特権ID管理ツールとは?
コンピュータシステムは定期的にメンテナンスを行ったり、機能の追加が行われます。この場合はシステムメンテナンス用のID使用します。このIDは特権IDと呼ばれシステムの停止や変更を可能とする強力な権限が付与されています。
特権IDは強力な権限を保有しているため、適切な管理が必要となります。このために特権ID管理ツールが存在しています。特権ID管理ツールとツールを利用するメリットをご紹介します。
特権ID管理ツールのおすすめ12選
特権IDを管理するといっても、各企業・組織ごとの管理対象が存在します。企業や組織の目的や規模に応じて適切な特権ID管理ツールを選ぶことが大切です。
こちらではよく利用されている特権ID管理ツールをご紹介します。各ツールの得意している領域もご紹介していますので、各組織で適切なツールを比較・検討してください。
1:CyberArk Privileged Account Security(PAS)
特権ID管理ツールの先進企業であるCyberArk Software社が提供するCyberArk Privileged Account Security (PAS) は、利用システムと利用者の間に配置されます。
ワークフローにて事前に承認されたユーザIDに対し、特権IDが紐づけられるため、ユーザーはパスワードを知る必要はありません。作業は全て映像として記録され、同時にコマンド操作はテキストでも記録されます。
2:特権ID管理ソリューション Plus
アシスト社の「特権ID管理ソリューション Plus」は特権IDの貸し出し制御やログ突合せ・管理を個別のツールに任せ、そのツール群を統合的に管理する特権ID管理ツールです。
豊富なバリエーションから、組織のニーズに合致したサービスを選択できるため、細かい制御が可能となります。
利用システム側に必ずしもエージェントを導入する必要がないため、利用システム側への追加負担はほとんどありません。
3:SKUID(スクイド)
SKUIDはシングルサインオン(SSO)を実現するサービスです。承認ワークフローにて許可された時間、対象サーバに対して利用許可された特権IDを、SKUIDにて申請IDに対しSSOの形で紐づけます。
こうすることでユーザはパスワードを連絡されることなく申請システム対し、作業が可能となります。なお、SKUIDは2019年3月16日より「トラスト・ログイン By GMO」と名称を変更しています。
4:Netwrix Auditor
Netwrix Auditorは管理対象システムにエージェントを導入することなく、ネットワーク上を通過するコマンドを抽出して管理対象システムと対象ユーザを特定する特権ID管理ツールです。
事前登録されている禁止コマンドが発行された場合には、検疫切断し、コマンド操作を失敗させます。
ネットワーク上を流れるコマンドを操作ログの形で整形・可視化し、セキュリティ上のリスクがないか点検することを可能にします。
CyberArk PASはCyberArk Privileged Account Security(PAS)のことです。
5:ESS AdminControl
ESS AdminControlはエンカレッジ・テクノロジ株式会社が提供する運用統制ソリューションであるESS SmartIT Operationの一領域です。特権IDの不正利用を防止する権限管理を担っています。
特権ID管理ツールとして事前ワークフローによる利用申請や自動返却に加え、管理対象サーバに合わせた自動パスワード変更機能や充実した棚卸ツールにより不要なIDを容易に発見できる機能を有しています。
6:Password Manager Pro
ZOHOグループが提供するPassword Manager Proの特徴は課金体系とコストの安さです。特権ID利用を申請する際のワークフロー承認者数を課金基準としており、申請者あるいは管理対象サーバの増減には全く影響されません。
ゲートウェイ方式の特権ID管理ツールであり、特権IDのパスワードは公開することも、申請ユーザーに紐づけてパスワードそのものは非公開とすることもできます。
7:AccessMatrixUCM
AccessMatrix UCMはシンガポールに本社を置くi-Sprint Innovationが提供するエージェントレス特権ID管理ツールです。
特権ID管理の基本機能に加え、万が一AccessMatrix UCMが停止している場合でもパスワードを取り出すことができる、事後承認・パスワード自動変更を前提とした緊急時即時パスワード払い出しの機能を備えており、実運用を見据えた機能を備えています。
8:Griffas
大阪に本社がある株式会社ステラクラフトが提供するGriffasは認証されたユーザ/端末のみにネットワークへの接続を許可するゲートウェイ装置です。
