アクセス制御ワークフローの実装および管理

効果的なパスワード管理は、組織内の特権アクセスのセキュリティと整合性確保のために不可欠です。アクセス制御ワークフローは、管理者が承認することを前提としたパスワードアクセスを強制でき、承認されたユーザーのみが特権パスワードを取得し利用できることを保証します。このアプローチは、永続的なアクセスを排除し必要な場合のみアクセス権を与えるゼロスタンディング特権モデルをサポートします。管理者は、特定の承認管理者の指定とアクセス期間を設定しアクセス制御ワークフローを構成することにより、自動承認ルールを実装できます。さらに、チケットシステムと連携することで、アクティブなチケットに対してチケットIDを検証することにより、パスワードアクセス要求の自動承認が可能となります。このメカニズムは、セキュリティを強化し詳細な監査を通じて責任を明確にします。

本ページでは、アクセス制御を通じて特権アクセスを管理するための詳細な手順を解説し、アクセス制御ワークフローの構成から必要に応じて無効化するまでのライフサイクル全体をカバーします。グローバルアクセス制御設定の定義、承認管理者の指定、排他的アクセス、延長時間、自動承認ルールなどの条件の強制方法について説明します。効率的な申請・承認フローを通じて、管理者はパスワードアクセスリクエストを効率的に確認、承認、拒否、または修正でき、不正アクセスのリスクを最小限に抑えることができます。

本ページに記載された手順に従い、管理者は自分の環境内で特権リソースに対するアクセス制御ワークフローを効果的に実装および管理でき、全体的なセキュリティを強化しつつアクセス管理プロセスを簡素化します。

本ページでは、以下のトピックを詳細に解説します。

  1. アクセス制御ワークフローを構成
  2. アクセス制御の詳細を確認
  3. パスワードアクセス要求
  4. アクセス制御の無効化

1.アクセス制御ワークフローを構成

Password Manager Proでは、環境内の特権リソースに対してアクセス制御をリソースレベルとアカウントレベルの両方で構成することができます。これらのレベルでアクセス制御を構成する前に、アクセス制御ワークフローの一般設定を設定する必要があります。一般設定では、必要な承認管理者の数、パスワードアクセス期間、延長時間など、パスワードアクセスリクエストの重要な要素を定義しており、組織の要件に応じて変更できます。一般設定が構成されると、環境内の個々のリソースやアカウントに対してアクセス制御ワークフローを構成できます。

このセクションでは、アクセス制御ワークフローの一般設定を設定し、特権リソースに対するアクセス制御をアカウントレベルとリソースレベルの両方で設定するための詳細な手順を説明します。

  • アクセス制御ワークフローの一般設定を構成
  • リソースレベルでのアクセス制御の実装
  • アカウントレベルでのアクセス制御の実装

    • 1.1 アクセス制御ワークフローの一般設定を構成

    アクセス制御ワークフローの一般設定を設定する手順は以下の通りです。

    1. [管理]タブ→[設定]→[一般設定]に移動します。
    2. 「一般設定」ページで[アクセス制御]タブに移動します。
      3. imgborder
  • 「アクセス制御」タブで、以下の設定を確認します。
    1. デフォルトのパスワード要求方法を選択。 - ユーザーがパスワードアクセス要求時に、使用するデフォルトオプションを選択します。
    2. 申請されたアクセス開始時刻より後に要求が承認された場合、要求された時間を補うためにパスワードアクセス時間を延長。 - 管理者がアクセス予定時刻より後に申請を承認した場合、ユーザーがもともとのアクセス期間分使用できるようにします。

      3. 注:本設定が有効になっていても、同じパスワードにおいて次の時間帯が別のユーザーによって既に予約されている場合、アクセス期間は延長できません。この場合、ユーザーはパスワードリクエストが承認された後、残りの期間のみパスワードにアクセスできます。

