企業におけるパスワード管理

一般企業や教育機関、自治体などの組織には数多くの特権アカウントが存在し、特権アカウントの利用が許されている担当者はビジネス上重要な情報やシステムにアクセスすることができます。そのため、重要なデータへアクセスできる特権アカウントの制御は最優先事項の一つとなります。その方法の一つに、特権アカウントのパスワード管理をよりセキュアに保つことが求められます。しかし、組織が保有する特権アカウントは膨大な場合が多く、それらのパスワードを手作業で統合管理するのは非常に困難です。大量のパスワードを人力で管理しようとすると、工数が増えてしまうだけではなく、適切な管理が行われない場合に権限のないユーザーに対して特権アカウントの権限を渡してしまう可能性が生じてしまいます。ここで役に立つのがEnterprise Password Vault(EPV)というソリューションです。
EPVは、すべてのアカウントとパスワードを自動的に安全かつ最新の状態に保つことで、特権アカウントの不正利用と関連するリスクを軽減するのに役立ちます。

[参考ページ:特権アカウントとは]

特権アカウント管理の自動化

特権アカウントを手動で管理することは、何十何百ものパスワードを定期的に検出し、追跡し、リアルタイムで保存するという複雑なプロセスになります。管理者が不在であったり、内部不正により特権アカウントを悪用されることで、組織はデータ漏洩のリスクにさらされます。

その点においてEPVは、パスワードの生成、作成、変更、監視、削除など、特権アクセス管理(PAM)のベストプラクティスを自動化することで、特権アカウント管理の工数を削減し、運用効率を向上させます。

EPVの主な利点

EPVの役割は、企業のパスワードを安全に保管するだけではなく、機密リソースへのアクセスを保護、管理、統制することです。以下では、EPVを活用することによる利点を紹介します。

パスワード以外も統合管理

EPVは特権アカウントのパスワードを保管するだけではなく、ウェブアカウント、公開鍵および秘密鍵、デジタル証明書、ライセンスキー、デジタル署名ファイル、ドキュメントおよび実行ファイル、アプリケーション認証情報など、その他の機密情報を統合して管理することができます。
一元化されたリポジトリーは、企業のセキュアストレージに対応するように設計されており、複数のレベルで暗号化されているため、強固なセキュリティが確保されています。

重要な資産を集中管理

EPVによって、管理者は特権アカウントの集中的な制御を低工数で実現することができます。これにより、高権限アカウントに対するきめ細かな制御を確立し、共有されている機密情報への、業務内容に応じたアクセスを提供することができます。

特権ユーザーの証跡を監視

特権アカウントを使うユーザーの行動をリアルタイムに監視することで、能動的なITセキュリティを実現します。重要なリソースへのアクセスには、管理者による事前承認とレビューをプロセスとして設けることができます。これは承認申請フローと呼ばれ、特権アカウントの悪用を抑制します。

シームレスなコンプライアンス監査

GDPR、NIST、FISMA、HIPAA、SOX、PCI DSS、NERC CIP、ISO/IEC 27001、CCPAなどで定められている特権アクセス制御の基準に準拠することができます。特権アクセス管理のベストプラクティスの厳守を義務付けるコンプライアンスレポートを作成できます。

EPVの実践プロセス

特権アクセス管理におけるEPVとは、機密性の高い情報や特権ID、そのパスワードを暗号化された保管場所で保護することを指します。管理者は、誰がいつ、どのくらいの期間、情報にアクセスすることを許可するかを制御することができ、保管された特権IDやパスワードは業務内容に応じた権限にて共有することができます。EPVを実践する際の基本的な3つのステップは以下の通りです。

特権アカウントに関する情報の自動検出

EPVソリューションは、企業のエンドポイント、クラウドや仮想環境、ネットワークに関連するすべての重要なIT資産、ドメイン、関連するサービスアカウントを自動的に把握します。
その後、AES-256などの最新アルゴリズムを用いた複数レベルでの暗号化機能を備えた、自動更新可能な安全なリポジトリに認証情報を統合して保存します。

パスワードの変更、ランダム化、リセットの自動化

EPVソリューションは、パスワードを定期的に更新することができ、手作業による工数と時間を大幅に削減します。
また、機密データやアプリケーションへのアクセスを確保するために使用される認証情報を同時に更新することで、ダウンタイムをなくすことができます。様々な対象リソースをサポートするパスワードリセットオプションを提供し、スケジュールされたタスクによる自動または手動でのパスワードリセットを可能にします。

パスワードのきめ細かな管理

管理者がパスワードを完全に管理できるようにするために、EPVソリューションでは、重要な資産へのアクセスを様々なレベルの権限で許可する機能が用意されています。管理者は、ユーザーが特定のリソースへの一時的なアクセス要求を行う際に、正当な理由を提示することを求める承認・申請ワークフローを設定することができます。要求された期間が終了すると、リソースへのアクセスは取り消され、パスワードは自動的に変更され、ITリソースへの不正使用や不正アクセスのリスクを抑制することができます。

低コストで運用に乗せやすいEPV

ManageEngineが提供する特権ID管理ツール「Password Manager Pro」もEPVとしてご利用いただけるソリューションです。
このようなソリューションは一般的に高額という印象がある方もいる思います。しかし、ManageEngineが提供する理ツール「Password Manager Pro」は市場にあるツールと比較して大幅に安価で利用することができるほか、シンプルなGUIを提供しているため運用に乗りやすくなっています。

【参考ページ:価格公開中

 

機能の強みもわかりやすくまとまった概要資料

特権ID管理システム「Password Manager Pro」製品概要

資料をダウンロードする