ITセキュリティ女子のブログ

  • ID管理
  • 認証
2021.12.08

リモートアクセスで対応できる業務を増やしたい! (後編)セキュリティ強化後の利用イメージ

リモートアクセスで対応できる業務を増やしたい! (後編)セキュリティ強化後の利用イメージ

皆さんこんにちは。長谷川まりです。

先日の記事(「リモートアクセスで対応できる業務を増やしたい!前編 」)で、「セキュリティ上の課題があるから」と、リモートでサーバにアクセスができない課題について解決策をご紹介しました。今回は、サーバ作業者のオペレーションについて、実際の手順のイメージをご紹介します。

まず、この手順での登場人物を簡単にご紹介します。

■申請者
 サーバへアクセスし、サーバ内で業務をおこないます。
 サーバアクセスにあたっては、アクセスのための申請書作成から実施します。
 
■承認者
 申請者からのサーバアクセス申請を確認し、正否を判断します。
  
■監査者
 サーバアクセスの正当性、サーバ内作業の正当性などを確認します。

1.サーバアクセスの利用申請 <申請者の操作>

まずはじめに、利用したいサーバへアクセスするために用いるIDの利用申請をしてみましょう!申請は特権ID管理のソリューション、「iDoperation 」のWebコンソールから行います。が、このときのWebコンソールは、作業者のサーバ操作を転送された画面とすることでセキュリティ強度を担保したいと思います。そのため、まずは画面転送を利用するために、「Ericom Connect 」のWebコンソール(AccessPortal)へ接続します。

さらに、AccessPortalへの認証は多要素認証とするため、自動的に「Okta 」の認証画面にリダイレクトします。Oktaの認証画面にてID、パスワード認証後、専用のオンプレミスアプリで生成するワンタイムパスワードを用いた認証を行います。

Oktaログインイメージ

Oktaログイン認証画面

Oktaでの認証が完了すると、AccessPortalにログインできます。
なおここでの多要素認証ですが、社外からのアクセス時のみおこない、社内からのアクセス時は省略するといったこともできます。

AccessPortal画面

ログイン後のAccessPortal画面

AccessPortal上で「iDoperation Web Console」を選択すると、動画取得用エージェントが導入された環境で
iDoperation Web コンソールが起動し、作業者にその画面が転送されます。転送された画面はWebブラウザで操作していきます。なお、ここからの操作はすべて動画記録されています。

ポップアップ

記録されている旨のポップアップが出ます

iDoperation Webコンソールにログインすると、申請画面に遷移します。
ここで、「いつ、誰が、なんのために、どのサーバの、どのIDを使うか」を申請します。
(申請できるサーバは、事前に管理者にて申請可能として割り当てられたもののみとなります。)

iDoperationの申請画面

iDoperationの申請画面

ここまでで作業者の申請が完了しました。
申請が完了すると、承認者宛にメールが通知されます。承認者による判断が完了するまで待機します。

2.サーバアクセスの利用承認 <承認者の操作>

承認者は①と同じステップでアクセスしたiDoperation Web コンソールより申請内容を確認し、問題なければ利用承認します。承認されると、その旨が申請者にメールで通知されます。

3. サーバへのパスワード秘匿ログイン <申請者の操作>

利用申請が承認され、申請した利用時間になってはじめて、サーバへのアクセスが可能となります。サーバへのアクセスは必ずiDoperation Webコンソール経由となりますので、作業者は①と同様の手順でiDoperation Web コンソールへアクセスします。利用できるアクセスについては、「接続」ボタンをクリックすることで、自動的に対象サーバへのアクセスが開始されます。

接続先リスト

オートログイン可能な情報が表示されています

対象のサーバがWindows Serverであれば、リモートデスクトップ接続が開始され、ID、パスワードが自動入力されます。(UNIX系OSであれはTera Termなどのクライアントツールで利用可)

ログイン画面

ID/PW入力不要でサーバにログイン完了

このようにして、自動的にサーバへのログインが完了します。作業者はパスワードを知ることなくログインしていますので、パスワードが分からないことによって必ずiDoperationを使ったサーバアクセスに経路を限定できます。

リモートデスクトップ

ログイン後のリモートデスクトップ画面

なおこのリモートデスクトップ接続は、動画取得用エージェントが導入された環境で起動しており、その画面を
Ericomの画面転送技術によってWebブラウザ上で表示しています。動画や個人端末とのファイルのやり取り(ダウンロード、アップロード)、画面キャプチャの取得を禁止することができるので、対策もばっちりされています。