ネットワークへのアクセスに時間制限を設定できますので、特権IDによるアクセスは許可された申請時間内のみに限定することが可能です。そして本装置は通過するネットワークを全てログ記録していますので、許可ID以外のアクセスも全て監査することが可能となります。
9:iDoperation
iDoperationはNTTテクノクロス社が提供するエージェントレス型特権ID管理ツールです。ゲートウェイ型とクライアント型を組み合わせて実装できるため、対象システム構成にほとんど制限がありません。
秘密鍵を利用した特権ID管理にも対応しており、パブリッククラウド上のLINUXシステムも管理対象にすることができます。操作ログ映像保存としてはiDoperation SCを用いて実施することになります。
10:SecureCube/Access Check
SecureCube / Access CheckはNRIセキュアがサービス提供するエージェントレス・ゲートウェイ型特権ID管理ツールです。
申請・承認・ID管理、特権ID利用時のアクセス制御、ログ収集・保管、利用後の監査モニタリングなどすべての機能を実装しています。
事前に禁止コマンドを設定しておくことで、当該操作が実施された場合はコマンドが対象サーバに到達する前に停止することができます。
11:ISAC2
IVEX社ISAC2 (IVEX Secure Access Manager) は監視対象PCおよびサーバにエージェントを導入し操作を動画とテキストログで記録し、ゲートウェイ機能にてアクセスコントロールが可能です。
操作PC側とサーバ側実行ログを突き合せた特権ID利用後点検も可能です。ゲートウェイ機能としては、IPアドレス、ポート番号指定したアクセス制御が可能でありユーザID漏洩などにも対応可能です。
12:ID Federation
ID FederationはNTTコミュニケーションズ株式会社が提供するSSO、認証強化に重きをおいた特権ID管理ツールです。最初からクラウドサービスを意識した構成となっています。
IDパスワード認証に加え、リスクベースアプローチとして登録済IPアドレスからのアクセスか否かで認証方式を分けたりゲートウェイ機能のように特定端末、特定ユーザIDの場合だけログイン操作可能とするといった機能を内包しています。
あなたの会社に仕事の生産性をあげる「働き方改革」を起こしませんか?
名刺が多すぎて管理できない…社員が個人で管理していて有効活用ができていない…そんな悩みは「連絡とれるくん」で解決しましょう!まずはこちらからお気軽に資料請求してみてください。
特権ID管理ツールを導入する3つのメリット
多数の特権ID管理ツールが世の中に存在していることがわかりました。どれも似たような機能を実装していますが、得意としている分野が少しずつ異なっていることもわかりました。
それでは、特権ID管理ツールを導入するメリットにはどのようなものがあるのでしょうか。「不正利用防止」「ID使いまわし防止」「内部不正防止」の3点から整理します。
メリット1:不正利用を防ぐ
特権IDやパスワードが漏洩した場合は、許可されたユーザ以外のシステム利用、改変といった乗っ取りが考えられます。
特権ID管理ツールでは、利用毎のパスワード変更やそもそも利用ユーザに対しパスワードを連絡しない仕組み、許可時間以外のネットワークアクセスそのものが禁止されています。
また発見的統制として、全てのログが記録されていればログ監視システムと組み合わせて不正アクセスの事実の検知が容易になります。
メリット2:IDを使い回されることがない
特権IDはシステムに一つあるいは複数であっても少数しか実装しません。従って複数拠点、複数ユーザからのアクセスを許可せざるを得なくなります。
しかし特権ID管理ツールにより、許可ユーザーのみID利用が可能、利用終了後即座にパスワード変更が実施されます。万が一利用ユーザから他人にユーザID/パスワードが漏洩したとしても、当該パスワードはもはや意味を持たないものとなり、IDを使い回すことはなくなります。
メリット3:内部関係者による不正操作を防ぐ
サイバーセキュリティ対策は高い塀を設けて外部攻撃のみに対処するだけでは今や領域不足です。内部関係者による不正操作は正当な操作に紐づいていることもあり検知が困難です。
しかし特権ID管理ツールでは、ユーザID以外のIPアドレスや証明書による接続制限、強力なログ収集・分析機能による即時検知機能で不正アクセスの禁止が可能です。
このような機能は内部関係者による不正操作の誘惑に対する強力な牽制にもなります。
業務体系にあわせて運用ルールを整備する
ここまでみてきたとおり、特権ID管理ツールは類似のサービスが数多く提供されていますが、各サービス毎に特徴あるいは実装方法は異なっています。
特権ID管理ツールはあくまでもツールであり、どのように運用するかは運用ルールの整備が必要です。業務体系に合わせた運用ルールを整備したうえで、業務体系や運用ルールに沿った管理ツールの活用をお勧めします。
