【内部対策コンテンツ一覧】
特権ID管理
【特権IDとは】
WindowsのAdministrator、Linux/Unixのroot、Ciscoのenableなど、ユーザーアカウントやデータベースの管理、サーバーのメンテナンス、ネットワーク機器の設定変更等において高い権限を有するIDを、一般に「特権ID」と呼びます。
広範囲の権限を有するため、利用用途や関係者が多く、企業 / 組織内で同一のパスワードが使い回されるケースも稀ではありません。場合によっては、外部のベンダーに一時的に特権IDを貸し出す必要性も生じます。
このように、何でもできてしまう特権IDは、一度サイバー攻撃者の手に落ちてしまうと、重要情報の流出や企業の信頼性に関わるデータの改ざん等、莫大な被害を引き起こします。
反面、個人のアカウントと異なり複数の共有者がいるケースも多いことから、「誰が/いつ/何に」使ったかの履歴を調べることが困難で、事実確認や対処が大幅に遅れる事例も多発しています。
【ソフトウェアによる特権ID管理】
特権IDの利用をエクセル台帳などで管理するケースは珍しくありません。
しかし、標的型サイバー攻撃など、外部からの侵入によって特権IDが不正に利用されないようにするには、ソフトウェアを活用して申請 / 承認のワークフローを徹底する他、これらのワークフローを通過していないローカルからのアクセスを一切遮断するといったの措置が必要です。
また、攻撃者が侵入しようと試みた形跡が無いか、定期的にログ監査を実施することも推奨します。
| 特権ID管理 | 具体策 | ソリューション |
|---|---|---|
| 特権IDのワークフロー管理 |
| ManageEngine - Password Manager Pro 特権IDのワークフロー管理機能 |
| 特権IDのパスワード管理 |
| ManageEngine - Password Manager Pro パスワードのポリシー設定機能、パスワードリセット機能 |
| 特権IDの利用履歴監査 |
| ManageEngine - Password Manager Pro セッションレコーディング機能、レポート機能 |
| ManageEngine - Password Manager Pro(マネージエンジン パスワード マネージャー プロ)は、Webベースの特権ID管理ソフトです。 特権IDを利用する際の申請/承認のワークフロー自動化や、パスワードの定期変更、ワンタイムパスワードの発行などに活用できます。Password Manager Proを踏み台としてITリソースへログインすることで、操作画面を録画でき、証跡監査に役立ちます。また、レポートの生成とアラート通知を行えます。 | |
<ManageEngine Password Manager Pro:特権ID管理のワークフロー図>
【ログ監査サービスについて】
ManageEngineでは、特権ID管理の他に、FirewallやActive Directoryのログ管理を効率化できるソフトウェア提供と共に、これらを活用してリーズナブルな価格帯でログ監査を外部委託できる「ログ監査サービス」の紹介を行っています。