TOP>製品/サービス>課題から探す>【特権ID管理】広がる適用範囲、新たな課題

【特権ID管理】広がる適用範囲、新たな課題

IT基盤の変化と特権IDの課題

ハイブリッドクラウドの普及、自動化の波

従来、組織のIT基盤はオンプレミス型が主流でした。
その後クラウドの活用が一般的となり、現在では、従来型のIT基盤を維持しつつ、クラウドコンピューティングを利用する「ハイブリッドクラウド」が、多くの企業で見られるようになりました。また働き方改革が進み、社外での業務が当たり前となる中、労働力を確保するため、RPAやRBAといった自動化の波も押し寄せてきています。

このようにセキュリティ対策の範囲がますます広がる中、最も重要な課題の1つが、多様化する環境に分散し、増え続ける「特権ID」の管理です。

新たな課題、迫られる多様化への対応

「root」や「Administrator」といった特権IDは、非常に高い権限を持ちます。そのため、故意、不注意に関わらず、不正利用されることでシステムへのダメージが大きくなります。

そのため他のIDよりも厳重な管理が問われますが、下記<特権IDに関する課題>にピンク色で示した「IT環境やニーズ変化」の課題を含め、特権ID管理をめぐる課題はますます多様化し、一般的な特権ID管理ソリューションでは解決できなくなってきました。

<特権IDに関する課題> ※アシスト調査

監査対応 1 特権IDの利用状況が把握できない 内部不正アクセス 9 共通ID利用時に犯人特定できない
2 不正なIDが残ったままになっている 10 不正行為の操作内容が分からない
3 不要なログインを把握できない 11 重要サーバへアクセスできてしまう
4 不要な権限が付与されてもわからない 12 不正があったことに気付けない
5 操作内容が把握できていない 13 不正発覚後の詳細調査ができない
6 パスワードが定期変更されていない 14 パスワードが周知され自由にログインされる
7 共通IDの利用者が特定できない 15 存在すべきでない不正IDが利用される
8 過去の情報を参照できない 16 ユーザに権限を与え過ぎている
標的型攻撃 17 サーバに直接アクセスされる 環境・ニーズ変化 25 仮想環境、IoT機器、クラウド環境の特権IDに対する管理ができない
18 操作内容を改ざんされる
19 攻撃があったことに気付けない 26 自動化を推進するにあたって、プログラム内のパスワード参照リスクが拡大
20 申請がないのにログインされてしまう
21 キャッシュしたパスワードを利用される 27 自宅や社外から接続できるようになり、アクセス制御の重要性が増している
22 マルウェアに不正IDを作成される
23 マルウェア感染が拡大してしまう 28 集中管理を行うため、アクセスできる人の厳密な本人確認が必要とされる
24 機密情報へアクセスされる

特権ID管理から特権アクセス管理へ

このように、環境・ニーズ変化による新たな課題に対応するためには、幅広い環境に対応し、なるべく機能が豊富であり、それが目的に応じて選択できなければなりません。

・幅広い環境要件に対応可能
・機能が豊富
・目的に応じて選択可能

アシストでは数あるソフトウェアから、従来の特権ID管理では解決できなかった課題も含めた新しいソリューションを選定しました。これを従来の特権ID管理を拡張した特権アクセス管理ソリューションと呼び、以下に挙げた特権IDに関する課題すべてに対し有効な解決策を提供します。

<特権IDに関する課題 (リンク先:特権アクセス管理ソリューションによる解決方法)

監査対応 1 特権IDの利用状況が把握できない 内部不正アクセス 9 共通ID利用時に犯人特定できない
2 不正なIDが残ったままになっている 10 不正行為の操作内容が分からない
3 不要なログインを把握できない 11 重要サーバへアクセスできてしまう
4 不要な権限が付与されてもわからない 12 不正があったことに気付けない
5 操作内容が把握できていない 13 不正発覚後の詳細調査ができない
6 パスワードが定期変更されていない 14 パスワードが周知され自由にログインされる
7 共通IDの利用者が特定できない 15 存在すべきでない不正IDが利用される
8 過去の情報を参照できない 16 ユーザに権限を与え過ぎている
標的型攻撃 17 サーバに直接アクセスされる 環境・ニーズ変化 25 仮想環境、IoT機器、クラウド環境の特権IDに対する管理ができない
18 操作内容を改ざんされる
19 攻撃があったことに気付けない 26 自動化を推進するにあたって、プログラム内のパスワード参照リスクが拡大
20 申請がないのにログインされてしまう
21 キャッシュしたパスワードを利用される 27 自宅や社外から接続できるようになり、アクセス制御の重要性が増している
22 マルウェアに不正IDを作成される
23 マルウェア感染が拡大してしまう 28 集中管理を行うため、アクセスできる人の厳密な本人確認が必要とされる
24 機密情報へアクセスされる

4つの解決策と特権アクセス管理のメリット

1.認証情報の一元管理とワークフロー

特権アクセス管理の強固な基盤

以下5つの対策で、あらゆるデバイスに存在する特権IDの認証情報を一元管理するとともに、ワークフローによるログイン強化を実装します。

実現イメージ

1-1:人による不正行為、マルウェアによる特権ID窃取への対策

特権IDのパスワード管理をワークフローによる申請/承認でワンタイムかつ自動化し、パスワードを隠ぺいした状態で自動ログインすることで、特権IDによる不正ログインのリスクを排除します。