    3. パスワードアクセスのために設定された延長時間の使用をユーザーに許可。 - アクセス制御ワークフローで設定された猶予期間中に、ユーザーがパスワードへの排他的なアクセスを維持できるようにするために、このチェックボックスを有効にします。
    4. 各パスワードへのアクセス要求が可能な最長時間を制限。最長:「X」時間 - ドロップダウンから希望の数を選択して、各パスワードアクセスリクエストの最大アクセス期間を設定します。
    5. ユーザーに最長「X」日前から、アクセス要求を申請することを許可。 - ドロップダウンから数を選択して、ユーザーが、前もってパスワードアクセス要求を申請できる日数を設定します。
    6. パスワード要求の承認のため、最大「X」人の管理者を指定。 - ドロップダウンから希望の数を選択して、パスワードアクセスリクエストを承認するために必要な最大承認管理者数を設定します。

    上記の一般設定は、リソースおよびアカウントレベルの両方で構成されたすべてのアクセス制御ワークフローに適用されます。

    1.2 リソースレベルでのアクセス制御の実装

    Password Manager Proでは、リソースおよびアカウントレベルの両方でアクセス制御ワークフローを構成できます。構成の手順は、両方のケースでほぼ同様です。リソースレベルでアクセス制御を構成する手順は以下の通りです。

    1. [リソース]タブへ移動し、任意のリソースの[リソースアクション]アイコンをクリックし、[アクセス制御を設定]を選択します。
      2. imgborder
    2. 複数のリソースに対して一括でアクセス制御を構成するには、アクセス制御ワークフローを構成したいリソースの横にあるチェックボックスをオンにします。次に、上部のパネルにあるリソースアクションボタンをクリックし、[設定]→[アクセス制御]を選択します。
      3. imgborder
    3. 開いた[アクセス制御を設定]ウィンドウには4つのタブが表示されます。必要に応じて設定をカスタマイズします。
      1. 承認管理者
      2. 除外ユーザー
      3. その他の設定
      4. 自動承認
      imgborder

      1.2.1 承認管理者

      承認管理者を指定することは、アクセス制御ワークフローを構成する上で重要なステップです。ユーザーがパスワードへのアクセスを要求すると、その要求はこのセクションで承認管理者として指定された管理者に転送されます。「選択可能な管理者」の一覧には、環境内のすべての管理者(パスワードおよび特権管理者を含めた)が表示されます。このリストから承認者として指定する管理者を選択し、「」をクリックします。「承認者」の一覧に表示されるユーザーは誰でも、選択されたリソース内の任意のアカウントに対するパスワードアクセス要求を承認または拒否できます。

      imgborder

      1.2.2 除外ユーザー

      リソースのアクセス制御ワークフローを構成する際に、特定のユーザーをワークフローから除外することができます。除外ユーザーとして指定されたユーザーは、アクセス制御ワークフローに従うことなく、直接共有されたパスワードにアクセスできます。ユーザーをアクセス制御ワークフローから除外するには、除外したいユーザーを選択し、「」をクリックします。また、ユーザーグループの一部のユーザーもアクセス制御ワークフローから除外することができます。ユーザーグループを除外するには、グループタブに切り替え、除外したいユーザーグループを選択し、「」ボタンをクリックします。

      imgborder

      1.2.3 その他の設定

      このセクションでは、ユーザーが要求されたパスワードにアクセスするために基づくさまざまなアクセス条件や、脆弱性や内部脅威を最小限に抑えるためのセキュリティ条件を設定できます。

