Comments
Description
Transcript
実装方式とアーキテクチャーで比較する 特権 ID 管理製品選定のポイント
実装方式とアーキテクチャーで比較する 特権 ID 管理製品選定のポイント 2013 年 12 月 エンカレッジ・テクノロジ株式会社 Copyright© 2002-2013 Encourage Technologies Co., Ltd. All Rights Reserved. 1 実装方式とアーキテクチャーで比較する特権 ID 管理製品選定のポイント はじめに 導入検討フェーズに入った特権 ID 管理ソリューション 昨今、情報セキュリティ対策への高まりや、企業のガバナンスと内部統制の一環として IT 統制の考え方と仕組みが整備 され、システムに対して高い権限を有する特権 ID の管理の必要性に関する認識が浸透し、特権 ID 管理ソリューションの 導入を検討される企業が徐々に増加しています。 しかしながら、この分野の歴史はまだ浅く、市場投入される製品の提供機能やアーキテクチャーが多様であるにもかか わらず、それらを俯瞰的に解説している情報が少ないと言わざるを得ません。さらに、確立された評価基準や選定プロセ スが存在しないため、多くの企業では、特権 ID 管理ソリューションをどのような基準で選定すればよいのかがわからな いといった状況に陥っています。 本ホワイトペーパーでは、このような状況の中、特権 ID 管理ソリューションの導入検討をされている企業の参考にし ていただくため、特権 ID 管理ソリューションを技術要素とアーキテクチャーの2つの視点で分類し、選定のポイントと 弊社による推奨点をまとめたものです。最後のセクションでは、選定対象の 1 つとして弊社エンカレッジ・テクノロジの 特権 ID 管理ソリューションについて簡単にご紹介を加えております。 Copyright© 2002-2013 Encourage Technologies Co., Ltd. All Rights Reserved. 2 実装方式とアーキテクチャーで比較する特権 ID 管理製品選定のポイント 特権 ID 管理ソリューションを構成する技術要素 特権 ID 管理ソリューションを選定する上で、それらを構成する2つの大きな技術要素と主要な付加価値要素の概要、 それぞれの実装方式にについてまず理解しておく必要があります。 特権 ID 管理ソリューションの技術要素 特権 ID 管理ソリューションを構成する技術要素は、下表のとおりです。ご覧のように、アクセス制御とログ管理とい う2つの主要技術要素と付加価値機能で構成されています。 技術要素 アクセス制御 実装方式 ID・権限管理方式 ポイント 個人に割り振った ID の有効化・無効化、権限制御によっ てアクセスを制御する方式 共有 ID 貸出方式 共有型の特権 ID を必要に応じて、使用者に貸し出す形 で制御する方式 ネットワーク制御方式 操作端末とサーバー間のネットワーク上に、許可されたユー ザーだけがアクセスできるようネットワーク的な方法で制御す る方式 ログ管理 独自ログ記録方式 独自機能によって、管理対象システムへのアクセスを記録 し、保存する方式 (ログイン、操作内容) ログ収集方式 OS 等の標準機能で取得されるログイン、ログオフあるいは 操作ログ等の監査ログを収集し、保存することでログを管 理する方式 付加価値機能 ワークフロー 特権 ID の使用を許可するプロセスを支援するシステム ログ突合機能 記録・収集したログを解析して、違反操作、承認外操作 がなかったかどうかを点検する機能 レポーティング 自己点検や監査用に特権 ID 管理の状況をレポートとし て表示する機能 その他の管理機能 パスワードの自動変更、棚卸、その他、特権 ID 管理を行 う上でより利便性が向上する各種機能 アクセス制御を実現する3つの実装方式 特権 ID 管理ソリューションによって提供されるべき主要技術要素の 1 つは、特権 ID を使用した重要システムに対する アクセス制御の機能です。システムに対して非常に高い権限を有する特権 ID は、その不正使用によるリスクが非常に大 Copyright© 2002-2013 Encourage Technologies Co., Ltd. All Rights Reserved. 3 実装方式とアーキテクチャーで比較する特権 ID 管理製品選定のポイント きいため、極めて限定的な使用に制限されるべきです。一般的には、通常は誰もアクセスできない状態にしておき、必要 なタイミングで承認プロセスを経たのち、必要な範囲にのみアクセス可能な最小限の権限が与えられるといった運用が理 想的です。アクセス制御を実現する方式は大きく3つ存在します。 ID・権限管理方式 ユーザーそれぞれに固有の特権 ID を付与することを前提として機能が実装された方式です。この方式では、ユー ザーごとに固有の特権 ID を保有していますが、通常は権限が制限されており、権限が必要な場合は承認プロセス を経て、必要な権限が ID に付与され、作業後に権限がはく奪されるという運用が基本になります。