単位の同期間隔は変更しない限り、これまで通りの間隔で同期され続けます。
  • [リソース]タブの[パスワード]タブに新しい列である「説明」を追加しました。
  • アカウント属性「メモ」を「説明」に名称変更しました。
仕様変更
  • 大容量のダウンロードに、パフォーマンス上の問題があるため、SFTPのダウンロードサイズを6GBに制限しました。ダウンロード制限のカスタマイズの詳細については、サポートにお問い合わせください。
  • スーパー管理者の役割を持つユーザーは、REST APIにアクセスできなくなります。このアクセスレベルを持つ既存のユーザーが継続してPAM360にアクセスする場合、以下のいずれかの変更が必要です。
    • REST APIに継続してアクセスするために、スーパー管理者の役割を外す。
    • 継続してスーパー管理者の役割を使用するために、Webアクセスを提供する。
  • これまで、期限切れにならなかったAPIユーザーの認証トークンが、365日後に失効するようになり、セキュリティが向上しました。
セキュリティ修正
  • 認証済みのすべてのユーザーがデータべースにアクセスできてしまうSQLインジェクションの脆弱性(CVE-2024-5546)を修正しました。
  • [公開鍵の関連付け]機能を使用して鍵を関連付けた後、鍵名パラメーターによって引き起こされる蓄積型クロスサイトスクリプティング(Stored XSS)を修正しました。
  • SSLエージェントを通じて、攻撃者がWindowsマシン上で任意のコマンドを実行できてしまうリモートコード実行(RCE)の脆弱性を修正しました。
  • ユーザーへの不正アクセスによってMSP組織のユーザーをクライアント組織のユーザーグループに追加できる不具合を修正しました。
  • PAM360のファイルストアまたはキーストアからIdP証明書をインポートする際に発生する蓄積型クロスサイトスクリプティング(Stored XSS)修正しました。
  • 管理者の役割を持つAPIユーザーが以下の不正アクセスを実行できる不具合を修正しました。
    • 承認された管理者に対して発行されたパスワードアクセス要求を拒否する
    • 承認された管理者によって承認されたパスワードアクセス要求をチェックインする
  • 権限の低いユーザーがアクティブなレガシーSSHセッションのコマンド履歴にアクセスできてしまう不具合を修正しました。
  • ビルド6610以降、PAM360のいくつかのURLで確認された反射型クロスサイトスクリプティング(Reflected XSS)の脆弱性(CVE-2024-27313)を修正しました。
  • [ユーザーが作成したスケジュール]でカスタムレポートのスケジュール情報を閲覧する際の蓄積型クロスサイトスクリプティング(Stored XSS)の脆弱性を修正しました。
  • ユーザーへの不正アクセスによりリソース名と所有者名を取得できる不具合を修正しました。
  • ビルド6600以降、細工されたURLリクエストをPAM360 サーバーに送信することで、権限の低いユーザーが特定の権限操作を実行できる脆弱性(CVE-2024-27312)が特定されました。この脆弱性を修正しました。
    注意:PAM360 ビルド6600をダウンロードしたユーザーは、セキュリティ対策を講じ、不正アクセスのリスクを軽減するために、最新の7100ビルドとSHA256チェックサムハッシュ値を使用することを強くお勧めします。
  • Active Directoryからグループや組織単位を取得する際に発生する蓄積型クロスサイトスクリプティング(Stored XSS)の脆弱性を修正しました。
  • 不正アクセスやデータ操作の可能性があるOpenSSHの脆弱性(CVE-2023-48795)に、サードパーティのjarを更新することで対応しました。
    注意:PAM360ユーザーは、セキュリティを強化するために、環境にインストールされているOpenSSH サーバー、OpenSSHクライアント、PuTTYまたはその他の同様のSSHツールを最新バージョンにアップグレードすることを強くお勧めします。
不具合修正
  • SSHおよびSSLディスカバリー(スケジュールディスカバリーを含む)の結果に、「IPアドレスを除外」フィールドに指定されたIPアドレスが含まれていました。この不具合を修正しました。
