ITセキュリティ女子のブログ

  • ID管理
  • 認証
2021.10.13

特権ID管理ツール「こういうのでいいんだよ」シェアNo.1の人気の理由

特権ID管理ツール「こういうのでいいんだよ」シェアNo.1の理由

みなさんこんにちは、長谷川まりです。

システムに対し、超強力な権限を持つ特権ID。今、安全性や効率性、監査対応の面でツールによる管理の自動化が推奨され、多くの企業で特権ID管理ツールの導入が進んでいます。市場には複数の特権ID管理ツールがあり、シェアNo.1(※)のツールは「iDoperation」です。なぜ人気があるのか、これまで複数の特権ID管理ソリューションを実現するソフトウェアを扱ってきた立場から、アシストが考える理由を3つご紹介します。

  • 富士キメラ総研「2014~2020ネットワーク セキュリティビジネス調査総覧」(2013年度~2019年度)

特権IDとは?なぜ管理が必要なのか

まずは、特権ID管理についておさらいしてみましょう!特権IDとは、WindowsのAdministrator、UNIX/Linuxのrootに代表される、強力な権限を持ったID(アカウント)です。主に、システム管理者が設定やシステムメンテナンス時のログインに使われますが、強力な権限があるIDなので、本当に必要な人が必要なログインにだけ使えて、他に漏れないようにしっかりと管理しなければなりません。昨今では、システムが次々と追加統合されたり、クラウド化も進むことでますます管理が複雑化し、ヒューマン・エラーも起こりやすくなっている状況のため、ツールやサービスを使って特権IDを管理する方法が推奨されています。既に市場には多くの特権ID管理ソリューションがあるので、どんなツールを選択すべきかを悩まれている方も多いかと思います。

アシストでは市場シェア7年連続No.1(※)を誇る「iDoperation」を取り扱っています。この記事では、アシストの長年の特権ID管理製品取り扱いの実績やお客様からの声により見えてきた「なぜiDoperationがシェアNo.1なのか?」人気の理由を3つご紹介したいと思います。

  • 出典:富士キメラ総研「2014 ~ 2020 ネットワーク セキュリティビジネス調査総覧」(2013 年度 ~ 2019 年度

人気の理由1:既存のシステムに影響しにくい構成が採用できる

まず1つめの理由は、導入時の影響です。特権ID管理をしたい対象の業務サーバは当然、重要なものが多くなるかと思いますが、極力、既存の構成に影響を与えないようにできると良いですよね。iDoperationは構成面で配慮がされています。

特権ID管理ツールの構成には、一般的にゲートウェイ方式とクライアント形式の2つに大別されます。どこで特権IDの貸し出し制御を行うか、どこからアクセスログを収集するか(管理対象の生ログ/ゲートウェイサーバのログ)」によって構成を選択しますが、iDoperationはクライアント方式を採用しています。どちらも、既存の業務サーバへエージェント類を導入する必要はありませんが、選択できる構成の柔軟さに違いがあります。

ゲートウェイ方式

特権ID管理サーバがゲートウェイとなり、作業端末から業務サーバまでのアクセス時に必ず特権ID管理サーバを経由するようになります。

●一般的なゲートウェイ構成

一般的なゲートウェイ構成


クライアント方式(iDoperationが該当)

作業端末に特権ID利用のためのクライアントを導入し、作業端末から業務サーバへ直接アクセスを行います。
踏み台サーバにのみクライアントを導入することで、踏み台サーバをゲートウェイと位置づける構成も可能です。

●一般的なクライアント構成

一般的なクライアント構成


ゲートウェイ方式の場合は、特権ID管理サーバ(ゲートウェイ)経由で業務サーバへのアクセスに限定されるため、操作PCへのクライアントツール導入や、動画取得用エージェントの導入が不要とできる場合が多くあります。ですが逆に言えば、特権IDを用いる際には必ず特権ID管理サーバ経由でのアクセスに限定されてしまい、ネットワーク的に特権IDサーバにアクセスできないPCなどからは、特権IDが利用できないこととなります。また、アクセスログの収集先も特権IDサーバとなるため、特権ID管理サーバを経由しないアクセスは検知ができません。

一方クライアント方式では、操作PCへのクライアントツール導入と、動画を取得する場合には対象となる環境へのエージェント導入が必要ですが、特権ID管理サーバ(ゲートウェイ)を経由する必要がなく、クライアントツール導入環境から直接、業務サーバへアクセスできます。クライアントツールや動画取得用エージェントの導入先は操作PC、踏み台サーバ、業務サーバから選択できるため、様々な特権IDの利用パターンにマッチできます。

また、Windowsサーバをゲートウェイに見立てて準備し、その環境のみにクライアントツールと動画取得用エージェントを導入することで、ゲートウェイ方式に見立てることが可能です。ゲートウェイ方式とクライアント方式のどちらが良いかはお客様の特権ID利用の運用やネットワーク構成によりますが、iDoperationはどちらにも対応できるのが良いところです。

●iDoperationが対応するゲートウェイ構成

iDoperationが対応するゲートウェイ構成


人気の理由2:豊富な機能と、選択しやすいライセンス

2つめの理由は、機能面です。特権IDの安全な利用には、利用者が申請し、しかるべき承認を受け、パスワードを借りる、という工程がありますね。これを一般的にツールとして自動化できるよう実装した場合、以下の機能が網羅されています。iDoperationもしかり、です。

このような基本機能がしっかり網羅されているとして、他のツールと比較する観点は、自社の運用に対し、機能が多すぎやしないか?(多すぎることがしばしばあります)、もしくは足りないのではないか?という点です。アシストでは、お客様に特権ID管理についてご相談をいただく際、以下の点を確認しています。

運用面

  • 自社の承認フローに適応できるか?
  • 自社の利用の実態に適応できるか?(頻度、範囲など)
  • パスワード秘匿貸し出しが、想定される接続先(OSなのかアプリケーションなのか等)をカバーできるか?
  • パスワード自動変更を許可する特権ID、許可しない特権IDを精査できるか?