したがって、 この方式で提供される機能は、個人に付与された特権 ID の有効化・無効化、権限の付与・はく奪といった設定作 業を管理者が容易に行うための機能が中心となります。 共有 ID 貸出方式 共有 ID 貸出方式は、ID・権限管理方式とは逆の考え方に基づく方式です。個人に特権 ID を付与せず、承認プロ セスを経て、共有 ID を作業者に貸出す方式で運用することを前提にしています。したがって本方式では、共有 ID の個人への貸出しや ID 返却後のパスワード変更、ID 無効化などの設定によって、特権 ID を使用できない状態に する機能等が提供されます。 共有 ID を貸出すもっとも単純な仕組みは、 特権 ID とそのパスワードを使用者に教えるといった方式になります。 しかしより安全な方法として、専用アプリケーションを使用することで、作業者に特権 ID のパスワードを教える ことなくそれらの貸出が可能な機能を提供している製品も存在します。 ネットワーク制御方式 対象システムへのアクセス許可を、ID による制御ではなく、作業するユーザーとシステムの間のネットワーク経 路に制御装置を設置して行う、特殊な方式です。ファイヤウォール等、下層レイヤーによるネットワーク制御では、 ユーザーを識別することができないため、上位レイヤーによる制御が必要になります。一般的には、プロキシやポ ートフォワーディング技術を応用し、アクセスするユーザーを認証によって識別し、当該ユーザーのシステムへの アクセスが可能かを判断する方式になります。方式上、ネットワークを介したアクセスが対象であり、システムを 直接操作する運用の場合には、本方式によって制御することは不可能です。 また、アクセスは必ず制御装置を経由する必要があり、制御装置を経由しないネットワーク経路が存在すると、そ の部分がセキュリティホールになってしまいます。 ログ管理の2つの方式 特権 ID 管理の2つ目の技術要素はログ管理です。ログ管理の目的は2つあります。1つは、アクセス制御が正しく運 用されているかをモニタリングする目的です。この目的を実現するためには、特権 ID の使用履歴を調べ、許可なく使用 された形跡がないかどうか確認を行うことになります。もう1つの目的は、操作内容の点検です。特権 ID のリスクは、ID が不正に利用されることだけではなく、正当な手続きによって使用を許可されたユーザーによる誤用・乱用も重要です。 このリスクを抑えるためには、操作内容を記録し、定期的に点検を行う必要があります。 こうした目的を実現するためのログ管理の実装方式は、大きく以下の2つに分類されます。 Copyright© 2002-2013 Encourage Technologies Co., Ltd. All Rights Reserved. 4 実装方式とアーキテクチャーで比較する特権 ID 管理製品選定のポイント 独自ログ記録方式 特権 ID 管理ソリューションが独自にログイン・ログオフまたは操作内容の記録を取得する機能を提供する方式で す。この方式では、システムが持つ標準のログ機能では提供されていない情報を取得することで、標準的なログを 用いた場合と比較し、点検の精度が高まったり、点検が効率化が実現できる可能性があります。一方、独自ログを 記録するプログラムによって、システムへの負荷が増加するなど、システムに対して影響が生じる場合もあるので、 注意が必要です。 ログの収集方法を汎用化すると多様なシステムのログを比較的容易に収集できるほか、システムへの影響も独自ロ グと比べると少ない傾向にあります。 ログ収集方式 独自ログの記録を行わず、システムがもつ標準のログを収集する方式です。この場合、取得できる記録の内容は、 システムが出力するログの内容に依存します。またシステムにログ出力の機能が提供されていない場合は、収集す ることができません。 Copyright© 2002-2013 Encourage Technologies Co., Ltd. All Rights Reserved. 5 実装方式とアーキテクチャーで比較する特権 ID 管理製品選定のポイント アーキテクチャーによる特権 ID 管理ソリューションの分類 2つ目のセクションでは、前セクションで整理した主要技術要素を踏まえた上で、特権 ID 管理ソリューションのアー キテクチャーの分類と比較を行います。 下表は、現在市場にある特権 ID 管理ソリューションが採用する主なアーキテクチャーの一覧になります。 