      imgborder
      1. パスワードアクセスを承認する管理者は2人以上必要「X」人 - このオプションを有効にすると、各パスワードアクセスリクエストに対して特定の数の管理者の承認を強制できます。ドロップダウンメニューを使用して、1から10の間の数を選択します。必要な最大承認者数は、[一般設定][アクセス制御]で変更することができ、詳細は、セクション1.1で説明されています。10人以上の管理者による承認を強制する場合は、承認管理者セクションで少なくとも10人の管理者を承認済み管理者として指定する必要があります。
      2. パスワード取得のために、ユーザーに理由の入力を強制 - このオプションを有効にすることで、ユーザーがアスタリスクをクリックして平文のパスワードを取得する際に、理由を指定することを義務付けることができます。このオプションを有効にすることで、責任を明確にし、パスワードのアクセスおよびその目的の監査証跡を維持することができます。
      3. 保留中のパスワードアクセス要求を処理するために、アクセス開始時刻の「X」分前に承認管理者にリマインドメールを送信 - このオプションを有効にすると、承認を待っているパスワードアクセス要求について、管理者にリマインダーのメールを送信します。管理者にリマインダーを送信するまでの期間(分単位)を指定してください。この期間内に、保留中のパスワードアクセス要求を確認するよう管理者に通知します。このフィールドに30を入力すると、パスワードアクセスリクエストで指定された開始時刻の30分前にPassword Manager Proがリマインダーメールを送信します。デフォルトでは、この値は15に設定されています。
      4. 既定のアクセス時間終了後、「X」分間の延長期間を付与 - このオプションを有効にすると、ユーザーがアクセス期間終了後にパスワードにアクセスするための延長時間を提供します。終了時刻の後、ユーザーがパスワードへの排他的なアクセスを維持できる期間(分単位)を指定してください。延長時間は最大60分まで設定できます。このフィールドに15を入力し、リクエストされたアクセス期間が午後5時から6時の場合、ユーザーは午後6時15分までパスワードを使用できることになります。
      5. パスワードの排他利用が可能な時間:「X」分 - ユーザーが「パスワード要求」ウィンドウで「今」オプションを選択して即時アクセスをリクエストする際に、パスワードに対して排他的アクセスを維持できる期間(分単位)を指定してください。この数値は、「一般設定」ページの[アクセス制御]で設定されている「各パスワードへのアクセス要求が可能な最長時間を制限。最長:「X」時間」で設定可能です。詳細は、セクション1.1を参照してください。このフィールドに30を入力した場合、ユーザーは「今すぐ」オプションを使用してリクエストしたパスワードに対して30分間の排他的アクセスを維持します。デフォルトでは、この値は60に設定されています。
      6. 排他的利用後のチェックイン時にパスワードまたは鍵を変更 - このオプションを有効にすると、排他的に使用された後に金庫に戻されたパスワードやSSHキーを自動的にリセットします。

      注:

      1. 延長時間が設定されている場合、Password Manager Proは設定された延長時間が終了した後にのみ、パスワードを強制的にボルトにチェックインします。
      2. 延長時間は、「一般設定」ページの[アクセス制御]セクションにある「パスワードアクセスのために設定された延長時間の使用をユーザーに許可」オプションが有効になっている場合にのみ設定できます。
      3. 延長時間は、設定されていても以下の場合には適用されません。
        • ユーザーがパスワードアクセス要求で指定された終了時刻前にパスワードをボルトにチェックインした場合。
        • ユーザーがパスワードアクセス要求で指定された終了時刻までにパスワードをチェックアウトしなかった場合。
      4. 各使用後にパスワードをリセットできるように、必要な資格情報を使用してリモートパスワードリセットを構成したことを確認してください。Password Manager Proサーバーと同じネットワーク上にあるリソースおよびPassword Manager Pro agentsによって管理されるリソースのリモートパスワードリセットを構成するための詳細手順については、各リンクを参照してください。

      1.2.4 自動承認

      Password Manager Proでは、ユーザーによって行われたパスワードアクセス要求に対する自動承認設定を、以下の基準に基づいて構成することができます:

      1. パスワードアクセス要求が行われた時間
      2. チケットIDを検証

      自動承認オプションは、承認管理者がパスワードアクセス要求を承認できない場合や、要求の数が多い場合に役立ちます。パスワードアクセス制御ワークフローを構成する管理者は、自分の要件に基づいて基準を指定できます。開始時刻が自動承認の基準に一致するすべての要求は、システムによって自動的に承認され、認可された管理者として構成されたユーザーにメールで通知されます。例えば、自動承認の時刻を「毎日午前9時から午後6時まで」に設定することができます。自動承認セクションには以下のオプションが表示されます。

