貸出ワークフロー

承認者不在時でも、運用を止めることなく利用できます

急なシステムトラブルや承認者不在時に、事後承認で利用させることができます。緊急利用を行った場合は、管理者にはメール通知が行われ、作業後の報告申請を義務付けることで運用と統制のバランスを取った利用ができます。緊急利用は、ワークフロー単位で許可する/しないの設定ができます。

承認者不在時でも、運用を止めることなく利用できます

貸出ワークフロー

運用に合わせて申請書をカスタマイズできます

特権ID貸出申請の申請項目をカスタマイズできます。お客様の運用に合わせて、任意の入力項目(テキスト/複数行テキスト)を追加することができます。

運用に合わせて申請書をカスタマイズできます

貸出ワークフロー

貸出アカウントは、3通りの方法で選択できます

特権IDの利用申請では、特権ユーザが作業で使用する特権IDを選択します。誰が、どのアプリケーションで、どのサーバの特権IDを使うか指定します。貸出アカウントの選択方法は、iDoperationに事前登録された共有型の特権IDを1つずつ指定する方法と、ワンタイム特権IDを指定する方法、申請プリセットを使い複数の特権IDをまとめて指定する方法の3通りがあります。

共有型の特権IDの指定

事前にiDoperation に、登録されている特権IDを1アカウントずつ指定します。

共有型の特権IDの指定

申請プリセットの指定

事前に申請プリセット(複数のターゲットとアカウント、アプリケーションの組み合わせ)を登録しておくことで、申請時は、作業で使用する申請プリセットを選択するだけで、複数ターゲットの特権IDをまとめて指定することができます。これにより、特権ユーザの申請作業を大幅に効率化します。

申請プリセットの指定

ワンタイム特権IDの指定

ワンタイム特権ID(申請期間のみ有効な特権ID)を1アカウントずつ指定します。実施する作業に応じて複数のアカウントグループを選択できます。

ワンタイム特権IDの指定
Column

ワンタイム特権IDとは

依然増加傾向にあるサイバー攻撃では特権IDが狙われています。攻撃者が特権IDの窃取に成功すると、PCやサーバへの侵入、マルウェアの感染拡大を助長するため、いかに攻撃者に特権IDを窃取されないようにするかが課題となります。厳格なセキュリティが求められるシステムの特権IDは、普段すべて無効化して特権IDがない状態にすることで、攻撃者は特権IDを窃取できなくなります。

iDoperationのワンタイム特権ID貸出を使うと、承認に基づき、必要な特権IDを一時的に作成し、貸出し、使用後には自動的に削除または無効化することが可能となり、強固なセキュリティを実現できます。

報告ワークフロー

報告申請により、特権IDの貸出しが終了します

特権ユーザは作業完了後に、報告申請を行うことができます。貸出中の特権IDは、報告申請を行うか、申請した利用期間が終了すると、貸出しを終了します。ワンタイム特権IDを貸出している場合は、自動的にワンタイム特権IDを削除または無効化します。

報告申請により、特権IDの貸出しが終了します 報告申請により、特権IDの貸出しが終了します

貸出ワークフロー

自分が処理する必要がある申請がわかりやすく表示されます

すべての申請は、申請書のステータスに応じて一覧表示されます。申請者や承認者が次に処理する必要がある申請は「処理待ち」タブから簡単に確認することができます。

自分が処理する必要がある申請がわかりやすく表示されます

ワークフロー管理

多段承認など、運用に合わせたワークフロー設定が行えます

システムごとに、ワークフローの設定を分けることができます。ワークフローの設定では、承認ルート(最大9段階承認)、緊急申請の許可、緊急申請時の最大貸出期間、申請受付開始日、最大貸出日数、貸出方法(1つずつ貸出アカウントを指定、申請プリセットから指定、ワンタイム特権ID)、報告承認の有無などが設定できます。

多段承認など、運用に合わせたワークフロー設定が行えます

特権ID貸出

2通りの方法で特権IDを貸出すことができます

特権IDの貸出し方法には、特権IDのパスワードを秘匿した貸出しと、特権IDのパスワードを特権ユーザに通知する貸出し(ワンタイムパスワード貸出し)の2通りの方法があります。リモートアクセスなどはパスワードを秘匿して貸出しすることで、許可を与えた特権ユーザだけ特権IDを貸出すことができます。コンソールでの作業など、パスワード秘匿での貸出しができない場合は、ワンタイムパスワードで貸出すことで許可を与えた特権ユーザのみに特権IDの貸出しができます。