大分類 小分類 対応可能な要素 エージェント型 エージェント型 アクセス制御機能 メリット ○ID・権限管理 ○共有 ID 貸出 ログ管理機能 ○ログ収集機能 エージェントレス型 ゲートウェイ型 アクセス制御機能 ○独自ログ機能 アクセス制御機能 羅的に実現 ラムとの相性やキャパシティプランへの リモート操作、直接コンソールか 影響などを検討・確認する必要があ ら行う作業などあらゆるアクセス る × 管理対象のサーバー台数が多いと、 操作端末、サーバーの両方に × ゲートウェイサーバーを介さないアクセ 専用プログラムをインストールす スや直接コンソール作業には、効果 導入は比較的容易 を発揮できない × ID とパスワード管理には対応できな い 操作端末、サーバーの両方に × 証跡管理は、独自に記録するので ○ID・権限管理 専用プログラムをインストールす はなくサーバーからの情報を収集する ○共有 ID 貸出 る必要がない ログ管理機能 ○ログ収集機能 エンドポイント型 ストールする必要があり、他のプログ る必要がない ログ管理機能 エージェント型 × サーバー内に常駐型プログラムをイン の 2 つの主要技術要素を網 導入・維持管理の負担が大きい ○ネットワーク制御 リモート プログラムによって特権 ID 管理 手段に対応 ○独自ログ機能 デメリット アクセス制御機能 ードの管理が可能 導入は比較的容易 操作端末、サーバーの両方に 専用プログラムをインストールす ○共有 ID 貸出 る必要がない ログ管理機能 ○独自ログ機能 サーバーで集中的に ID/パスワ × 直接コンソールから行う作業には、効 果を発揮できない × エンドポイント(端末)が多数存在す リモートエージェント型と組み合 る場 合などには導入に手間がかか わせることで共有 ID 貸出をより る 安全に提供可能 エージェント型の特徴 エージェント型は、管理対象のサーバーに専用 のプログラムをインストールし特権 ID を管理す る方式です。このアーキテクチャーでは、主要技 術要素の実装方式に制限が少なく、多くの機能要 件を満たすことができます。 またリモートでのアクセス、直接アクセスなど アクセス手段にも制約を受けないため、汎用的な 要件に対して対応できます。 Copyright© 2002-2013 Encourage Technologies Co., Ltd. All Rights Reserved. 6 実装方式とアーキテクチャーで比較する特権 ID 管理製品選定のポイント 一方、管理対象のサーバーに専用のプログラムをインストールする必要がありますので、大規模なシステムにおけるプ ログラム配布と維持管理の負荷、さらにはプログラムが与えるシステムへの影響を十分考慮する必要があり、重要なシス テムになればなるほど、導入に際して慎重な検証が必要になります。 ゲートウェイ型の特徴 ゲートウェイ型は、ユーザーとシステムの間にアクセスを 制御する機能を提供する方式で、アクセス制御機能の 1 つで あるネットワーク制御方式を実装する唯一のアーキテクチャ ーです。アクセスは必ずゲートウェイサーバーを経由するた め、ネットワーク上の通信内容から操作内容を取得し、記録 することも可能です。 しかし、ゲートウェイ型は、リモート操作が前提であると ともに、ゲートウェイを経由しないアクセス経路が存在しな いことが前提となるため、ネットワーク構成の最適化を行うことが大前提です。 この方式で特に厄介なのは、アクセスを許可されたサーバーを踏み台に、許可されていない別のサーバーへアクセスさ れてしまう可能性があることです。これを防止にするためには、サーバーごとに特権 ID を管理しておく必要があります。 しかしサーバー個々の特権 ID を管理すると、ネットワーク制御自体の必要がなくなるというジレンマに陥ります。 ゲートウェイ型にはサーバーやアクセス元の端末にプログラムをインストールする必要がないという優位点があります が、上述の観点から、あくまで簡易的な特権 ID 管理の方式として捉えるべきと考えられます。 リモートエージェント型の特徴 リモートエージェント型は、管理すべき対象のサーバーを リモートで管理するためのエージェントプログラムを専用 のサーバーにインストールして運用する方式です。このアー キテクチャーで提供できる機能と実装方式には仕組み上制 約が生じます。 ログ管理は、ゲートウェイ型とは異なりアクセス経路にサ ーバーを設置しないため、独自ログの記録は不可能で、サー バーが標準機能で出力するログを収集する方式に限定され ます。 またアクセス制御については、リモートで貸出する共有 ID や個人 ID の権限変更、有効化・無効化を実行できるため、 ID・権限管理、共有 ID 貸出管理ともに対応できますが、共有 ID 貸出の際、パスワードを隠ぺいするプログラムを併用す る場合には、エンドポイント型との併用が必要です。 管理対象のサーバーにプログラムを必要とせず、ID 管理や貸出管理を実現できることから、提供できる機能範囲に制約 が生じるものの、エージェント型のデメリットを排除したアーキテクチャーといえます。 Copyright© 2002-2013 Encourage Technologies Co., Ltd. All Rights Reserved. 