      • パスワードアクセス要求を自動承認 - このチェックボックスを有効にすると、システムが特定の基準に基づいてパスワードアクセス要求を自動的に承認できるようになります。自動承認のために以下のいずれかの基準を選択してください。このチェックボックスが有効でない場合、ユーザーによって行われたパスワードアクセス要求は自動的に承認されません。
        1. 終日 - このオプションを選択すると、ユーザーによって行われたパスワードアクセス要求を終日自動的に承認します。
        2. 条件 - 提供されたオプションを使用して、パスワードアクセス要求が自動的に承認される時間枠を選択してください。1日あたり最大3つの承認時間枠を設定できます。
        3. チケットIDを検証して要求を承認 - サービスリクエストのチケットIDを検証してリクエストを承認 - チケット管理システムと連携している場合、このオプションを選択して、サービスリクエストのチケットIDに基づいてパスワードアクセス要求を承認できます。Password Manager Proは、パスワードアクセスを許可する前に、ユーザーが指定したチケットIDを検証します。
      imgborder

      最後に、承認管理者、除外ユーザー、アクセスポリシー、承認設定などの必要な詳細を確認した後、[保存&アクティブ化]ボタンをクリックして、選択したリソースのアクセス制御ワークフローを正常に構成します。

      注:管理者は、リソース内の特定のアカウントに対してアクセス制御ワークフローを構成することもでき、リソース内の他のアカウントに適用されているリソースレベルのアクセス制御設定には影響しません。

      1.3 アカウントレベルでアクセス制御を構成

      アカウントレベルでのアクセス制御を構成するには、以下の手順に従ってください。

      1. アカウントにてアクセス制御を構成 - [リソース]タブから[パスワード]ウィンドウに移動し、任意アカウントの列にある「アカウントアクション」アイコンをクリックし、表示されたオプションから[アクセス制御を設定]を選択します。
        2. imgborder
      2. 異なるリソースの複数のアカウントに、アクセス制御を構成 - パスワードウィンドウで目的のアカウントの列にあるチェックボックスを選択し、上部のメニューにある[アカウントアクション]ボタンをクリックして、[構成]→[アクセス制御]を選択します。
      3. リソース内のアカウントにアクセス制御を構成 - [リソース]タブに移動し、目的のアカウントが含まれるリソースをクリックします。「アカウントの情報」ウィンドウで目的のアカウントの横にある[アカウントアクション]アイコンをクリックし、表示されたオプションから [アクセス制御の構成]を選択します。
      4. 単一のリソース内の複数のアカウントに一括で、アクセス制御を構成 - [アカウント情報]ウィンドウで、アカウントの左側のチェックボックスにチェックを入れ、上部のメニューから[その他の操作]ボタンをクリックし、[アクセス制御の構成]を選択します。
      5. [アクセス制御の構成]ウィンドウでは、必要に応じてパスワードアクセスポリシーに関連するさまざまなオプションをカスタマイズできる以下の設定が表示されます。
        1. 承認管理者
        2. 除外グループ
        3. その他の設定
        4. 自動承認

      目的のアカウントのアクセス制御を構成するには、1.2に詳細に説明されている手順に従ってください。

      2. アクセス制御の詳細を確認

      アカウントまたはリソースのアクセス制御ワークフローが構成された後、すべての適用された設定を一つの場所から確認できます。「アクセス制御の情報」ウィンドウから迅速かつ簡単に参照でき、管理者は複数のセクションを移動することなく、構成されたアクセス制御ポリシーをレビューおよび確認できます。このウィンドウは、関連する条件、承認ワークフロー、除外されたユーザー、承認管理者、およびリソースの詳細とワークフローが構成されているレベルを含む、構成されたアクセス制御の概要を包括的に提供します。この要約を確認し、管理者は選択したリソースのアクセス権を効率的に管理できます。

      構成されたアクセス制御ワークフローの詳細を表示するために、「アクセス制御の詳細」ウィンドウにアクセスする手順は以下の通りです:

