特権ID管理の課題と効率よく管理するためのツールとは?

この記事では「特権id管理を行う際の課題」や「特権IDを安全に効率よく管理するためのツール」のご紹介をさせていただきます。 情報社会の広がりとともに、強い権限を持つユーザーが狙われています。 特権IDが狙われる前に管理を始めて、対策しましょう!

手遅れになる前に特権IDの管理をはじめませんか?

特権ID管理を行う際の課題

特権IDの管理を始めるのは意外に大変です。

すぐ始めようと思い立っても

  • 特権IDの割り当てルール/手順を定めなければならない
  • 特権IDの申請および承認フローをルール化し、申請履歴を記録する

などが必要です。

また、よくあるお悩みとしては、

  • 情シス担当やベンダーなど、特権IDを利用するユーザーが増えてきたため、なんとかしなければと思っている
  • 内部/外部監査によって、特権ID管理に関する指摘があった
  • FISC等の基準や、 PCI DSS審査の要求事項を満たす必要がある

などが挙げられます。

加えて、特権ID管理における監査項目は以下が挙げられます

  • ユーザーに対して必要最低限の権限付与がされているか
    (もしくは、必要以上の権限が付与されていないか)
  • 特権IDの利用者や、利用条件、利用期間は限定されているか
  • 「誰が」「どのシステムに対する」特権IDを利用した「アクセスをしたか」を特定できているか
  • 特権IDを利用したアクセスを監視できているか

この他、総務省は、「安全なパスワードの作成」について以下のようなルールを 推奨しています。

  1. 名前などの個人情報からは推測できないこと
  2. 英単語などをそのまま使用していないこと
  3. アルファベットと数字が混在していること
  4. 適切な長さの文字列であること
  5. 類推しやすい並び方やその安易な組合せにしないこと

これらの管理をすぐ始めようと思っていても、作業工数や時間を考慮するとなかなか大変です。

監査に必要な対策として、 手書きの台帳や、監視カメラによる監視、といった方法も考えられますが、定期的/随時に監査することを考えると、現実的ではありません。 特権ID管理の実施方法によっては、「手間がかかり」「適切に運用するのが困難」です。

しかし、実態としてこのような運用をしている企業が多いのではないでしょうか。 それらの 特権IDを効率よく安全に管理するツール、ソリューションとしてPassword Manager Proのご紹介をさせていただきます。

特権ID管理を簡単かつ低コストで実現!Password Manager Pro

Password Manager Proは、特権IDを利用する際の「申請/承認フロー」機能や「操作画面の録画」機能、「パスワードの非表示/自動更新」機能を標準搭載した特権ID管理ツール(ソフトウェア)です。

Password Manager Proでは以下の特権ID管理が一つのツールで行えます。

  1. 「誰に」「どの特権ID」を許可するかの制御
  2. 「どの特権IDを」「誰が」「いつ」利用したのかの特定と監査
  3. 特権IDを利用した管理対象機器へのアクセス制御
  4. 特権IDを利用した操作の記録
  5. 特権IDおよびそのパスワード管理

IPAが公開しているガイドラインにおいても、前述の要件を満たす特権ID管理を推奨しています。 また、Password Manager Proではパスワードのポリシー設定も行えるので、総務省が推奨している「安全なパスワード作成」も漏れなく自動で行えます。

ご関心がございましたら、製品の概要や価格について分かりやすくまとめた、資料をご参照ください

ログ管理ツールとの併用でより強力な特権ID管理を

さて、ここまでで「特権ID管理を行う際の課題」と「ツールを用いたソリューション」についてご紹介しました。最後にもう一点、特権ID管理を行う上で多くのご担当者様が頭を悩ませる「ログ管理」についても触れたいと思います。

まず、「特権ID管理」と「ログ管理」は、企業/組織のセキュリティレベルを一定以上に保つ上で密接に関連していると言えます。なぜなら、特権IDを適切に管理することで、「正常なログ」と「異常なログ」の切り分けが簡単になるためです。

また、ツールを用いたアクセス制御を徹底した場合でも、以下のようなリスクはどうしても残ります。

  • 悪意のある内部メンバーが重要サーバー/システムへ直接ログインする場合
  • サイバー攻撃者が重要サーバー/システムへ直接ログインする場合

つまり、「監査すべきログを効率的に特定するため」や「特権ID管理ツールの管轄から漏れたアクセスを検出するため」に、どうしても「ログ管理」が必要となるのです。ここでお勧めしたいのが、ManageEngineが提供する「EventLog Analyzer」というツールです。

EventLog Analyzerは、低コストで簡単に利用できる統合ログ管理ソフトウェアです。イベントログやSyslogの収集/保管を単一ソフトで実現できるだけでなく、アプリケーション固有のログや任意フォーマットのテキスト形式のログも一度に取り込めます。 あらゆるログを一元管理し、迅速な検索、アラート通知を実現することが出来ます。 さらに、Password Manager Proとの連携機能も備えており、ログ監視を含めた特権IDの管理を可能にします。

Password Manager Proはユーザーの操作を動画や画像として残せますが、テキスト形式のログとして保管することはできません。特権IDが使われる場面はシステム変更や停止、起動など、システム管理者がシステム運用を行う時です。構築ベンダーにサーバー構築などを頼む際に特権ユーザーの権限を付与する場面があると思います。その際にログが取れると、予定にないクエリやスクリプトが実行されていないかなどを、ログ検索によって明らかにすることが可能です。

また、Password Manager Proを介さず、外部から直接不正なアクセスがあった際も、アクセスログを取得し、アラートを生成することが出来ます。 こちらの機能ではセッション内で取得したログが表示されます。 アカウントやデータベースの管理、ネットワーク機器の設定変更等において高い権限を有する特権IDは、悪用されると甚大な被害につながります。サイバー攻撃が横行する昨今、このような脅威はあらゆる規模の企業/組織が実感しているのではないでしょうか。 そうなる前にPassword Manager Pro(PMP)とEventLog Analyzer(ELA)で特権IDの管理を始めましょう

Password Manager Pro(PMP)、EventLog Analyzer(ELA)について詳しく知りたい、一度使ってみたいという方は、以下のURLにアクセスしてみてください。