クラウドもオンプレも!ハイブリッド時代の特権ID管理とは?
数年前までの日本では、「クラウドサービス」というとセキュリティ面でネガティブな印象を多分に持たれていました。
「大切なデータを社外に置くなんて…」
「誰にアクセスされるか分かったものじゃない…」しかし、IT技術が飛躍的な進歩を遂げている今、日本企業のクラウドへのシフトも徐々に加速しています。
単独の企業が自社のネットワーク向けにセキュリティレベルを向上させる場合、例え大企業であっても技術面・資金面の双方ですぐに限界が訪れる事は、容易に想像がつくからです。
一方、クラウドサービスの場合は専門的なノウハウを持つメーカーが、ビジネスとしてリソース・資金を集中投入したシステムを複数企業でシェアするため、セキュリティレベルも個々の企業にとってのコストパフォーマンスも、圧倒的に良くなります。
もちろん、企業のクラウド移行が進む中、新たなセキュリティ課題が生まれているのも事実です。
CRMやSFAといったビジネスアプリケーションであるSaaSを利用するような場合は、OS管理やセキュリティ管理ということから開放されますが、自社で作ったシステムをPaaS上で動作させる場合、例えば、AWSやAzureといったクラウドサービスを利用する場合、自社でOSを管理するため、そのOSの最高権限である「特権ID管理」をどうするのか…といった課題が浮かび上がってきます。
特権IDが悪用されると、機密情報の流出や組織システムの破壊にもつながり、膨大な被害が予想されます。クラウド環境においては、データが社外ネットワークにさらされる分、攻撃者から侵入経路として狙われやすい「ID」の防衛を強化することは、企業にとっての急務となりました。
ManageEngineが提供するPassword Manager Proでは、このようなニーズに応えるため、AWSやAzureとの連携を強化し、クラウドサービスの特権IDをセキュアに管理するためのソリューション提案に努めています。
下図は、Password Manager Proでクラウドサービスの特権ID管理をする際の活用イメージです。
まず、以下のような方法により、特権IDを活用してクラウドサービスへログインする際の端末を固定します。
- クラウドサービス側で特権ID利用時の接続元グローバルIPアドレスを固定
- 特定の端末にのみ、特権IDのクライアント証明書を適用
上記端末へログインする際、Password Manager Proを経由することで、以下のようなセキュリティ強化を実現できます。
- 端末を利用する際の「申請/承認」フローをシステムによって徹底
- いつ、誰が、何の用途で特権IDを利用したかの履歴を記録
- ユーザーが特権IDを使って操作している時の操作画面の録画
なお、Password Manager Proでは、特権IDを利用するユーザーにはパスワードを見せず、システム側で自動ログインさせるという設定を行えます。つまり、ユーザーがパスワードを記憶して、後日密かに端末へ直接アクセスするといった不正をできなくします。
Password Manager Proは、もともとオンプレミスでの利用を想定して提供しているシステムでしたが、上記のようなソリューションを活用することで、クラウド/オンプレ両方をハイブリッドで活用する企業にとっても有用です。
ご相談等ございましたら、お気軽にお問い合わせください。
【関連資料】