      1. 「リソース」タブに移動し、「パスワード」ウィンドウへ変更します。アクセス制御を確認したい任意のアカウント列にある「アカウントアクション」をクリックします。ドロップダウンメニューから表示されたオプションの中から [アクセス制御の詳細]を選択します。
      2. または、[リソース]ウィンドウに切り替えて、構成されたアクセス制御の詳細を確認したいリソースをクリックします。「アカウントの詳細」ウィンドウで、目的のアカウントの横にあるアカウントアクションアイコンをクリックし、表示されたオプションから[アクセス制御の詳細]を選択します。

      管理者は、[アクセス制御の詳細]ウィンドウから次の詳細事項を確認できます。

      1. アカウント名、リソースの所有者、アクセス制御ワークフローが構成されているレベル。
      2. 承認管理者として指定されたユーザーの一覧
      3. 除外ユーザーの一覧
      4. 自動承認として設定された条件
      5. その他の設定
      imgborder

      注:

      1. 「アクセス制御の詳細」ウィンドウは、[アカウントアクション]からのみアクセス可能です。

      3. パスワードアクセス要求

      Password Manager Proにおける「パスワードアクセス要求」ウィンドウでは、一つのウィンドウから管理者がすべてのパスワードアクセス要求を表示、管理、および監査できます。このウィンドウでは、進行中および過去の要求をより確認しやすくし、管理者が安全なアクセス管理を強化し、コンプライアンスの遵守をすることに役立ちます。すべてのパスワードアクセス要求を1つのインターフェースに統合することで、「パスワードアクセス要求」ウィンドウでは、管理者が効率的に要求内容を監視、承認、却下、または修正するのを助けます。この構造化されたアプローチは、不正アクセスを防ぎ、セキュリティリスクを軽減し、アクセス管理のワークフローを簡素化します。以下の手順に従って、「パスワードアクセス要求」ウィンドウにアクセスしてください。

      1. [管理]タブ→[アクセスレビュー]→[パスワードアクセス要求]に移動します。
      2. 「パスワードアクセス要求」ウィンドウは、2つのタブに分かれています。
        • 「実行中」 - 承認を待っているすべてのパスワードアクセス要求を表示し、アクセス要求が行われたリソースやアカウント名、要求を行ったユーザー、要求の理由、および要求された時刻などの関連情報が含まれています。このウィンドウを通じて、管理者は承認が必要な保留中の要求を確認し、アクセス承認や却下をシームレスに管理することができます。
        • 「履歴」 - 監査およびコンプライアンス遵守のために、関連する詳細を伴うすべての過去のアクセス要求をリストアップします。ここには、進行中タブに表示されるすべての関連情報と要求の状況も含まれています。
      imgborder

      3.1 パスワードアクセス要求の管理

      ユーザーがパスワードアクセス要求を実行すると、承認管理者として指定された管理者が、「パスワードアクセス要求」ウィンドウからこれらの要求を管理できます。以下では、保留中のパスワードアクセス要求を確認し、それらを管理、また必要に応じて、アクセス時間を変更し、承認後に強制的にパスワードをチェックインする方法について説明します。

      1. 「パスワードアクセス要求」ウィンドウにアクセスし、「実行中」タブに切り替え、現在承認を待っているすべてのパスワードアクセス要求の一覧を表示できます。関連する詳細情報として、リソース名、アカウント名、容共したユーザー、アクセス要求の理由、要求した時刻が含まれます。
        2. imgborder
      2. 任意の要求の列にある[要求]ボタンをクリックします。
      3. [パスワードアクセス要求の概要]のポップアップウィンドウが開き、パスワードアクセス要求に関する情報が表示されます。
        4. imgborder
      4. 要求内容を確認し、コメント入力フィールドに任意のコメントを追加し、次のいずれかのアクションを実行します。
        1. [承認]ボタンをクリックし、ユーザーの要求をそのまま承認します、
        2. [拒否]ボタンをクリックし、アクセス要求を却下します。
        3. [修正]ボタンをクリックし、アクセス期間を更新
      5. パスワードアクセス要求を承認すると、アクション欄はユーザーが使用するまで、「未使用」と表示されます。ユーザーがパスワードをチェックアウトすると、「使用中」に変更されます。
        6. imgborder
      6. [チェックイン]ボタンをクリックして、ユーザーのパスワードアクセス要求を取り消すことが可能です。パスワードが[未使用]または[使用中]の状態である場合、強制的にパスワードをチェックインできます。パスワードがチェックインされると、申請・承認ワークフローが完了されたことになり、「履歴」タブに表示されます。
      7. パスワードアクセス要求を拒否した場合、すぐに[履歴]タブに表示され、状態欄に「拒否しました」ト記載されます。

