- ID管理
- サイバー攻撃
- ゼロトラスト
ID周りの課題がいっぱい!その背景と課題解決の捉え方
なぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えします。
|
■申請者
サーバへアクセスし、サーバ内で業務をおこないます。
サーバアクセスにあたっては、アクセスのための申請書作成から実施します。
■承認者
申請者からのサーバアクセス申請を確認し、正否を判断します。
■監査者
サーバアクセスの正当性、サーバ内作業の正当性などを確認します。
まずはじめに、利用したいサーバへアクセスするために用いるIDの利用申請をしてみましょう!申請は特権ID管理のソリューション、「iDoperation
」のWebコンソールから行います。が、このときのWebコンソールは、作業者のサーバ操作を転送された画面とすることでセキュリティ強度を担保したいと思います。そのため、まずは画面転送を利用するために、「Ericom Connect
」のWebコンソール(AccessPortal)へ接続します。
さらに、AccessPortalへの認証は多要素認証とするため、自動的に「Okta
」の認証画面にリダイレクトします。Oktaの認証画面にてID、パスワード認証後、専用のオンプレミスアプリで生成するワンタイムパスワードを用いた認証を行います。
|
Oktaでの認証が完了すると、AccessPortalにログインできます。
なおここでの多要素認証ですが、社外からのアクセス時のみおこない、社内からのアクセス時は省略するといったこともできます。
|
AccessPortal上で「iDoperation Web Console」を選択すると、動画取得用エージェントが導入された環境で
iDoperation Web コンソールが起動し、作業者にその画面が転送されます。転送された画面はWebブラウザで操作していきます。なお、ここからの操作はすべて動画記録されています。
|
iDoperation Webコンソールにログインすると、申請画面に遷移します。
ここで、「いつ、誰が、なんのために、どのサーバの、どのIDを使うか」を申請します。
(申請できるサーバは、事前に管理者にて申請可能として割り当てられたもののみとなります。)
|
ここまでで作業者の申請が完了しました。
申請が完了すると、承認者宛にメールが通知されます。承認者による判断が完了するまで待機します。
承認者は①と同じステップでアクセスしたiDoperation Web コンソールより申請内容を確認し、問題なければ利用承認します。承認されると、その旨が申請者にメールで通知されます。
利用申請が承認され、申請した利用時間になってはじめて、サーバへのアクセスが可能となります。サーバへのアクセスは必ずiDoperation Webコンソール経由となりますので、作業者は①と同様の手順でiDoperation Web コンソールへアクセスします。利用できるアクセスについては、「接続」ボタンをクリックすることで、自動的に対象サーバへのアクセスが開始されます。
|
対象のサーバがWindows Serverであれば、リモートデスクトップ接続が開始され、ID、パスワードが自動入力されます。(UNIX系OSであれはTera Termなどのクライアントツールで利用可)
|
このようにして、自動的にサーバへのログインが完了します。作業者はパスワードを知ることなくログインしていますので、パスワードが分からないことによって必ずiDoperationを使ったサーバアクセスに経路を限定できます。
|
なおこのリモートデスクトップ接続は、動画取得用エージェントが導入された環境で起動しており、その画面を
Ericomの画面転送技術によってWebブラウザ上で表示しています。動画や個人端末とのファイルのやり取り(ダウンロード、アップロード)、画面キャプチャの取得を禁止することができるので、対策もばっちりされています。
作業者のサーバでの操作は、すべて動画として記録されます。作業の監督者や監査人がそれを確認する際は、
iDoperation Webコンソールへログインし、対象日時や対象ユーザーなどから動画を検索し、再生できます。
|
|
以上のことを実現する一連の動作をサーバ構成図に当てはめてまとめると、以下のようになります。使っているのは複数のソフトウェアですが、リモートアクセスのセキュリティ課題を解決する総称としてして、アシストではセキュア・ワークスペース・ソリューションと呼称しています。
構成としてゲートウェイサーバは必須ではありませんが、業務サーバがクラウドに存在する場合などには、DMZ上にゲートウェイサーバを用意することで、作業者にゲートウェイサーバのURLを用いてAccessPortalを利用させることができます。
セキュア・ワークスペース・ソリューションの構成イメージ
|
セキュア・ワークスペース・ソリューションについては、お客様の環境における現在の対策状況や課題、ご要件次第で、一部のみや段階的な導入ができます。今回、ご紹介したセキュア・ワークスペース・ソリューションの構成は基本モデルに近いイメージですが、さらなるセキュリティ強化のために、追加で以下の要素をプラス(+)することもできます。
+サーバの脆弱性管理
+ファイルアクセス制御と不正ファイル操作のリアルタイム検知
+サーバへの不正ログインリアルタイム検知
アシストではより便利で安全なサーバ利用の実現に向けたご提案をさせていただきますので、リモートワークでの業務にセキュリティ課題をお持ちのお客様は、是非一度お声がけください。
以上、リモートでもセキュアなサーバアクセスが叶うセキュア・ワークスペース・ソリューションについて、実際のオペレーションをご紹介しました。以下のような課題を解消しつつ、セキュリティは担保しながらも、サーバ作業からあとで証跡を確認する作業まで、自然な操作でできることがおわかりいただけたらと思います!
1.サーバへのリモートアクセスが作業者本人であることの証明が難しい
⇒作業者の本人確認は多要素認証で可能とし、作業者は一連のフローからリダイレクトされた認証画面にて
自然な操作で行うことができる
2.作業者のリモートワーク端末への情報持ち出しをどう防ぐか難しい
⇒一連の画面は画面転送技術で行われ、設定上、クライアントに情報を持ち出せないようになっている
3.サーバ上で行われる作業の内容をどうチェックしたらよいか難しい
⇒サーバアクセスの利用申請はワークフローで自動化し、サーバへのログインに必要なパスワードは
作業者には秘匿化できる
⇒作業者のサーバ操作は動画で取得でき、コンソールから確認できる
また、上記以外にも対策の追加やカスタマイズは柔軟に対応可能です。
このセキュア・ワークスペース・ソリューションについて、価格や基本構成以外の内容も知りたい方は、以下に纏めた資料も併せてぜひご覧ください!
長谷川 まり
|
|
なぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えします。
従来のパッケージ版に加え、クラウド版もリリースしたiDoperation。高い可用性が求められるサーバーの特権ID管理もSaaSで利用できるようになったことで、今後ますます需要が増えそうです。
いずれ到来すると考えられるパスワード不要の世界を見据えた、今からできる認証強化の実現方法についてご紹介します。