7 実装方式とアーキテクチャーで比較する特権 ID 管理製品選定のポイント エンドポイント型の特徴 エンドポイント型とは、アクセス元のクライアント端 末(VDI 環境など端末の代替環境も含む)にプログラム を仕掛け、サーバーへのアクセスを制御したり、アクセ ス内容を記録するタイプのアーキテクチャーになります。 この方式の場合、リモートエージェント型と連携して、 特権 ID の貸出を行うクライアントアプリケーションを 併用することで、指定された端末以外からのアクセスが できないような端末制御が可能になります。 端末数が大量に存在する場合は、プログラム配布と維持管理に負荷が生じますが、サーバーへのプログラムインストー ルが不要という点では、エージェント型のデメリットを排除したアーキテクチャーといえます。 Copyright© 2002-2013 Encourage Technologies Co., Ltd. All Rights Reserved. 8 実装方式とアーキテクチャーで比較する特権 ID 管理製品選定のポイント 特権 ID 管理ソリューション選定のポイント このセクションでは、前セクションまでの情報を踏まえた上で、製品選定のポイントについて解説します。 ポイント① アクセス制御機能はどの方式が良いか? 最初のセクションでご紹介したとおり、特権 ID 管理の主要技術要素であるアクセス制御機能には、大きく3つの方式 があります。選定時の最初のポイントは、どの制御方式を選択すべきかを検討することになります。以下は、弊社の検証 結果に基づく推奨です。 特殊な環境を除き、ネットワーク制御方式は避ける 前項でご紹介した通り、ネットワーク制御方式を実現するゲートウェイ型アーキテクチャーは、サーバーの ID や パスワード自体を管理するものではないため理想的な方法ではありません。アクセス経路が限定され、ID 自体の 管理が必要ない要件であったり、ゲートウェイ型しか選択できない特殊な環境の場合などに限り、選択すべき方式 です。 個人 ID への権限付与か? 共有 ID の貸し出しか? 残る2つのアクセス制御機能の方式は、管理対象に個人単位の特権 ID を用意するか、共有 ID を貸し出す方式に するかの選択になります。結論から示しますと、共有 ID を貸出す方式の方が運用上、煩雑にならない可能性が高 く、選択すべき方式と考えられます。 個人 ID による管理の場合、登録すべき ID の数量そのものが多くなるだけではなく、権限の付与や付け替えとい った作業を作業の都度、ID ごとに行う必要が生じます。こうした作業には、アカウント管理の高い権限を必要と するため、管理ミスや権限乱用をどう抑えるかという対策が必要になってきます。 共有 ID を貸し出すアプローチの場合、事前に業務内容に応じて最適化された特権 ID を作成しておき、その ID を 必要に応じて使用者に貸出す運用になります。このため業務内容に変更がない限り、煩雑な権限管理自体を行う必 要性がなくなり、アカウント管理のための高い権限を使用する頻度も低下します。 一方、共有 ID の利用者が明確になるようトレースできることが重要になりますので、貸出記録を残すともに、使 用者が特定できない未許可のアクセスが行われないよう、パスワードを常に変更するなどの点に留意する必要があ ります。 Copyright© 2002-2013 Encourage Technologies Co., Ltd. All Rights Reserved. 9 実装方式とアーキテクチャーで比較する特権 ID 管理製品選定のポイント しかしながら、想定される運用内容と、それに伴って発生する管理ミスなどのリスクを総合的に評価すると、共有 ID 貸出方式が選択すべき方式として評価できます。 ポイント② ログ管理に必要な要件 特権 ID 管理の2つ目の主要技術要素であるログ管理については、独自ログ方式、ログ収集方式が存在しますが、本セ クションでは、どちらを選択すべきかという点ではなく、ログに何を求めるかという点について、2つのポイントを紹介 します。 ログ解析の即時性 特権 ID のリスク要因からすると、権限の誤用・乱用は、システムへの影響や機密情報の漏えいなど、重大な問題 につながる恐れがあります。したがってそれを発見するための手段としてのログ管理には、問題発生を早期に発見 するための即時性が求められます。何日も経過しないとログが閲覧できないといった状態では、システムへの影響 を防ぐ早期対応は不可能です。可能であれば、操作中の状態をリアルタイムに近い形で監視し、誤用・乱用の発生 を即座に検知し、管理者にアラートが上がるような即時対応が可能なログ管理機能が理想といえます。 点検・監査に適した情報 2点目は、目的を意識した上で、必要なログへの要件を策定することが重要である点が挙げられます。内部監査、 外部監査において特権 ID 管理の有効性を説明するためには、特別な知識を有しなくても、正当性の判別が可能な 形式で記録されていることが望ましいと考えられます。