      要求を効果的に管理することで、環境内の特権アカウントへの安全で制御されたアクセスを確保します。

      注:ユーザーがパスワードアクセス要求を申請した場合、承認された管理者はリクエストされたアクセス期間が終了する前に、それを承認する必要があります。要求は、指定した終了時刻を過ぎると自動的に無効になります。

      3.2 過去の要求を確認

      [パスワードアクセス要求]ウィンドウの[履歴]タブでは、リソース名、アカウント名、要求したユーザー、状態などの関連情報を伴うすべての完了したパスワードアクセス要求の包括的な情報を確認できます。このタブには、[アクセス要求の概要]オプションがあり、パスワードアクセス要求のタイムラインビューを確認できます。これは、要求の概要を表示するには、[履歴]タブから任意の要求の列にある[情報]アイコンをクリックします。[アクセス要求の概要]ウィンドウでは、その特定のパスワードアクセス要求に関するすべての関連情報がタイムラインビューで表示されます。

      imgborder

      アクセス制御の無効化

      Password Manager Proでは、管理者が任意のリソースやアカウントのアクセス制御をいつでも無効化できるため、必要な権限を持つユーザーは承認を必要とせずに直接パスワードにアクセスできます。以下のセクションでは、要件に基づいてリソースレベルおよびアカウントレベルでアクセス制御を無効化するための必要な手順を詳述します。

      4.1 リソースのアクセス要求の無効化

      単一のリソースに構成されたアクセス制御ワークフローを無効化するには、以下の手順を参考にします。

      1. [リソース]タブに移動し、任意のリソースの横にある[リソースアクションアイコン]をクリックし、表示されたオプションから[アクセス制御を設定]を選択します。
      2. [アクセス制御を設定]ウィンドウで、[非アクティブ化]ボタンをクリックし、選択したリソースに設定されたアクセス制御ワークフローを無効化します。

      複数のリソースに対して、アクセス制御ワークフローを一括で無効化するには、以下の手順を参照してください。

      1. [リソース]タブに移動し、アクセス制御ワークフローを無効化したいリソースを選択し、上部のメニューにある[リソースアクション]ボタンをクリックします。
      2. 表示されたオプションから、[設定]→[アクセス制御]を選択します。
      3. [アクセス制御を設定]ウィンドウで、[非アクティブ化]ボタンをクリックし、選択したリソースに設定されたアクセス制御ワークフローを無効化します。

      4.2 アカウントのアクセス制御を無効化

      単一のアカウントに構成されたアクセス制御ワークフローを無効化するには、以下の手順を参考にします。

      1. [リソース]タブに移動し、[パスワード]ウィンドウに切り替え、任意のアカウントの列にある[アカウントアクションアイコン]をクリックして、表示されたオプションから、[アクセス制御の設定]を選択します。
      2. [アクセス制御を設定]ウィンドウで、[非アクティブ化]ボタンをクリックし、選択したアカウントに設定されたアクセス制御ワークフローを無効化します。

      複数のアカウントに設定されたアクセス制御ワークフローを一括で無効化する手順は、以下の通りです。

      1. [リソース]タブに移動し、[パスワード]タブに切り替え、アクセス制御ワークフローを無効化したいアカウントを選択し、上部のメニューにある[アカウントアクション]ボタンをクリックします。
      2. 表示されたオプションから、[アクセス制御を設定]を選択します。
      3. [アクセス制御を設定]ウィンドウで、[非アクティブ化]ボタンをクリックし、選択したアカウントに設定されたアクセス制御ワークフローを無効化します。