- ID管理
- サイバー攻撃
- ゼロトラスト
ID周りの課題がいっぱい!その背景と課題解決の捉え方
なぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えします。
|
|
まずは、特権ID管理についておさらいしてみましょう!特権IDとは、WindowsのAdministrator、UNIX/Linuxのrootに代表される、強力な権限を持ったID(アカウント)です。主に、システム管理者が設定やシステムメンテナンス時のログインに使われますが、強力な権限があるIDなので、本当に必要な人が必要なログインにだけ使えて、他に漏れないようにしっかりと管理しなければなりません。昨今では、システムが次々と追加統合されたり、クラウド化も進むことでますます管理が複雑化し、ヒューマン・エラーも起こりやすくなっている状況のため、ツールやサービスを使って特権IDを管理する方法が推奨されています。既に市場には多くの特権ID管理ソリューションがあるので、どんなツールを選択すべきかを悩まれている方も多いかと思います。
アシストでは市場シェア7年連続No.1(※)を誇る「iDoperation」を取り扱っています。この記事では、アシストの長年の特権ID管理製品取り扱いの実績やお客様からの声により見えてきた「なぜiDoperationがシェアNo.1なのか?」人気の理由を3つご紹介したいと思います。
まず1つめの理由は、導入時の影響です。特権ID管理をしたい対象の業務サーバは当然、重要なものが多くなるかと思いますが、極力、既存の構成に影響を与えないようにできると良いですよね。iDoperationは構成面で配慮がされています。
特権ID管理ツールの構成には、一般的にゲートウェイ方式とクライアント形式の2つに大別されます。どこで特権IDの貸し出し制御を行うか、どこからアクセスログを収集するか(管理対象の生ログ/ゲートウェイサーバのログ)」によって構成を選択しますが、iDoperationはクライアント方式を採用しています。どちらも、既存の業務サーバへエージェント類を導入する必要はありませんが、選択できる構成の柔軟さに違いがあります。
特権ID管理サーバがゲートウェイとなり、作業端末から業務サーバまでのアクセス時に必ず特権ID管理サーバを経由するようになります。
●一般的なゲートウェイ構成
|
|
作業端末に特権ID利用のためのクライアントを導入し、作業端末から業務サーバへ直接アクセスを行います。
踏み台サーバにのみクライアントを導入することで、踏み台サーバをゲートウェイと位置づける構成も可能です。
●一般的なクライアント構成
|
|
ゲートウェイ方式の場合は、特権ID管理サーバ(ゲートウェイ)経由で業務サーバへのアクセスに限定されるため、操作PCへのクライアントツール導入や、動画取得用エージェントの導入が不要とできる場合が多くあります。ですが逆に言えば、特権IDを用いる際には必ず特権ID管理サーバ経由でのアクセスに限定されてしまい、ネットワーク的に特権IDサーバにアクセスできないPCなどからは、特権IDが利用できないこととなります。また、アクセスログの収集先も特権IDサーバとなるため、特権ID管理サーバを経由しないアクセスは検知ができません。
一方クライアント方式では、操作PCへのクライアントツール導入と、動画を取得する場合には対象となる環境へのエージェント導入が必要ですが、特権ID管理サーバ(ゲートウェイ)を経由する必要がなく、クライアントツール導入環境から直接、業務サーバへアクセスできます。クライアントツールや動画取得用エージェントの導入先は操作PC、踏み台サーバ、業務サーバから選択できるため、様々な特権IDの利用パターンにマッチできます。
また、Windowsサーバをゲートウェイに見立てて準備し、その環境のみにクライアントツールと動画取得用エージェントを導入することで、ゲートウェイ方式に見立てることが可能です。ゲートウェイ方式とクライアント方式のどちらが良いかはお客様の特権ID利用の運用やネットワーク構成によりますが、iDoperationはどちらにも対応できるのが良いところです。
●iDoperationが対応するゲートウェイ構成
|
|
2つめの理由は、機能面です。特権IDの安全な利用には、利用者が申請し、しかるべき承認を受け、パスワードを借りる、という工程がありますね。これを一般的にツールとして自動化できるよう実装した場合、以下の機能が網羅されています。iDoperationもしかり、です。
