特権セッションレコーディング
(この機能は、Premium, Enterprise Editionでのみサポートされています。)
- 概要
- セッション レコーディングの設定手順
2.1 リソースタブ経由
2.2 管理タブ経由
- 記録済みセッションを閲覧する
- 記録済みセッションの分割
- リアルタイムでのシャドーセッション
5.1 セッションを並行して監視
5.2 不審なセッションを強制終了
5.3 選択的な記録済みセッションの削除
1. 概要
Password Manager Proから起動された特権セッションは、フォレンジック監査をサポートするために記録、アーカイブ、再生することができ、企業は特権セッション中に特権アカウントによって実行されるすべてのアクションを監視できます。セッション記録は、アクティビティの積極的な監視を要求する組織の監査要件およびコンプライアンス要件を満たし、管理者は特権アクセスの「誰」「何」および「いつ」に関する質問に容易に答えることができます。Password Manager Proは、Windows RDP、SSH / Telnet、および製品から起動されたSQLセッションの記録を可能にします。
1.1 セッション レコーディングの安全性について
Password Manager Proのセッション レコーディング処理は、画期的なブラウザ ベースのリモート ログイン メカニズムを採用しています。HTML5準拠のブラウザを使用して、高度に安全で信頼性のある、Windows RDP, SSH, Telnetセッションの完全なエミュレートをワンクリックの動作で実現します。追加のプラグインやエージェントを必要としません。リモート接続はPassword Manager Proサーバーによりトンネリングされるので、ユーザー端末とリモート ホスト間の直接接続は必要としません。高い信頼性に加えトンネリング接続は、リモート接続のために必要となるユーザーのパスワードがユーザー端末に必要とならないため、高度なセキュリティも実現します。また、新しいセッション レコーディング機能には、強固なリモート ログイン メカニズムを実現する拡張がなされています。
PMPのバージョン 6500 以降には、RDP, SSH, Telnetセッション用のゲートウェイが実装されました。このゲートウェイを使用して、ユーザーはブラウザを使用して、PMPサーバーを仲介したトンネリングによりリモート ターミナル セッションを確立することができます。リモート ターミナル セッションはブラウザ画面上でエミュレートされ、エンドポイントにおけるプラグインやエージェントなどのインストールを必要としません。リモート ターミナル セッションを使用するための条件は、ブラウザがHTML5の互換性であるということだけです。(Internet Explorer 11以降、Firefox 45以降、Safari 4以降、Chrome)
2. セッション レコーディングの設定手順
セッション レコーディングの設定方法は2種類あります:
2.1 リソースタブ経由
2.2 管理タブ経由
2.1 リソースタブ経由
- リソースタブへ移動し、セッションレコーディングを設定したいリソースを選択します。。
- リソースアクション >> 設定 >> セッション記録へと移動します。
- 表示されるポップアップ画面にてRDPセッションの記録 かつ/または SSH/Telnet/SQLRecordセッションの記録を有効化を要件に合わせて選択し保存をクリックします。
注:記録済みセッションファイルは <PMP_Install_Directory\PMP\recorded_files>にデフォルトで保存されます。この記録済みセッションファイルを保存する外部のパスは管理タブ >> 設定 >> セッションレコーディングからいつでも変更できます。
2.2 管理タブ経由
- 管理タブ >> 設定 >> セッションレコーディングへと移動する
- 表示されるポップアップ画面にてRDPセッションの記録 かつ/または VNCセッションの記録を有効化 かつ/または SSH/Telnetセッションの記録を有効化を要件に合わせて選択します。
- 記録済みセッションの外部保存先にて記録済みセッションを保存するための有効なパスを入力してください。また記録済みセッションのバックアップ保存先も設定できます。その設定もした場合には記録済みセッションファイルは双方のパスに保存されます。
- 特定の日数を超えて保存された記録済みセッションを削除するために、 記録済みセッションのうち( )日を超えたものを削除するに数字を入力してください。テキストフィールドに何も入力しないか、0を入力することで削除を無効化できます。
- 保存をクリックし、変更を保存してください。設定後、管理者が次のリソース種別(RDP、SSH、Telnet)を有するリソースを追加した後に記録済みセッション機能を利用できます。
