エンドポイントセキュリティ ③ 特権ID管理

リモートワークが当たり前の時代になると、管理者がテレワーク先からAdministrator、rootなどの高レベルの権限を持った特権IDを使用する機会が増え、クラウドをはじめ、利用環境の拡大に伴い特権IDの数も種類も増大しています。この特権IDが、サイバー攻撃や、内部犯行によって万が一不正利用されるような事態が発生すれば、甚大な被害が予想されるため、徹底した厳しい管理が必要です。

シーイーシーカスタマサービスの特権ID管理のソリューションでは、下記の対策が主なポイントとなります。

(1) クラウドサービスを含むあらゆる特権IDを統合管理

リモートで特権IDを管理するには、どこからでもアクセス可能なWebブラウザで一元管理できることが理想です。

この特権ID管理のソリューションは、ターゲットからすべてのアカウントを自動同期することで、アカウント管理を簡単に始めることができ、Web Consoleからすべてのターゲットのアカウントを統合管理できます。

AWSやAzureなどクラウドサービスの特権ID管理にも対応しており、アクセス元で特権IDの貸出しを行うクライアント型の特権IDの管理ツールであるため、アクセス経路が限定できない環境でもアクセス制御が行えます。

ターゲットをグループ分けして管理することができ、ターゲットにはOS、AD、DB、仮想ソフトウェア、クラウドサービスを登録することができます。アカウント追加は、画面からの個別登録と、CSVを使った一括登録が可能です。

(2) 特権IDが不正使用されていないかを点検

特権IDの使用にあたって、利用者が申請通りの作業期間や内容で使用されているかを確認することは、権限を使用して不正が行われていないかを明確にするためにも厳格なチェックが必要です。

この特権ID管理では、作業申請とアクセスログを突合せ点検して、申請に基づいた利用が行われているかの確認と、未承認で使用された特権でのアクセスを発見することができます。

定期的な点検によるレポートのサマリー部分を確認するだけで、問題の有無を把握することができ、点検結果に警告や問題があった場合には、管理者宛にメールでの自動通知が行えます。

(3) 疑わしい特権ID利用の操作は、動画で確認

点検結果に警告や問題があった場合に、特権IDを使って実際にはどのようば操作が行われたのか知るには、それぞれの詳細な操作ログが必要です。

この特権ID管理のソリューションで、操作ログ管理機能を使うとユーザの操作を動画で記録することができます。アクセスログ管理機能と操作ログ管理機能を合わせて利用すると、利用点検のレポートから、該当アクセスの操作ログを動画で確認することができます。問題があったアクセスに絞り、ユーザが操作した画面を再現しながら確認できるため、効率的な点検が行えます。

動画再生の画面の横に、テキストの操作ログを連動して表示できるため、 ユーザ操作を動画で確認しながら、実際に行われている操作をテキストログでも時系列に確認することができます。

動画での画面操作に加え、キー入力、プロセス起動、ウィンドウタイトル、USBデバイスの抜き差しなどの操作もテキスト形式で確認できます。

(4) 特権IDの貸出しに際しシステム毎にワークフローで承認

特権IDは、システムの変更等に対し特別な権限を有しているため、その使用を許可するためには通常それぞれの組織の承認ルートに即した形で、利用申請・利用承認のルールに基づく承認申請の手続きが必要です。

この特権ID管理では、特権IDの貸出ルールに従い、ワークフローで特権IDの利用申請を受け付けることができます。特権IDの貸出は、利用期間と、特権ユーザ、利用目的、作業内容、利用する特権IDを明確にして申請を行います。 申請と承認に基づき特権IDを貸出すことで、許可を与えた特権ユーザだけに特権ID を貸出すことはもちろん、いつ、誰が、どのような目的で、どのような作業をするのか記録を残すことができます。
申請者による利用申請が完了すると、事前にターゲットごとに設定されているワークフローに基づいた承認者に承認依頼が通知され、承認者は、申請内容を確認し承認を行います。 ワークフローでは、承認者が複数の申請書の詳細を1つの画面で確認することができ、まとめて承認することができるため、承認者の負荷も軽減します。

