特権ID管理ツールの選び方

特権ID管理ツールの選び方を解説する前に、特権ID管理に求められる3つの運用項目をおさらいしておきます。

特権ID管理では、「特権IDを」「誰が」「使うのか」を適正に管理することが企業に求められます。基本的には、Level1:特権IDの管理、Level2:特権IDの貸出、Level3:特権IDの利用点検を順序よく実施して管理運用をおこなう必要があります。まずは、現在の自社の運用レベルを確認し、特権ID管理ツールを導入することで、「何がやりたいのか、どこまで管理したいのか」という目的を整理して、自社に合った製品を選んでいきましょう。

特権ID管理に求められる3つの運用項目

必要な機能が
全てそろっているか? 目先の課題はもちろん、今後の監査要求に対応できるか確認しましょう。

特権ID管理ツールは、既に国内でも多く提供されていますが、特徴や機能が異なるため、比較が難しくなっています。

それぞれの特権ID管理ツールで様々な機能が備わっていますが、今、特権ID管理に求められる3つの運用項目に対応する機能は5つあります。

5つの機能をオールインワンで提供でき、目的や環境にあわせて機能が選んで導入できる製品かチェックしましょう。

特権ID管理に求められるすべての機能を提供します!

特権ID管理ツール
の種類は3種類 特権IDの利用点検が、リモートアクセス・直接アクセス問わず、漏れなくできるか確認しましょう。

特権ID管理ツールの方式は、「クライアント・エージェント型」「ゲートウェイ型」「サーバ・エージェント型」の、大きく3種類に分類することができます。それぞれの方式で、アクセス制御(どこで特権IDの貸出し制御を行うか)と、ログ取得箇所(どこからログを取得して点検するか)の2点が異なります。この違いにより、特権ID管理製品には得意・不得意が生じます。

クライアント・エージェント型

クライアント・エージェント型
アクセス制御はアクセス元PCに導入されたクライアント・エージェント(非常駐プログラム)で行います。
ログ取得はターゲットシステムのアクセスログを直接収集します。

ゲートウェイ型

ゲートウェイ型
アクセス制御はゲートウェイで行います。
ログ取得はゲートウェイを通過したリモートアクセスのみ取得します。

サーバ・エージェント型

ゲートウェイ型
アクセス制御は接続先のサーバに導入されたサーバ・エージェント(常駐プログラム)で行います。
ログ取得はターゲットシステム上で取得します。

各方式の違いにより、導入のしやすさ(影響範囲)、アクセス制御、ログ点検(アクセスログ・操作ログ)の網羅性において違いがでてきます。

特権ID管理ツールの方式別比較
検討ポイント クライアント・エージェント型 ゲートウェイ型 サーバ・エージェント型
導入のしやすさ

アクセス元PCにクライアント・エージェント(非常駐プログラム)のインストールが必要

踏み台サーバにインストールすることでゲートウェイ型とのハイブリッド構成で構築可能

完全エージェントレスのため導入は容易

すべての特権アクセスがゲートウェイを通過するようにネットワークの構成変更が必要

ターゲットシステムにサーバ・エージェント(常駐プログラム)のインストールが必要で、サーバへの影響が大きい

導入コストも大きい

影響範囲 アクセス元となるPC/サーバ ネットワーク全体 ターゲットシステム全体
(アプリやミドルウェアなどOSレイヤー以上)
アクセス制御 アクセス経路によらず、特権IDの貸出し制御が可能 ゲートウェイを通過する通信のみ制御が可能(直接アクセスや多段アクセスは制御不可) きめ細かい設定が可能
アクセスログの点検 リモート・直接アクセス問わず、すべて点検可能 ゲートウェイを通過したリモートアクセスのみ点検可能 リモート・直接アクセス問わず、すべてのアクセスが点検可能
操作ログの記録 アクセス元、ゲートウェイ、サーバ、いずれかで動画/テキストで記録 ゲートウェイ通過時のみ動画/テキストで記録 サーバ・エージェントがテキストで記録

ゲートウェイ型の特権ID管理ツールが抱える5つの課題

ゲートウェイ型の特権ID管理ツールは、特権ユーザとターゲットシステム(サーバ)の間にゲートウェイサーバを設置し、ゲートウェイを踏み台として対象サーバへログインする方式です。構成はシンプルだが、特権ID を使ったアクセス全てがゲートウェイを通過するようネットワークの構成変更が必要で、パブリッククラウドやプライベートクラウド、オンプレミスなど、サーバ環境が分散していくとネットワーク構成が複雑となり、管理が煩雑になります。

パブリッククラウドを使用する環境においては、ゲートウェイというネットワーク境界で、特権アクセスを制御していこうとすると、多くの課題があり統制を継続していくことが困難です。

ゲートウェイ型の特権ID管理ツールが抱える課題

特権ID管理ツールを選ぶなら「iDoperation」 iDoperationなら、クライアント型とゲートウェイ型のハイブリッド構成で利用できます。

iDoperationは、アクセス元で特権IDの貸出し制御が行えるクライアント・エージェント型の特権ID管理ツールです。クライアント・エージェント型では、ゲートウェイ型の特権ID管理ツールが抱える課題をすべて解消し、ネットワーク構成に依存しない、アクセス制御とログの取得が可能です。

また、お客様の環境に合わせて、クライアント・エージェント型とゲートウェイ型を組み合わせたハイブリッド構成で導入することもできるため、ゲートウェイ型の抱える5つの課題を解消し導入することができます。

特権ID管理ツールを選ぶなら「iDoperation」