パスワード秘匿による貸出し

iDoperationは、承認に基づき、利用開始日時にアカウントの利用権限を特権ユーザに付与し、利用終了日時に権限を削除します。ターゲットへのアクセスは、「iDoperation Client」によりシングルサインオンで行われるため、特権ユーザにパスワードを秘匿します。このため、許可のないユーザによる不正アクセスを防ぎます。

パスワード秘匿による貸出し

ワンタイムパスワードによる貸出し

特権IDの貸出し方法には、特権IDのパスワードを秘匿した貸出しと、特権IDのパスワードを特権ユーザに通知する貸出し(ワンタイムパスワード貸出し)の2通りの方法があります。リモートアクセスなどはパスワードを秘匿して貸出しすることで、許可を与えた特権ユーザだけ特権IDを貸出すことができます。コンソールでの作業など、パスワード秘匿での貸出しができない場合は、ワンタイムパスワードで貸出すことで許可を与えた特権ユーザのみに特権IDの貸出しができます。

iDoperation Clientからパスワードを確認する方法
iDoperation Clientからパスワードを確認する方法

iDoperation Clientから「パスワード表示」ボタンをクリックするとワンタイムパスワードを確認できます。

貸出状況確認画面からパスワードを確認する方法
貸出状況確認画面からパスワードを確認する方法

利用申請が承認されると、ワークフローの貸出状況確認画面からワンタイムパスワードを確認できます。

特権ID貸出

鍵認証のLinuxでも利用できます

AWS上のLinuxなど、鍵認証を使う環境も増えてきました。iDoperationは、鍵認証を使うLinuxの場合でも、特権アクセス時に鍵を秘匿して貸出しすることができます。パスワード認証のLinux同様に特権ユーザは鍵を意識することなく、安全にアクセスすることができます。

鍵認証のLinuxでも利用できます

特権ID貸出

iDoperation Clientのビュー切り替えにより、特権ユーザの利便性を向上します

特権ユーザが、多くの特権IDを利用する場合も、ターゲットへのアクセスがしやすいよう、ビューを切り替えることができます。また、iDoperation Clientから申請情報やターゲット情報も確認できるため、アクセス先を間違えることがないよう工夫しています。iDoperation Clientの画面は英語表記にも対応しています。

ターゲットビュー

ターゲットビュー

申請ビュー

申請ビュー

特権ID貸出

ターゲットが複数のネットワークに所属している場合や、NATされている場合でも利用できます

ターゲットが複数のIPアドレスを持っている場合でも、特権ユーザが接続先を選択してアクセスすることができます。このため、ネットワークが分離されている環境や、NATされている環境においてもアクセス制御が可能です。また、アクセスログの点検も確実に実施することができます。

ターゲットが複数のネットワークに所属している場合や、NATされている場合でも利用できます

特権ID貸出

対応している貸出し方法

システム運用でよく利用されるアプリケーションに標準対応しています。標準対応していないアプリケーションでも、独自スクリプトで拡張し対応することができます。

ターゲット種別 パスワード秘匿貸出対応
アプリケーション
ワンタイム
パスワード
貸出対応
ワンタイム
特権ID
対応
OS Windows RDP、WinSCP、FFFTP
Active Directory RDP
Linux、AIX、Solaris、HP-UX TeraTerm、WinSCP、FFFTP
仮想ソフトウェア vSphere ESXi vSphere Client、VMware Host Client ×
vCenter Server Appliance vSphere Web Client(Flash)(*1) ×
Hyper-V Server RDP ×
データベース Oracle SQL*Plus ×
SQL Server、Azure SQL Database、
Amazon RDS for SQL Server
SQL Server Management Studio ×
PostgreSQL ×
MySQL MySQL Command Line Client ×
Db2 Db2 CLPPlus ×
HiRDB HiRDB SQL Executer(ラインモード版) ×
クラウド AWS Management Console(IAM) AWS Management Console(*1)
Azure AD Azure Portal(*1)、Office 365(*1) ×
Salseforce Salesforce(*1) ×
(*1)
使用できるブラウザはInternet Explorerのみです。