一般的にシステムの標準機能として提供されるログは、ユ ーザーが何をしたのか人が容易に判断できる形式では出力されません。このようなログは収集後に内容を解析して、 ユーザーの操作内容が判断できるようにする加工が必要になります。独自ログ取得方式の場合は、どのような情報 を取得すると、点検・監査が容易になるかを要件として明確にすることが推奨されます。 ポイント③ これだけは押さえておきたい付加価値機能 最初のセクションでご紹介したとおり、多くの特権 ID 管理ソリューションでは、前述した2つ主要技術要素に加え、 管理を自動化したり、よりセキュアな環境にするための付加価値技術要素が提供されております。ここでは、特に特権 ID のリスク管理上、重要な技術要素をご紹介します。 Copyright© 2002-2013 Encourage Technologies Co., Ltd. All Rights Reserved. 10 実装方式とアーキテクチャーで比較する特権 ID 管理製品選定のポイント ワークフロー機能 特権 ID を使用する際、事前に申請・承認を得るための手続きをシステムとしてサポートする機能です。申請に必 要な情報、承認ルートの定義、承認ステータスの管理など、紙ベースの運用では煩雑で管理ミスを起こしかねない 点を自動化しシステム的に管理することで、業務の効率化が実現できます。 さらにワークフローに期待される点として、アクセス制御やログ管理機能とのシームレスな連携によって、管理作 業に関する人の介在を極小化し、さらなるリスク低減を図ることができる点になります。 ログ突合機能 ログ同士を照合したり、承認された作業内容と実際の作業ログを比較するなどして、その差異がないかを解析する 機能です。ログ管理機能の拡張ともいえます。ログを記録・保管するだけでは、特権 ID 管理上十分な取り組みと は言えません。ログの点検を定期的に行い、アクセス制御が正しく機能しているか、許可されたユーザーの誤用・ 乱用が起きていないかを確認する必要があります。しかし、アクセス頻度が高い場合、点検すべきログの量も膨大 になるため、人手による点検には限界があります。ログ突合機能は、そのような環境において、ログ点検の工数を 削減する効果が期待されます。 ポイント④ 必要要件を整理して、アーキテクチャーを選択 最後のポイントは、ポイント①~③までの要件を整理した上で、適応可能なアーキテクチャーを選択することです。特 にアクセス制御機能とログ管理機能は、選択するアークテクチャーによって実装できない方式があることから、安易にア ーキテクチャーの観点だけで製品選定を行うと、誤った選択になりかねません。 たとえば、ゲートウェイ型の容易な展開を魅力に感じ、選定基準として先行的に決定してしまうと、アクセス制御方式、 ログ管理方式の選択肢がなくなることになります。弊社の推奨する進め方は、本ドキュメントにしましたポイントの順に 要件を整理し、最終的にその要求を満たすことができるアーキテクチャーを選択し、具体的な製品選定フェーズに進める 方法です。 Copyright© 2002-2013 Encourage Technologies Co., Ltd. All Rights Reserved. 11 実装方式とアーキテクチャーで比較する特権 ID 管理製品選定のポイント エンカレッジ・テクノロジの特権 ID 管理ソリューション 最後のセクションでは、特権 ID 管理ソリューションの選定候補として、エンカレッジ・テクノロジ社の特権 ID 管理ソ リューションをご紹介します。 エンカレッジ・テクノロジの特権 ID 管理ソリューション エンカレッジ・テクノロジ社の特 権 ID ソリューションは、同社のシ ス テ ム 運 用 管 理 製 品 群 「 ESS SmartIT Operation」を構成する主 に3つの製品によって構成されてい ます。この3つの製品は、特権 ID 管理のリスク要因を以下の図のよう な役割で分担することにより、総合 的な特権 ID 管理対策を実現するも のです。 アーキテクチャーと実装方式 前項までにご紹介した提供機能とその実装方式、採用するアーキテクチャーの観点では、以下のような内容となります。 提供機能 アクセス制御機能 ログ管理 実装方式 カバーする製品 アーキテクチャー 共有 ID ESS リモートエージェント型 貸出方式 AdminControl エンドポイント型 ログ収集方式 リモートエージェント型 主な特徴 リモートエージェントとエンドポイント型を組み 合わせて、エージェントを不要にした特権 ID 管理を実現 エンドポイントのアプリケーションが、パスワード を隠ぺいしたまま特権 ID をユーザーに貸し出 (ログイン) し ワークフローのログとシステムから収集したログ を突合し、未許可のアクセスの有無を突き合 わせするログ管理機能 ログ管理 (操作ログ) 独自ログ方式 ESS REC エンドポイント型 エージェント型 ゲートウェイ型 のいずれの方式でも 対応可能 Copyright© 2002-2013 Encourage Technologies Co., Ltd. All Rights Reserved. システム操作をデスクトップ画面の動画と テキストで記録 操作内容をリアルタイムに監視、違反操 作を検知し管理者へアラート 監査レポートの自動生成機能 12 実装方式とアーキテクチャーで比較する特権 ID 管理製品選定のポイント アクセス制御機能は、共有 ID 貸出方式を採用 前項までに示しました通り、アクセス制御機能には3つの方式がありますが、弊社では、共有 ID 貸出方式が最適 な方法と考え、実装方式として採用しました。 