SSHキーを効率的かつセキュアに管理する方法

特権アクセス管理

SSH(Secure Shell)キーは、社内ネットワークのさまざまな重要な資産に対して、幅広くアクセスを提供する一般的な認証方法です。特権アカウントの悪用を防止するためには、パスワードと同様に、SSHキーも万全なセキュリティ対策で管理する必要があります。しかし、手動によるSSHキーの管理作業は、非常に複雑で手間と時間を要します。そのため、多くの企業では、情報システム担当者がSSHサーバーへのアクセス要求に応じてその都度SSHキーを作成・付与しており、使用状況を集中的に追跡する体制が整っていないのが実情です。このような運用方法では、管理されていないSSHキーの数が急増し、手に負えなくなる可能性があります。そして、(ユーザーや用途が不明で、管理が行き届いていない)孤立したSSHキーが増え続ければ、不正アクセスに利用されかねません。

SSHキーを一元管理し、全体像を把握するためには、 特権アクセス管理(PAM)ソリューションを実装し、総合的なSSHキー管理に取り組む必要があります。特権アクセス管理ソリューションを導入することによって、特権アクセスが必要なIT資産に関連付けられているSSHキーを対象に、ライフサイクル管理の自動化を実現できます。

ManageEngine PAM360は、一元化された統合インターフェイスで、SSHキーの包括的なライフサイクル管理を実現します。PAM360を使用すれば、ミッションクリティカルなIT資産に割り当てられているSSHキーのライフサイクル全体を管理・監視・自動化できます。SSHサーバーの検出、ユーザーアカウントの取得・リスト化、SSHキーインベントリの作成、キーのオンデマンド生成・配布、定期的なキーのローテーション、リモートSSHセッションの開始など、さまざまな管理作業が統合的に実行可能です。

異種環境・異種エンドポイントのSSHキーを自動検出

PAM360のSSHキー検出機能を使用すると、ITインフラのさまざまなサーバーにデプロイされているSSHキーを、ネットワーク経由で検出できます。さらに、SSHサーバーの一括検出も可能で、オンデマンドで実行するか、タスクを予約して定期的に自動実行できます。SSHサーバーの検出後、各リソース内のユーザーアカウントがリスト化されます。そして、それぞれのユーザー認証情報を提供することによって、各アカウントに紐付けられているSSHキーをインポートできます。PAM360は、パスワードのインベントリだけでなく、SSHキーの一元管理に特化したインベントリを用意しています。SSHキーが検出・インポートされると、自動的にキー用のインベントリに追加されます。

新しいSSHキーペアの生成・配布を一元管理

PAM360では、新しいSSHキーペアを一元的に作成し、ネットワーク上のSSHサーバーに公開鍵を配布できます。新しいキーの発行により、既存の「どのユーザーがどのキーにアクセスできるか」というマッピングが、より信頼できるものに刷新されます。このため、効率的なアクセス制御が実現され、SSHキーの使用状況をより適切に把握できます。また、SSHキーの生成・配布は、複数のユーザーアカウントに対して一括で実施可能です。さらに、PAM360では、セキュリティ強化の対策として、キーの発行時に強力なパスフレーズを生成できます。

SSHリモートセッションをワンクリックで簡単に開始

ユーザーデバイスとシステム間の直接接続がなくても、PAM360を介してトンネルリングされた即時SSHセッションを使用することで、ユーザーはリモートホストに接続できます。このゲートウェイ方式のアクセスにより、厳重なセキュリティを実現できます。さらに、直接接続の際に発生する煩わしいユーザー操作(セッション開始時に毎回、秘密鍵とパスフレーズを手動で入力する操作)が不要になり、セッション接続が効率化されます。

定期的なキーローテーションによって特権アクセス悪用を防止

多くの企業では、必要時にSSHキーペアを作成し、1つの秘密鍵で複数のシステムの認証を行うという運用方法を採用しています。つまり、1つのキーペアが不正に入手された場合、そのキーが紐付けられているすべてのアカウントから、機密性の高い情報が漏洩するリスクがあります。

PAM360を活用することで、ネットワーク上の各サーバーに配布されたキーペアの定期ローテーションを自動化できます。このベストプラクティスにより、業界基準や規制への準拠とデータセキュリティの強化を同時に実現できます。また、PAM360が提供する監査証跡、レポート、ダッシュボードを使って、各キーの詳細な履歴情報(キーの作成日付、作成者、オーナー、ローテーション履歴など)を網羅的に把握できます。

ネットワークにおけるSSHの信頼関係を適切に把握

PAM360は、SSHキーの検出・登録に加えて、ネットワーク内の「どのキーがどのユーザーに関連付けられているか」の全体像を明らかにすることによって、SSHキー管理を支援します。PAM360に格納されているすべてのキーは、リモートサーバーの各ユーザーアカウントに関連付けられます。そのため、管理者はSSHキーとユーザーアカウントの信頼関係を追跡し、データ侵害のリスクを伴う不要なキーや孤立したキーをネットワークから簡単に削除できます。

SSHキーの管理ポリシーを定義

PAM360では、SSHキーの管理ポリシーを定義できます。ポリシーを適用することで、リモートホストのauthorized_keysファイルから公開鍵の情報を削除し、ネットワークから既存のキーマッピングをすべて消去できます。その後、ポリシーに基づいてPAM360で新しいキーペアが作成され、対象のサーバーに配布されます。このように、PAM360はポリシーを実装することで、SSHキーの管理運用体制を効率的に刷新します。情報システム担当者は既存の脆弱性をすべて解消し、一元管理された環境で白紙状態から運用を開始できます。

PAM360でSSHキーを効率的かつセキュアに管理!