4.証跡確認 <監査者の操作>

作業者のサーバでの操作は、すべて動画として記録されます。作業の監督者や監査人がそれを確認する際は、
iDoperation Webコンソールへログインし、対象日時や対象ユーザーなどから動画を検索し、再生できます。

動画再生用Web コンソール

動画再生用Web コンソール

動画再生画面 (Windowsサーバ の操作)

動画再生画面(Windowsサーバの操作)


動作と構成

以上のことを実現する一連の動作をサーバ構成図に当てはめてまとめると、以下のようになります。使っているのは複数のソフトウェアですが、リモートアクセスのセキュリティ課題を解決する総称としてして、アシストではセキュア・ワークスペース・ソリューションと呼称しています。

構成としてゲートウェイサーバは必須ではありませんが、業務サーバがクラウドに存在する場合などには、DMZ上にゲートウェイサーバを用意することで、作業者にゲートウェイサーバのURLを用いてAccessPortalを利用させることができます。

セキュア・ワークスペース・ソリューションの構成イメージ

セキュア・ワークスペース・ソリューションの構成イメージ

セキュア・ワークスペース・ソリューションについては、お客様の環境における現在の対策状況や課題、ご要件次第で、一部のみや段階的な導入ができます。今回、ご紹介したセキュア・ワークスペース・ソリューションの構成は基本モデルに近いイメージですが、さらなるセキュリティ強化のために、追加で以下の要素をプラス(+)することもできます。

+サーバの脆弱性管理 
+ファイルアクセス制御と不正ファイル操作のリアルタイム検知
+サーバへの不正ログインリアルタイム検知

アシストではより便利で安全なサーバ利用の実現に向けたご提案をさせていただきますので、リモートワークでの業務にセキュリティ課題をお持ちのお客様は、是非一度お声がけください。

まりから一言

以上、リモートでもセキュアなサーバアクセスが叶うセキュア・ワークスペース・ソリューションについて、実際のオペレーションをご紹介しました。以下のような課題を解消しつつ、セキュリティは担保しながらも、サーバ作業からあとで証跡を確認する作業まで、自然な操作でできることがおわかりいただけたらと思います!

1.サーバへのリモートアクセスが作業者本人であることの証明が難しい
  ⇒作業者の本人確認は多要素認証で可能とし、作業者は一連のフローからリダイレクトされた認証画面にて
   自然な操作で行うことができる

2.作業者のリモートワーク端末への情報持ち出しをどう防ぐか難しい
  ⇒一連の画面は画面転送技術で行われ、設定上、クライアントに情報を持ち出せないようになっている

3.サーバ上で行われる作業の内容をどうチェックしたらよいか難しい
  ⇒サーバアクセスの利用申請はワークフローで自動化し、サーバへのログインに必要なパスワードは
   作業者には秘匿化できる
   ⇒作業者のサーバ操作は動画で取得でき、コンソールから確認できる

また、上記以外にも対策の追加やカスタマイズは柔軟に対応可能です。
このセキュア・ワークスペース・ソリューションについて、価格や基本構成以外の内容も知りたい方は、以下に纏めた資料も併せてぜひご覧ください!

セキュア・ワークスペース・ソリューションについて、もっと詳しく知りたい方へ

セキュア・ワークスペース・ソリューション

A3サイズ、両面

構成例と参考価格がわかる資料をダウンロードいただけます。

簡単な情報のご登録のみで、すぐにダウンロードいただけます。直接のご相談は、お問い合わせボタンから、「セキュア・ワークスペース・ソリューションについて」とご記載ください。オンラインでのお打ち合わせも勿論可能ですので、お気軽にお申しつけください。



長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • ID管理
  • 認証
2021.12.03

リモートアクセスで対応できる業務を増やしたい!(前編) 3つのセキュリティ課題と解決方法

テレワーク導入も広がる中、「セキュリティ上の課題があるからリモートでアクセスできない」と、出社せざるを得ない業務もあるのではないでしょうか?その課題を見直しながら、アシストでご提案できるソリューションをご紹介します。

  • 認証
2021.11.19

SalesforceによるMFA(多要素認証)必須化は、認証の世界に何をもたらすのか

2022年2月より、Salesforceへのアクセスに必須となったMFA(多要素認証)。なぜ今「MFA」なのか?今後、認証の世界に何らかの変化があるのか?ということについて考察します。

  • ID管理
  • 認証
2021.10.13

特権ID管理ツール「こういうのでいいんだよ」シェアNo.1の人気の理由

安全性や効率性、監査対応の面から多くの企業で導入が進んでいる特権ID管理ツール。市場に多くの特権ID管理ツールがある中、「iDoperation」がなぜシェアNo.1なのか、3つの理由をご紹介します。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

ページの先頭へ戻る