3. 記録済みセッションの閲覧
PMPのインターフェースでの監査タブから記録済みセッションを閲覧する方法は以下の通りです。リソース名やセッションを開始したユーザー、セッション開始時間などの詳細情報からセッションを追跡できます。
- Navigate to the 監査タブ >> 記録済みセッションへと移動します。
- 閲覧したい記録済みセッションに対応する再生ボタンをクリックする。記録済みセッションを閲覧している最中にシークバーをクリックし、途中の再生をスキップできます。
4. 記録済みセッションの分割
ビルド9902以降、PMPは記録済みセッションファイルを複数の小さいファイルへ分割し、それらを暗号化する機能が搭載されています。本機能はファイルサイズが10MB以上となる場合に適用されます。デフォルトではPMPはローカルい保存されているすべてのセッションファイルを暗号化します。ただし、ファイルサイズが大きい記録済みセッションに対しては暗号処理に失敗する可能性があります。暗号処理の失敗を防ぐ目的で、セッションレコーディングファイルが分割され、より小さなファイルとして保存されます。分割されたファイルは暗号処理され、セキュアに保管されます。 分割されたファイルは個々に保存されますが、分割されていることを意識せずにセッションを再生できます。
PMPはファイルサイズが10MBを超過しないようにファイルを分割します。例えば、記録済みセッションのファイルサイズが22MBの場合、PMPはファイルを10MB、10MB、2MBへそれぞれ分割します。
こちらの一般設定ドキュメントに記載されている手順からセッションの分割を有効化してください。デフォルトではこのオプションは無効化されています。このオプションを有効化していない場合は、PMPは全ての記録済みセッションを単一のファイルとして取得します。
5. リアルタイムのシャドーセッション監視
(Enterprise Editionでのみサポートされています。)
Password Manager Proを使用すると、管理者は機密性の高いITリソースの特権セッションを厳重に監視できます。シャドウイングにより、管理者はアクティブなセッションに参加したり、ユーザのアクティビティを並行して監視したり、疑わしいアクティビティが発生した場合に終了することができます。同様に、管理者は、トラブルシューティングのセッション中にユーザーのアクティビティを監視しながら、ユーザーに支援を提供することもできます。
5.1 セッションを並行して監視
- 監査タブ >> アクティブなリモートセッションへ移動します。
- リソース名から監視したいセッションを確認します。
- 参加ボタンをクリックする。セッションを並行して閲覧できるようになります。
5.2 不審なセッションの強制終了
- 監査タブ >> アクティブなリモートセッションへと移動します。
- リソース名から監視するセッションを確認します。
- 終了ボタンをクリックします。リモートセッションは強制終了し、ユーザーはリモートリソースへの接続を失います。
5.3 記録済みセッションの選択的な削除
- 監査タブ >> 記録済みセッションへ移動します。
- 削除したいセッションを選択し、削除列にある削除アイコンをクリックしまs。
- 以下に示されているように、記録済みセッションまたはチャットログを削除できます:
- チャットログや記録済みセッションを削除を実行しようとすると、ダイアログボックスが表示され、以下のようなアクションを実行するように遷移します。
- 他の管理者に通知され、承認依頼が送付されます。承認するか拒否するかを選択できます。2人の管理者のみの承認で削除処理が実行されることに留意してください。つまり、他の管理者が承認していなくとも、ある管理者が承認すれば削除は実行されます。
- 記録済みセッションファイルがPMPサーバーに存在するのか、外部に保存されているかによって削除は以下の2つの方法で実行されます:
注: PMPのデータベースから選択したセッション情報を削除するために、自身を含めて少なくとも2名の管理者が存在していることが必要です。適切な確認なしにセッションファイルが削除されることを防ぐ仕様です。
- シナリオ 1: ファイルがシステムに存在する場合、依頼が他の管理者によって承認され次第、ファイルが削除されます。
- シナリオ 2: セッションファイルがPMPではなく外部デバイスに存在する場合、PMPはこれらのファイルを削除するためにシステムスケジューラを実行します。この場合、ファイルはスケジューラの実行時にセッション録画を含む外部デバイスがPMPサーバーに接続されている場合にのみ削除されます。
注:上記のシナリオ2で説明したようにセッション記録の削除が承認されたが、まだ削除が実行されていない場合、PMPはセッションレコーディングファイルが削除されるまでセッションレコーディングを一時的に無効にします。また削除されるファイルも閲覧することができなくなります。