複数のアーキテクチャーを組み合わせることで、サーバーに影響を与えず必要機能を網羅 共有 ID 貸出機能、ログイン記録のログ収集機能は、リモートエージェント型とエンドポイント型のアーキテクチ ャーを組み合わせることで実現しました。エージェント型であれば、1つのアークテクチャーで実現可能ですが、 業務サーバーに新たな常駐プログラムをインストールすることに抵抗を示すお客様が多いことから、エージェント 型以外の方法で実現できるよう実装を工夫しています。 独自の操作ログ機能により、特権 ID の誤用・乱用の早期発見を効果的に担保 操作ログ内容は、システム標準の監査機能では、情報として不足するため、従来のテキスト形式のログに加え、操 作の状況を動画として再現可能な操作証跡の取得する機能を提供しました。加えて、事後の点検ではなく、即時的 な対応が可能になるようリアルタイムでの監視とルール違反検知・アラート機能を実現しました。 操作ログについては、アーキテクチャーをエンドポイント型、エージェント型、ゲートウェイ型の中でお客様が選 択可能な柔軟性を有している点も特徴の 1 つです。 主な付加価値機能 エンカレッジ・テクノロジの特権 ID 管理ソリューションは、前項の主要機能に加え、下表のような付加価値機能を提 供することで、さらに自動化・効率化を実現し、高度な特権 ID 管理を実現することができます。 付加価値機能 ワークフロー カバーする製品 SIO ワークフロー (ESS AdminControl、 ESS AutoAuditor に同梱) 主な特徴 システム作業における申請・承認から作業後の点検・監査まで 全てのプロセスをカバーする、システム管理業務に特化したワー クフロー ID 貸出やログ突合とシームレスに連携することで、人の介在を 極限まで排除し、特権 ID 管理を自動化 多段承認、グループ承認等承認ルートを柔軟に設定可能 ログ突合 ESS AdminControl (申請とログイン) ログ突合 ワークフロー上の申請・承認記録と、収集したサーバー上のログ イン記録を突合し、未許可のアクセスの有無を検出 ESS AutoAuditor (作業予定と作業結果) 承認された作業予定と作業中の操作記録を比較・突合し、 予定外の操作が行われていないかを解析、レポートに出力 次ページ以降、エンカレッジ・テクノロジの特権 ID 管理ソリューションを構成する各コンポーネント・製品の特徴に ついて解説します。 Copyright© 2002-2013 Encourage Technologies Co., Ltd. All Rights Reserved. 13 実装方式とアーキテクチャーで比較する特権 ID 管理製品選定のポイント SIO ワークフロー – システム管理業務に特化した申請承認ワークフロー SIO ワークフローは、システム管理業務に特化したワークフローシステムです。システム作業の申請、承認、作業報告、 報告内容の確認といった、システム管理業務の一連の流れをサポートします。以下のような点が特長です。 各コンポーネント間とのシームレスな連携 SIO ワ ー ク フ ロ ー は 、 ESS SmartIT Operation の各コンポーネントとシーム レスに連携、申請された作業のステータス に応じて、連携コンポーネントが自動的に タスクを実行するため、人手を介した業務 を削減できます。 例えば、作業申請が承 認されると、ESS AdminControl(EAC) が自動的に特権 ID を準備し、作業が終了 すると自動でパスワードをリセットし ID が使用できなくなるといった連携を行い ます。 シームレスな連携の重要性 アカウント管理とワークフローとの連携は、リスク管理上、非常に重要なポイントです。仮に単独で承認ステータ スのみ管理するワークフローと、特権 ID を管理する別々の仕組みがあったとします。ID 管理者はワークフローの各 申請内容のステータスを確認し、承認された内容に従い必要な特権 ID を手動で有効化するといった作業が発生しま す。また、終了した作業で使った ID を無効化することも必要です。これにより管理負荷が増すだけではなく、管理 ミスを招き、無効化し忘れたアカウントが不正に使用されるといったリスクも生じてしまいます。 