特権ID管理 iDoperation
特権IDの管理
特権IDの貸出
特権IDの利用点検
iDoperationの機能
iDoperationは特権ID管理
に必要な機能をすべて提供します
貸出ワークフロー
承認者不在時でも、運用を止めることなく利用できます
急なシステムトラブルや承認者不在時に、事後承認で利用させることができます。緊急利用を行った場合は、管理者にはメール通知が行われ、作業後の報告申請を義務付けることで運用と統制のバランスを取った利用ができます。緊急利用は、ワークフロー単位で許可する/しないの設定ができます。
貸出ワークフロー
運用に合わせて申請書をカスタマイズできます
特権ID貸出申請の申請項目をカスタマイズできます。お客様の運用に合わせて、任意の入力項目(テキスト/複数行テキスト)を追加することができます。
貸出ワークフロー
貸出アカウントは、3通りの方法で選択できます
特権IDの利用申請では、特権ユーザが作業で使用する特権IDを選択します。誰が、どのアプリケーションで、どのサーバの特権IDを使うか指定します。貸出アカウントの選択方法は、iDoperationに事前登録された共有型の特権IDを1つずつ指定する方法と、ワンタイム特権IDを指定する方法、申請プリセットを使い複数の特権IDをまとめて指定する方法の3通りがあります。
共有型の特権IDの指定
事前にiDoperation に、登録されている特権IDを1アカウントずつ指定します。
申請プリセットの指定
事前に申請プリセット(複数のターゲットとアカウント、アプリケーションの組み合わせ)を登録しておくことで、申請時は、作業で使用する申請プリセットを選択するだけで、複数ターゲットの特権IDをまとめて指定することができます。これにより、特権ユーザの申請作業を大幅に効率化します。
ワンタイム特権IDの指定
ワンタイム特権ID(申請期間のみ有効な特権ID)を1アカウントずつ指定します。実施する作業に応じて複数のアカウントグループを選択できます。
Column
ワンタイム特権IDとは
依然増加傾向にあるサイバー攻撃では特権IDが狙われています。攻撃者が特権IDの窃取に成功すると、PCやサーバへの侵入、マルウェアの感染拡大を助長するため、いかに攻撃者に特権IDを窃取されないようにするかが課題となります。厳格なセキュリティが求められるシステムの特権IDは、普段すべて無効化して特権IDがない状態にすることで、攻撃者は特権IDを窃取できなくなります。
iDoperationのワンタイム特権ID貸出を使うと、承認に基づき、必要な特権IDを一時的に作成し、貸出し、使用後には自動的に削除または無効化することが可能となり、強固なセキュリティを実現できます。報告ワークフロー
報告申請により、特権IDの貸出しが終了します
特権ユーザは作業完了後に、報告申請を行うことができます。貸出中の特権IDは、報告申請を行うか、申請した利用期間が終了すると、貸出しを終了します。ワンタイム特権IDを貸出している場合は、自動的にワンタイム特権IDを削除または無効化します。
貸出ワークフロー
自分が処理する必要がある申請がわかりやすく表示されます
すべての申請は、申請書のステータスに応じて一覧表示されます。申請者や承認者が次に処理する必要がある申請は「処理待ち」タブから簡単に確認することができます。
ワークフロー管理
多段承認など、運用に合わせたワークフロー設定が行えます
システムごとに、ワークフローの設定を分けることができます。 ワークフローの設定では、承認ルート(最大9段階承認)、緊急申請の許可、緊急申請時の最大貸出期間、申請受付開始日、最大貸出日数、貸出方法(1つずつ貸出アカウントを指定、申請プリセットから指定、ワンタイム特権ID)、報告承認の有無などが設定できます。 また、ワークフローの設定はCSVで一括登録できるため、導入時の設定を効率化できます。
特権ID貸出
2通りの方法で特権IDを貸出すことができます
特権IDの貸出し方法には、特権IDのパスワードを秘匿した貸出しと、特権IDのパスワードを特権ユーザに通知する貸出し(ワンタイムパスワード貸出し)の2通りの方法があります。リモートアクセスなどはパスワードを秘匿して貸出しすることで、許可を与えた特権ユーザだけ特権IDを貸出すことができます。コンソールでの作業など、パスワード秘匿での貸出しができない場合は、ワンタイムパスワードで貸出すことで許可を与えた特権ユーザのみに特権IDの貸出しができます。
パスワード秘匿による貸出し
iDoperationは、承認に基づき、利用開始日時にアカウントの利用権限を特権ユーザに付与し、利用終了日時に権限を削除します。ターゲットへのアクセスは、「iDoperation Client」によりシングルサインオンで行われるため、特権ユーザにパスワードを秘匿します。このため、許可のないユーザによる不正アクセスを防ぎます。
ワンタイムパスワードによる貸出し
特権IDの貸出し方法には、特権IDのパスワードを秘匿した貸出しと、特権IDのパスワードを特権ユーザに通知する貸出し(ワンタイムパスワード貸出し)の2通りの方法があります。リモートアクセスなどはパスワードを秘匿して貸出しすることで、許可を与えた特権ユーザだけ特権IDを貸出すことができます。コンソールでの作業など、パスワード秘匿での貸出しができない場合は、ワンタイムパスワードで貸出すことで許可を与えた特権ユーザのみに特権IDの貸出しができます。
iDoperation Clientからパスワードを確認する方法
iDoperation Clientから「パスワード表示」ボタンをクリックするとワンタイムパスワードを確認できます。