(解決できる課題)

監査対応 1 特権IDの利用状況が把握できない
6 パスワードが定期変更されていない
7 共通IDの利用者が特定できない
内部不正アクセス 9 共通ID利用時に犯人特定できない
14 パスワードが周知され自由にログインされる
標的型攻撃 20 申請がないのにログインされてしまう
21 キャッシュしたパスワードを利用される

1-2:利用者の不正抑止

各業務サーバへのアクセス経路を1本化し、誰が見てもわかりやすい動画ログ機能により、特権IDの操作内容を記録します。

(解決できる課題)

監査対応 5 操作内容が把握できていない
内部不正アクセス 10 不正行為の操作内容が分からない
13 不正発覚後の詳細調査ができない
標的型攻撃 17 サーバに直接アクセスされる

1-3:プログラム内の埋め込みパスワードリスクに対処

(解決できる課題)

環境・ニーズ変化 26 自動化を推進するにあたって、プログラム内のパスワード参照リスクが拡大

業務自動化処理のために作成されたプログラムに埋め込まれていたパスワードを隠ぺいします。

1-4:仮想環境、クラウド、IoT機器などの管理

仮想OSだけでなく、クラウドの管理コンソール、IoT機器などIPアドレスを持つあらゆるデバイスの特権IDを一元管理します。

(解決できる課題)

環境・ニーズ変化 25 仮想環境、IoT機器、クラウド環境の特権IDに対する管理ができない

1-5:不正IDの早期発見

ID自動検知機能で、特権IDのアカウントを定期的に収集し、不正・不要なIDの存在を発見します。

(解決できる課題)

監査対応 2 不正なIDが残ったままになっている
内部不正アクセス 15 存在すべきでない不正IDが利用される
16 ユーザに権限を与え過ぎている
標的型攻撃 22 マルウェアに不正IDを作成される

2.サーバログイン後のアクセス制御

情報漏洩を未然に防止する強力な保護基盤を構築

エージェントを導入することで、 OSでは満たせない特権アカウント単位での細かなサーバのアクセス制御、通信制御による制限、および全ての操作に関して改ざんできないログを取得します。

root,Administratorに対しても制御を行うことで、監査対応、内部不正アクセス、標的型攻撃、環境・ニーズ変化で起こる様々な課題に対応することができます。

実装イメージ

(解決できる課題)

監査対応 4 不要な権限が付与されてもわからない
5 操作内容が把握できていない
内部不正アクセス 10 不正行為の操作内容が分からない
11 重要サーバへアクセスできてしまう
16 ユーザに権限を与え過ぎている
標的型攻撃 18 申請がないのにログインされてしまう
23 マルウェア感染が拡大してしまう
24 機密情報へアクセスされる
環境・ニーズ変化 27 自宅や社外から接続できるようになり、アクセス制御の重要性が増している

3.不正ログインのリアルタイム検知

インシデント対応、監査対応を効率化

各種サーバからのOSのログイン/ログアウトのログを収集し、不正ログインを検知してリアルタイムに管理者に通知します(※)。またログ管理サーバにて保管したログイン/ログアウト/OS操作ログは、改ざんできないログとして長期保管し、いつでも調査・分析ができるようにします。

不正ログインのレポートを作成すれば、インシデント対応や監査対応の効率化にもつながります。

実装イメージ

  • 不正ログイン検知は、仮想環境のログインに対しては検知ができません。また、リアルタイム検知の可否は、ログインログを収集する環境に依存しますので、あらかじめご了承ください。

(解決できる課題)

監査対応
3 不要なログインを把握できない
8 過去の情報を参照できない
内部不正アクセス 12 不正があったことに気付けない
標的型攻撃 19 攻撃があったことに気付けない

4.多要素認証、二経路認証

厳格な本人認証を実現

多要素認証、二経路認証で認証強化を行うことで、特権アクセス管理サーバにログインするユーザのなりすましを防止することができます。
認証経路を二経路とする、パスコード+指紋認証などの二要素とするなど、厳格な本人確認を可能にします。

実現イメージ

(解決できる課題)

環境・ニーズ変化 28 集中管理を行うため、アクセスできる人の厳密な本人確認が必要とされる

(まとめ)特権アクセス管理のメリット、詳しい資料のダウンロードとお問い合わせ

「仮想セキュリティルーム」として利用可能

以上、特権アクセス管理ソリューションをご紹介しました。
特権アクセス管理を実装することで、特権IDを厳格に管理でき、不正アクセスや情報漏洩の可能性を最小化し、監査にも有効な証跡を取得できます。

これにより物理的なセキュリティルームを用意しなくても、監視カメラや入退出管理をしっかりと備えたセキュリティルームのように、サーバデータの持ち出しを厳格に防止します。


なお、この記事ではご覧いただけていない特権アクセス管理の全体像がわかるシステム構成図を、以下から無料でダウンロードいただけますので、ぜひご利用ください。


  • 登録済みの方は以下からログイン、新規の方はお客様情報のご登録のみお願いします。

◎特権アクセス管理ソリューション システム構成図をダウンロードする

特権アクセス管理ソリューションのシステム構成図
(A3両面、1枚)

「特権アクセス管理ソリューション/特権アクセス管理ソリューション システム構成図」

◎価格、構成を今すぐ知りたい


セキュリティに関するその他の課題

ページの先頭へ戻る