監査面

  • 特権IDが正しく運用されているか点検できるか?誰が見ても見やすい形で点検できるか?
  • ログのレポート機能は充実しているか?

これらを確認する過程で、iDoperationが、多くの日本企業で求められる機能を有していることがわかります。
各サーバのID作成、削除といったID管理機能や、各サーバのアクセスログ管理機能により、申請情報と紐づけて正しく特権IDの貸し出しが行われているかを後からレポートで点検できますし、しかも、ユーザー操作のログはテキストだけでなく動画形式で取得する設定もできるので、完全で、誰でも見やすい形で確認することもできます。

そしてとても魅力的なのは、不要な機能で無駄なコストが掛かりすぎないよう、利用機能に応じた規模感でライセンスを購入できるところです。なるべく選びやすいように、という観点で、ライセンス体系が考えられています。

iDoperationのライセンス体系

A.ID管理、ワークフロー、パスワード秘匿貸し出し
B.Aに加え、アクセスログ管理(レポーティング)
C.Bに加え、動画取得(動画取得は単体でも導入可)

このようにiDoperationは、基本機能はもちろん、設定次第で、実態に即した多様な運用に対応できる機能とインターフェイスを有しています。豊富な運用パターンを自社にとってコストパフォーマンス良く実現できる点で好評です。なお、製品をうまく使いこなしたい!というご要望についても、アシストがしっかりと使いこなし方をレクチャいたします。

人気の理由3:国産ならではの「手の届く」サポート

iDoperationの開発元はNTTテクノクロス株式会社で、国産の製品です。製品の検討にあたっては、機能だけではなく「品質」「サポート対応」「拡張性」といった信頼性が求められますが、iDoperationはこれらにしっかりと応えます。実際に使ってみて特に感じていただけるのは、上記(理由2)でも触れましたが、日本企業での利用が想定された製品機能が網羅されていることと、ユーザーインターフェースが親しみやすく、直感的に利用しやすいこと、という点だと思います。

またiDoperationは、マニュアルやドキュメント類が豊富です。製品のインストールや設定は、管理者マニュアルや運用マニュアルを参照いただくだけで、スムーズに導入を完了されるお客様もいらっしゃいます。そのほか特徴的なのは、「監査対応マニュアル」の存在です。マニュアルというと、製品の機能がドライに説明されているイメージですが、それだけではなく、監査対応に向けて何を準備するべきかという観点でドキュメントが用意されていることが、開発元の、お客様のお悩みや課題に対する前向きな解決姿勢を感じてしまいます。

他にも、開発元の解決姿勢、という意味では、iDoperationは約半年に1度と比較的早いペースでマイナーバージョンがリリースされている点にも言えると思います。新たな脅威への対応、特権IDの管理対象の拡大(クラウドサービス等)、製品モジュールに含まれる脆弱性への対応、といった、セキュリティ対策製品にマストな対応が継続的に行われている、という信頼性があります。具体的な対応の内容には、常にお客様の声が連携され前向きに取り入れられています。さらに製品のサポート期間もメジャーバージョンのリリースから8年間となり、長く安心してご利用いただけるのも魅力です。

まりから一言

以上のように、iDoperationがなぜ特権ID管理ツールでのシェアがNo.1なのか、3つの理由を考えてみました。iDoperationは以下の理由から、多くのお客様にオススメできるソリューションです。

  • 既存のシステムに影響しにくい構成が採用できる
  • 日本の企業に必要な機能が用意され、コストパフォーマンス良く選択できる
  • 国産ならではの「手の届く」サポート

もう少し知りたいな、と思われる方へ、資料やデモ動画、まずはお試しで利用できる、無料ハンズオンウェビナーなどを個別に開催していますので、どうぞお気軽にご活用ください。


長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • 認証
  • ID管理
2021.02.09

IDaaSとは?(3)Active Directoryからの移行ロードマップ

さてIDaaSへ移行するとして、既存のActive Direcoryの扱いはどうしたら良いのでしょう?IDaaSへの移行ロードマップについて、押さえておきたいポイントを踏まえながらご紹介します。

  • 認証
  • ID管理
2021.01.20

SAMLとは?SAML認証の流れをRPG風に解説

シングルサインオンを実装する仕組みの1つであるSAML(サムル)。このSAMLを使った基本的なシングルサインオンの流れが楽しくイメージできるよう、RPG風のストーリーに仕立ててみました。

  • 認証
  • ID管理
2021.01.05

IDaaSとは?(2)IDaaSで何ができるの?

IDaaSは、オンプレミス縮小とクラウドシフトの渦中において、ITリソース利用時に快適で安全な本人確認の手段を提供する「認証基盤」です。具体的にどんな機能があって、どんな期待効果があるのかを解説します。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

ページの先頭へ戻る