貸出状況確認画面からパスワードを確認する方法
利用申請が承認されると、ワークフローの貸出状況確認画面からワンタイムパスワードを確認できます。
特権ID貸出
システムアカウントへの特権貸出
iDoperation App Client を使用し、バッチやスクリプト等のプログラムに埋め込まれたパスワードや秘密鍵ファイル/パスフレーズを秘匿し、セキュアに管理することができます。
特権ID貸出
鍵認証のLinuxでも利用できます
AWS上のLinuxなど、鍵認証を使う環境も増えてきました。iDoperationは、鍵認証を使うLinuxの場合でも、特権アクセス時に鍵を秘匿して貸出しすることができます。パスワード認証のLinux同様に特権ユーザは鍵を意識することなく、安全にアクセスすることができます。
特権ID貸出
iDoperation Clientのビュー切り替えにより、特権ユーザの利便性を向上します
特権ユーザが、多くの特権IDを利用する場合も、ターゲットへのアクセスがしやすいよう、ビューを切り替えることができます。また、iDoperation Clientから申請情報やターゲット情報も確認できるため、アクセス先を間違えることがないよう工夫しています。iDoperation Clientの画面は英語表記にも対応しています。
ターゲットビュー
申請ビュー
特権ID貸出
ターゲットが複数のネットワークに所属している場合や、NATされている場合でも利用できます
ターゲットが複数のIPアドレスを持っている場合でも、特権ユーザが接続先を選択してアクセスすることができます。このため、ネットワークが分離されている環境や、NATされている環境においてもアクセス制御が可能です。また、アクセスログの点検も確実に実施することができます。
特権ID貸出
対応している貸出し方法
システム運用でよく利用されるアプリケーションに標準対応しています。標準対応していないアプリケーションでも、独自スクリプトで拡張し対応することができます。
| ターゲット種別 |
パスワード秘匿貸出対応
アプリケーション |
ワンタイム
パスワード 貸出対応 |
ワンタイム
特権ID 対応 |
|
|---|---|---|---|---|
| OS | Windows | RDP、WinSCP、FFFTP | ○ | ○ |
| Active Directory | RDP | ○ | ○ | |
| Linux、AIX、Solaris、HP-UX | TeraTerm、WinSCP、FFFTP | ○ | ○ | |
| ディレクトリサービス | Microsoft Active Directory | RDS | ○ | ○ |
| AWS Managed Microsoft AD、AWS Simple AD | - | ○ | ○ | |
| OpenLDAP | -(*2) | ○ | × | |
| 仮想ソフトウェア | vSphere ESXi | vSphere Client、VMware Host Client | ○ | × |
| vCenter Server Appliance | vSphere Web Client(*1) | ○ | × | |
| Hyper-V Server | RDP | ○ | × | |
| データベース | Oracle、Amazon RDS for Oracle | SQL*Plus | ○ | × |
|
SQL Server、Azure SQL Database、
Amazon RDS for SQL Server |
SQL Server Management Studio | ○ | × | |
| PostgreSQL | - | ○ | × | |
| MariaDB、Amazon RDS for MariaDB | - | ○ | × | |
| MySQL | MySQL Command Line Client | ○ | × | |
| Db2 | Db2 CLPPlus | ○ | × | |
| HiRDB | HiRDB SQL Executer(ラインモード版) | ○ | × | |
| クラウド | AWS Management Console(IAM) | AWS Management Console(*1) | ○ | ○ |
| Azure AD | Azure Portal(*1)、Microsoft365(*1) | ○ | × | |
| BOX | BOX | × | × | |
|
Googole Cloud Platform(*1)、 Google Workspace(*1) |
○ | × | ||
| IBM Cloud | IBM Cloud Console(*1) | × | × | |
| Oracle Cloud Infrastructure(IAM) | Oracle Cloud Infrastructure Console(*1) | × | × | |
| Salesforce | Salesforce(*1) | ○ | × | |
| アプリケーション | iDoperation(管理者ユーザ) | iDoperation Web Console(*1) | ○ | × |
- (*1)
- 使用できるブラウザは、Microsoft Edge、Google Chrome、Safariに対応しています。
- (*2)
- 接続先となるLinuxターゲット側で利用可能なパスワード秘匿貸出対応アプリケーションで、LDAPターゲットのアカウントを利用することができます。