また管理者が手動で ID を操作できるということは、権限を濫用するリスクが発生することにもなり、ID の管理者 に対する統制の仕組みが必要になります。 EAC は、特権 ID 貸出を SIO ワークフローとシームレスに連携させることで、人による ID 管理作業を完全に排除 し、管理負荷を下げるだけでなく、人が介在することで発生するリスクそのものをなくします。 柔軟な承認ルートの設定 SIO ワークフローはさまざまな組織や職務分掌規定に柔軟に対応します。 承認ルートは独自に設定することがで き、多段承認、グループ承認に対応します。また、承認ルートを複数作成し、作業内容によって異なる承認ルート を定義することも可能です。 業務による適切なアクセス管理が可能 SIO ワークフローでは「業務」という概念により、管理対象のシステムとシステム管理に関わる組織やユーザー、 作業内容に対する監査のポイントを 1 つのポリシーとして定義させることができます。それによりサーバーへのア クセス制御や、ユーザーが使用できる特権 ID の種類などを制限することができます。 Copyright© 2002-2013 Encourage Technologies Co., Ltd. All Rights Reserved. 14 実装方式とアーキテクチャーで比較する特権 ID 管理製品選定のポイント ESS AdminControl(EAC) – 安全で効率的な特権 ID 管理の貸し出し EAC は、システム操作に際し、特権 ID を安全で効率的に貸出すことで、不正使用を防止する特権 ID 管理ソリューショ ンです。 SIO ワークフローとの連携によって管理者が不要に EAC は SIO ワークフローとシームレスに 連携することで、アカウント管理者によ SIOワークフロー 作業申請 る特権 ID のマニュアル管理を不要にし 承認 作業 作業完了 ます。EAC は SIO ワークフロー上の申請 ESS AdminControl 内容を監視して、承認された申請の作業 定期パスワード 日時に合わせて必要な特権 ID を作業者 変更 特権ID自動貸出 特権ID自動返却 に貸出し、作業終了後に返却処理を行い ます。また、各特権 ID の定期パスワード変更や、サーバーからのログイン・ログオフのログ収集も定期スケジュ ールによって自動実行されます。 特権 ID のパスワードを隠ぺいしたまま貸出し EAC は、特権 ID を作業者に貸し出す際、パスワードを隠ぺいしたまま貸し出す仕組みを提供します。これにより、 パスワードが第三者に漏れ、不正アクセスの発生リスクを排除します。 承認され作業申請の中で作業者とし て指定されたユーザーだけに一覧が 表示される。 作業者A 作業者Aの個人 IDで認証 Aさんの作業一覧が 表示される 自動ログオン機能により特権ID のパスワードは隠ぺいされたま ま接続完了 操作対象のサービスに 自動接続 共有IDでも使用した個人を特 定できる履歴が残る パスワードは隠ぺいされて いるので、直接アクセスも できない × ログイン/ログオフの記録を収集し、未許可のアクセスを発見 EAC は定期的に管理対象サーバーのログイン/ログオフの記録を収集し、SIO ワークフローの申請履歴とを比較す ることで、未許可のアクセスの有無を確認するためのレポートを出力します。 作業者が特定できていな いログイン履歴。SIO ワー クフローで承認を得ず、不 正に操作された可能性が ある Copyright© 2002-2013 Encourage Technologies Co., Ltd. All Rights Reserved. 15 実装方式とアーキテクチャーで比較する特権 ID 管理製品選定のポイント ESS REC - システム操作を監視・記録する証跡管理ツールのデファクトスタンダード ESS REC は、システム操作の内容を監視及び克明な動画記録として保管し、監査用の証跡として活用するシステム証跡 監査ソリューションです。 リアルタイムの監視と 管理者に対するアラート システム操作内容を 克明に記録 記録の蓄積 動画とテキストによる克明な記録 ESS REC は、システム操作中のデスクトップ画像を動画として記録する他、画面表示文字列、キーボードタイピ ング、ファイル操作、ネットワークの状態など 20 項目以上のテキスト情報を記録します。記録した内容は管理の 使用する専用プレイヤーにより、動画の再生、早送り、巻き戻しなどを行いながら、操作中の様子を再現させるこ とができます。 使用ドライブ キーストローク アクティブウィン ドウタイトル 通信先 使用ポート 一覧 PC に接続 されている USB 機器 実行プログ ラム一覧 ファイル アクセス カスタム パターンマッチ アプリケーション 画面表示 文字 動画表示 ウィンドウ イベント リアルタイム 接続 コンピューター名 IPアドレス ユーザー名 再生・停止 ボタン 表示場面時刻 記録開始時刻 記録終了時刻 柔軟なシステム設計 ESS REC はお客様のシステム環境に合わせて、さまざまなバリエーションから柔軟にシステム構成を選択できま Copyright© 2002-2013 Encourage Technologies Co., Ltd. All Rights Reserved. 