  • 通知ポリシーでは、管理者がPGPキーの有効期限について事前に設定したメール通知が、PGPキーが存在しない場合でも、設定された間隔で件名や詳細情報なしで送信されていました。この不具合を修正しました。
  • IPアドレスがDNSで名前解決しない場合、IPアドレスフィールドとDNSフィールドに同様のエントリがあり、複数のサーバーページに重複したエントリが作成されていました。この不具合を修正しました。
  • 以前は、最新バージョンに加えて、IISバインディングには.Net Frameworkバージョン3.5が必要でした。本修正により、.Net Framework バージョン4以上で、IISでWebサイトに証明書をバインドできるようになりました。
  • スケジュールを追加または更新する際に、サーバーの日付ではなくクライアントマシンの日付に依存していました。この不具合を修正しました。
  • 通知ポリシーで、証明書の有効期限について事前に設定された電子メール通知が、設定された間隔で件名や詳細情報なしで送信されていました。この不具合を修正しました。
  • 「証明書がアルゴリズム制約に準拠していません」という例外メッセージ表示され、SSLディスカバリーに失敗する不具合を修正しました。
  • [管理者]→[連携]→[チケットシステム]下に表示されるServiceNowヘルプデスクから一部の列を取得する際の不具合を修正しました。
  • 管理者が組織内の証明書を再ディスカバリーしようとすると、空のエラーメッセージが表示されて失敗していました。この不具合を修正しました。
  • MSCAで失効した証明書を更新した後も、証明書に失効ステータスが表示されていました。この不具合を修正しました。
  • スケジュールを設定する際にポート番号を指定すると、ロードバランサーディスカバリースケジュールが失敗していました。この不具合を修正しました。
  • 証明書を使用してCSRに署名する場合、署名者証明書の署名アルゴリズムではなく、デフォルトの署名アルゴリズムにSHA256が使用されていました。この不具合を修正しました。
  • サブジェクト代替名にプリンシバル名が含まれる場合、証明書処理中に解析エラーが発生していました。この不具合を修正しました。
  • 複数の組織および組織単位で証明書を作成する際の不具合を修正しました。
  • SHA256 SSLフィンガープリントが有効になっていると、IISバインディングが失敗していました。この不具合を修正しました。
  • [管理]→[SSL証明書]→[IISバインディング]でIISバインディングを保存すると、他の行が誤った値で更新されていました。この不具合を修正しました。
  • 自動更新される自己署名証明書が、新しいディスカバリーリストに保存されていました。この不具合を修正しました。
  • CSR要求ページのSANフィールドにIPアドレスが含まれている場合、SSLパーサーまたはSSL証明書の詳細ページに表示されませんでした。この不具合を修正しました。
  • これまで、証明書の更新後、Microsoft Storeへの自動デプロイが失敗する場合がありました。この不具合を修正しました。
  • これまで、ドメイン認証を使用したランディングサーバー経由のターゲットリソースへのSSHセッションが意図したとおりに機能していませんでした。この不具合を修正しました。
  • ビルド6710以降、ゲートウェイサーバーの設定の不一致によって、ユーザーはターゲットリソースへのRDP、SSH、およびVNC接続を開始できませんでした。この不具合を修正しました。
  • これまで、自動承認アクセス制御が設定されたリソースについては、パスワードアクセス時間前のリマインダーメールがユーザーに送信されませんでした。この不具合を修正しました。
  • ビルド6600以降、バックエンドデータベースとしてMicrosoft SQLを使用する場合、ブラウザー拡張機能またはモバイルアプリケーションを介してPAM360アプリケーションにアクセスするユーザーは、個人用タブに保存されているWebアカウントを閲覧できませんでした。この不具合を修正しました。
  • ビルド6451以降、定期的なパスワードリセット用にリソースグループが設定され、リセットが正常に実行された場合でも、定期的なパスワードリセット設定画面の「選択したリソースを表示する」でリソースグループ内のリソースが無効になっているように表示されてしまう場合がありました。この不具合を修正しました。