このような基本機能がしっかり網羅されているとして、他のツールと比較する観点は、自社の運用に対し、機能が多すぎやしないか?(多すぎることがしばしばあります)、もしくは足りないのではないか?という点です。アシストでは、お客様に特権ID管理についてご相談をいただく際、以下の点を確認しています。
これらを確認する過程で、iDoperationが、多くの日本企業で求められる機能を有していることがわかります。
各サーバのID作成、削除といったID管理機能や、各サーバのアクセスログ管理機能により、申請情報と紐づけて正しく特権IDの貸し出しが行われているかを後からレポートで点検できますし、しかも、ユーザー操作のログはテキストだけでなく動画形式で取得する設定もできるので、完全で、誰でも見やすい形で確認することもできます。
そしてとても魅力的なのは、不要な機能で無駄なコストが掛かりすぎないよう、利用機能に応じた規模感でライセンスを購入できるところです。なるべく選びやすいように、という観点で、ライセンス体系が考えられています。
A.ID管理、ワークフロー、パスワード秘匿貸し出し
B.Aに加え、アクセスログ管理(レポーティング)
C.Bに加え、動画取得(動画取得は単体でも導入可)
このようにiDoperationは、基本機能はもちろん、設定次第で、実態に即した多様な運用に対応できる機能とインターフェイスを有しています。豊富な運用パターンを自社にとってコストパフォーマンス良く実現できる点で好評です。なお、製品をうまく使いこなしたい!というご要望についても、アシストがしっかりと使いこなし方をレクチャいたします。
iDoperationの開発元はNTTテクノクロス株式会社で、国産の製品です。製品の検討にあたっては、機能だけではなく「品質」「サポート対応」「拡張性」といった信頼性が求められますが、iDoperationはこれらにしっかりと応えます。実際に使ってみて特に感じていただけるのは、上記(理由2)でも触れましたが、日本企業での利用が想定された製品機能が網羅されていることと、ユーザーインターフェースが親しみやすく、直感的に利用しやすいこと、という点だと思います。
またiDoperationは、マニュアルやドキュメント類が豊富です。製品のインストールや設定は、管理者マニュアルや運用マニュアルを参照いただくだけで、スムーズに導入を完了されるお客様もいらっしゃいます。そのほか特徴的なのは、「監査対応マニュアル」の存在です。マニュアルというと、製品の機能がドライに説明されているイメージですが、それだけではなく、監査対応に向けて何を準備するべきかという観点でドキュメントが用意されていることが、開発元の、お客様のお悩みや課題に対する前向きな解決姿勢を感じてしまいます。
他にも、開発元の解決姿勢、という意味では、iDoperationは約半年に1度と比較的早いペースでマイナーバージョンがリリースされている点にも言えると思います。新たな脅威への対応、特権IDの管理対象の拡大(クラウドサービス等)、製品モジュールに含まれる脆弱性への対応、といった、セキュリティ対策製品にマストな対応が継続的に行われている、という信頼性があります。具体的な対応の内容には、常にお客様の声が連携され前向きに取り入れられています。さらに製品のサポート期間もメジャーバージョンのリリースから8年間となり、長く安心してご利用いただけるのも魅力です。
以上のように、iDoperationがなぜ特権ID管理ツールでのシェアがNo.1なのか、3つの理由を考えてみました。iDoperationは以下の理由から、多くのお客様にオススメできるソリューションです。
もう少し知りたいな、と思われる方へ、資料やデモ動画、まずはお試しで利用できる、無料ハンズオンウェビナーなどを個別に開催していますので、どうぞお気軽にご活用ください。
長谷川 まり
|
|
なぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えします。
従来のパッケージ版に加え、クラウド版もリリースしたiDoperation。高い可用性が求められるサーバーの特権ID管理もSaaSで利用できるようになったことで、今後ますます需要が増えそうです。
いずれ到来すると考えられるパスワード不要の世界を見据えた、今からできる認証強化の実現方法についてご紹介します。