16 実装方式とアーキテクチャーで比較する特権 ID 管理製品選定のポイント す。操作を記録するためのエージェントプログラムは、操作を行うクライアント PC に導入することも、操作対象 のサーバーにインストールすることも可能です。また、操作端末とサーバー間の中継サーバーを設置して、中継サ ーバー上で記録を取得する構成にすることも可能です。 クライアント端末側で記録する場合には、UNIX/Linux は、ターミナルソフト(Tera Term)との連携によりサー バーに対するコマンド操作内容と実行結果をもれなく記録するほか、Windows サーバーには Remote Sensor Option という小規模なプログラムを稼働させることで、RDP 接続先の文字列情報も取得できます。 リアルタイム検知・アラート及び監視 ESS REC は、リアルタイムで操作を監視し、ポリシー違反の検知及びアラートアクションの実行が可能です。事 前に設定した”要注意操作”が行われると、管理者にメール送信するなどのアクションが実行されることにより、誤 操作・不正操作によるシステム障害など、ダメージを未然に防ぐことが可能です。 監査を効率化する検索・レポート機能 動画による操作記録は、操作内容の閲覧性、情報の克明性に優れますが、仮にすべての操作結果をチェックすると なると大変な負担になります。ESS REC は、動画+テキスト情報を取得しており、取得したテキスト情報を検索/ 分析することによって、「重要サーバーへのアクセス」、「要注意コマンドの使用」など、要点検個所のみを絞り 込むことが可能です。 ESS AutoAuditor(EAA)– システム操作の点検・照合を自動化する監査ソリューション EAC は、システム操作に関する点検・監査を自動化・効率化する監査ソリューションです。特権 ID 使用申請時に記載 されたシステム操作内容と実際の操作結果の記録を突き合わせ、承認されていない予定外操作の有無を検出しレポートと して出力します。これにより、特権 ID を使用した不正使用や誤操作、操作ミスを効率的に発見し、トラブルを未然に防 止する効果をもたらします。 ワークフロー申請内容に記述 リスクのある システム操作 実際の操作内容 突合結果のレポート表示 承認を受けた操作 ブラックリストとして事前に定義 突合処理 承認済の操作 未承認の操作 Copyright© 2002-2013 Encourage Technologies Co., Ltd. All Rights Reserved. 17 実装方式とアーキテクチャーで比較する特権 ID 管理製品選定のポイント SIO ワークフローとのシームレスな連携 EAA は、SIO ワークフローと自動連携します。EAA は、SIO ワークフローの申請のステータスを監視し、作業終 了した申請分より順次、操作記録との突合処理を実行します。実行後、突合結果はワークフロー上に記載されます。 自然文形式による作業内容に対応 EAA では、事前に要注意操作を「ブラックリスト」として定義します。それにより、作業申請時、作業内容を自 然文形式で記述しても、正しく突合することができます。ブラックリストは、正規表現を使用できますので、申請 時に記述される文章に表記ゆれがあったり、人によって表記の違いがあったりしても対応できます。 ESS REC の動画記録との綿密な連携 EAA の突合結果レポート上で「予定外の操作」として検出された箇所から、ドリルダウンにて記録再生プレーヤ ーが起動し、ESS REC の操作記録が呼び出され、該当箇所を頭出しして再生します。テキスト情報だけでは判断 が難しい監査についても、このような形で効率的に実施することが可能になります。 予定外の操作箇所は、ESS RECの記録再生プレーヤーを呼び出し、 頭出しをして再生することで何をしたのか、最終的に詳細確認が 可能になります。 Copyright© 2002-2013 Encourage Technologies Co., Ltd. All Rights Reserved. 18 実装方式とアーキテクチャーで比較する特権 ID 管理製品選定のポイント 2013 年 12 月 3 日 発行 エンカレッジ・テクノロジ株式会社 〒103-0007 東京都中央区日本橋浜町 3-3-2 トルナーレ日本橋浜町 7F URL : http://www.et-x.jp/ Phone : 03-5623-2622 Fax : 03-3660-5822 * 文中に記載されている会社名、商品・サービス名は、それぞれ各社の商標または登録商標です。 Copyright© 2002-2013 Encourage Technologies Co., Ltd. All Rights Reserved. 19