  • これまで、アクセス制御が設定されたリソースのRDPおよびSSHセッションで、クライアント組織で構成されたアクセス時間の制限を超えて接続が可能となっていました。この不具合を修正しました。
  • ユーザーにアクセス制御の承認権限がユーザーに直接ではなく、ユーザーグループを介して付与されている場合、ユーザーがPAM360モバイルアプリケーション経由でアクセス制御要求を承認しようとすると、不正アクセスのエラーメッセージが表示されて失敗していました。この不具合を修正しました。
  • リソースグループのチケット設定が、特定の条件下では保存できませんでした。この不具合を修正しました。
  • ビルド6400以降、ユーザーはインスタンス名を使用してMS SQL Server(リソース種別)のSQLリモートセッションを実行できませんでした。この不具合を修正しました。
  • ビルド6400以降、ユーザーはカスタムインスタンス名とポートを使用してMicrosoft SQLサーバーに移行できませんでした。この不具合を修正しました。
  • 新しいパスワードに[(角カッコ)が含まれている場合、APIを使用してパスワードを変更できない不具合を修正しました。この文字は、強力なパスワードポリシーの特殊文字として認識されていませんでした。
  • 「ユーザーのロック/ロック解除」のカスタムロール権限を持つユーザーが意図した操作を実行できない不具合を修正しました。
  • SSL接続モードと非SSL接続モードの両方で、MySQLリソースのアカウントで発生していたリモート接続障害の不具合を修正しました。
  • ビルド6530以降、メモリ管理プロセスの変更により、Active Directoryインスタンスからの組織単位の取得に失敗していました。この不具合を修正しました。
  • [監査]タブにおいて、[操作の種類]で検索フィールドを使用すると、PAM360がインストールされているリソースの基本言語に基づいて結果が表示されていました。ビルド7100以降、検索結果には、個人設定で設定されたユーザーの言語で項目が表示されます。
  • ドメイン関連のエラーメッセージが表示され、ドメインネットワーク外にあるLinuxマシンへのエージェントのインストールが失敗す、る場合がありました。この不具合を修正しました。
  • PAM360のMSPバージョンでは、以前までメールサーバー設定を介してアクセス URLを更新しても、クライアント組織のログインURLの変更が反映されませんでした。この不具合を修正し、クライアント組織のログインURLが設定に応じて更新されるようになりました。
  • パスワード管理者は、クライアント組織内のユーザーグループを介してリソースを共有しようとしたときに、ユーザーグループ一覧にアクセスできませんでした。この不具合は、MSP組織から複製されたユーザーグループで発生していました。この不具合を修正しました。
  • これまで、管理者が特殊文字を含むアカウントのパスワードを取得する理由を要求したときに、パスワード履歴セクションからコピーされた古いパスワードとの間に不一致がありました。この不具合を修正しました。
  • これまで、リソースグループの定期的なパスワードエクスポートのパスフレーズに<(山カッコ)が含まれていると、無効なエラーメッセージが表示され、設定に失敗していました。この不具合を修正しました。
  • 「Active Directory同期スケジュール」の「ドメイン情報」ウィンドウにおいて、セカンダリドメインコントローラー情報の更新に関連する不具合を修正しました。
  • パスワードリセットリスナーは、パスワードリセットアクション中に意図した機能を実行できませんでした。この不具合を修正しました。
  • ユーザーが作成したスケジュールが、外部のPostgreSQLサーバーをバックエンドデータベースとしたアプリケーションスケーリングモデルでの操作を実行できませんでした。この不具合を修正しました。
  • Microsoft SQLサーバーとPAM360サーバーが別のネットワークに存在する場合、ドメインアカウントを使用したMicrosoft SQLサーバーへのリモートセッションが失敗していました。この不具合を修正しました。
  • ユーザーがVMware ESXiのアカウントをディスカバリーしようとした際、アカウントのディスカバリーに失敗する不具合がありました。この不具合を修正しました。
  • ビルド6000以降、ユーザーは録画されたセッションの一時停止、再生、またはシークバーによる巻き戻しを行うことができませんでした。この不具合を修正しました。