ワークフローの設定では、システムごとに、ワークフローの設定を分けることができ最大9 段階承認申請ができる承認ルート、緊急申請を許可すること、また、緊急申請時には最大貸出期間、申請受付開始日、最大貸出日数、貸出方法、報告承認の有無などが設定できます。

特権IDの貸出しを受けたユーザが作業完了後に報告申請を行うか、申請した利用期間が終了すると、貸出しを終了します。ワンタイム特権ID を貸出している場合は、自動的にワンタイム特権ID を削除または無効化します。

(5) パスワードを秘匿して特権IDを貸出しシングルサインオン

特権IDを有したユーザが、ターゲットとなるシステムのパスワードを悪用して使いまわしたり、第三者に知られたりしたら危険です。

この特権ID管理は、承認に基づき、利用開始日時にアカウントの利用権限を特権を申請したユーザに付与し、パスワードを秘匿して特権IDを貸出しが可能で、利用終了日時に権限を削除します。

パスワードを秘匿して特権IDを貸出しを行った場合、Windows アプリケーション「iDoperation Client」によって、それぞれのターゲットのシステムへのアクセスは、シングルサインオンで行われるため、付与した特権ユーザに対してもパスワードを教えることなく使用が可能になります。このため、複数人による使いまわしなど許可のないユーザによる不正アクセスを防ぎます。

(6) 特権IDの一時的な貸出しはワンタイムパスワードを生成

一時的な期間のみ、あるいは緊急時に特権IDを貸出すためには、パスワードも恒久的でなく一時的に使用できるものを発行できれば、セキュリティリスクを軽減できます。

この特権ID管理では、コンソールでの作業などでターゲットへのローカルログインが必要な場合に、ワンタイムパスワードを貸出すことができます。
貸出したワンタイムパスワードは、申請した利用期間が終了するか、報告申請をあげたタイミングでランダムなパスワードに自動変更され、利用できなくなり安心です。

貸出している間のワンタイムパスワードは、「iDoperation Client」または、ワークフローの貸出状況確認画面から確認ができます。

(7) 特権ユーザのアクセス状況と不正アクセスの前兆を可視化

特権を持ったユーザが、いつ、どのターゲットのシステムにアクセスしたかを常に把握することは、不正防止のみならず、セキュリティインシデントの兆候を調べる上でも必要です。

この特権ID管理は、ターゲットに対するログイン・ログアウトの履歴を一覧で出力することができ、いつ、誰が、どのターゲットに、どの特権ID でアクセスしたかを確認することができます。操作ログ管理機能を利用している場合は、レポートに操作ログへのリンクが作成され、該当操作ログ動画の再生が行えます。

そして、Windows、AD、Oracle、SQL Server、AWS Management Console、Azure AD、Salesforceなどのターゲットに対するログイン失敗履歴を、一覧で出力することができます。これにより、不正侵入者による不正アクセスの前兆を発見することができます。

(8) 特権ユーザの不正な操作を検知しメールにて通知

特権IDを使用できるユーザの申請外での使用や、不正と疑われる行動は一早く認知し対応する必要があります。

この特権ID管理では、事前に設定したユーザ操作を検知し、メール通知が行えます。
通知メールには、該当する操作の動画URLが表示され、URLをクリックすることで簡単に画面操作の確認が行えるため視覚的に不正な操作があったかどうかが分かり、迅速な対処が可能になります。動画URLは、容易に関係者で共有できるため、問題解決への対応がスムーズに行えます。

この特権ID管理を行えば、特権IDの棚卸しができ、特権利用に関する監査が自動化できます。また、退職者のゴーストIDや、不正登録されたIDを見つけ出すことが容易で、申請に基づいた特権IDのアクセス制御が行えることが特徴です。

---

▼ この特権ID管理を実現するソリューション