特権アクセス

一時的な共有アカウントの利用から、権限昇格まで。様々な特権アクセスに対応

特権アクセスは、システム運用に欠かせない一方で、不正利用や情報漏洩につながる大きなリスクを抱えています。Administrator などの共有アカウントの利用は不可欠ですが、適切な制御がなければ「誰が」「いつ」「どのように」利用したかが不明確となり、不正利用やインシデント発生時の追跡が困難になります。

その一方で、クラウドサービスの利用拡大に伴い、一時的なアクセス付与(Just-In-Time Access)として従来の「共有アカウントの一時的な貸出」から、モダンな「個人アカウントへの一時的な権限付与」というアプローチへ移行する動きが加速しています。iDoperation PAM Cloud は、この両方のニーズに対応しています。

  • 共有アカウントの一時的な貸出 (Shared Account Checkout)
    WindowsやLinux、AD、DBなど従来型システムの特権アカウントを、必要なときだけ一時的に利用可能にする仕組みです。利用申請・承認を経て、一定期間のみ特権アカウントの貸出が許可され、使用後は自動で貸出が解除され、証跡取得までを一元管理できます。従来型システムにおいても高いセキュリティレベルを維持します。
  • 個人アカウントへの一時的な権限付与(Just-In-Time Role Elevation)
    IDaaSやクラウドサービスなどモダンシステムの個人アカウントに、必要なときだけ一時的に管理者権限を付与する仕組みです。利用申請・承認を経て、一定期間のみ管理者権限が付与され、使用後は自動で管理者権限が剥奪され、証跡取得までを一元管理できます。業務に必要な時間だけ昇格を許可することで、最小権限の原則を徹底し、不正利用リスクを大幅に削減します。

機能

特権アクセスの申請・承認・報告ワークフロー機能

iDoperation PAM Cloud は、「必要な時に、必要な人に」一時的な特権アクセスを許可するワークフローを提供します。共有アカウントの一時的な貸出や、個人アカウントへの一時的な権限付与をワークフローで管理し、申請プロセスを一元化します。これにより、申請状況を可視化し、監査対応の効率化と内部統制の強化を実現します。

特権アクセスワークフローの流れ
利用申請、利用承認、利用、報告申請、報告承認のフロー図。

特権アクセスワークフロー(利用申請)

緊急時も止まらない、特権アクセスワークフロー

申請者は、利用期間・利用目的・作業内容・使用する特権アカウントや権限を指定して申請を行います。システムトラブルなどの緊急時には、事前承認を経ずに特権アクセスを即時に許可できます。これにより、承認者が不在でも運用を止めることなく対応でき、作業後には報告申請を義務付けることで、迅速な対応と統制を両立します。

必要な人やノンヒューマンに、一時的な特権アクセスを提供

特権アクセスは、最小権限の原則(必要な権限を、必要な期間だけ付与する)に従い、必要な時に必要な人やノンヒューマンにのみ付与することが基本です。 iDoperation PAM Cloud では、この原則に沿って、人だけでなく自動化ジョブやエージェントなどのノンヒューマンアクセスも含め、幅広い特権アクセス方式に対応しています。

  • ゲートウェイ経由(iDoperation RAG)
    特権ユーザは、iDoperation RAG(Remote Access Gateway) を経由してターゲットを操作する方式です。特権ユーザはターゲットの資格情報を直接知らずにアクセスでき、操作内容は自動で記録されます。
  • エージェント経由(iDoperation PAM Agent)
    アクセス元となるPCや Jump Server にiDoperation PAM Agentを配置し、iDoperation PAM Agent経由でSSOでターゲットへアクセスする方式です。特権ユーザにターゲットの資格情報を秘匿しアクセスできます。
  • その他の方法(資格情報の貸出、API経由、IdP連携)
    共有アカウントの資格情報を一時的に取得し貸出す「Credential Checkout」、スクリプトや自動化ジョブがAPI経由で資格情報を取得してアクセスする「iDoperation PAM APP Agent」、クラウドやIDaaSと連携して個人IDに一時的に権限を付与する「JIT Role Elevation」など、多様な特権アクセスに対応します。

特権アクセス(iDoperation RAG)

ゲートウェイ経由のセキュアな特権アクセス

iDoperation RAG(Remote Access Gateway) を経由することで、特権ユーザはターゲットの認証情報を直接知らずに安全にアクセスできます。ブラウザを利用したクライアントレス接続により、RDP・SSH・HTTPSといった主要プロトコルに対応。操作内容の自動記録や、ファイル転送制御などのセッション管理により、利便性とセキュリティを両立した特権アクセスを実現します。

  • SSOでRDP接続
  • SSOでRDP接続
  • SSOでRDP接続
特権アクセスの詳細を見る

Contact

特権アクセス管理はiDoperation PAMにお任せください

価格を知りたい方

お見積もり

導入を検討している方

お問い合わせ
製品購入をご検討の方はこちら 販売を検討している方はこちら

その他の
iDoperation製品

特権排除と一時的な特権昇格、エンドポイント特権管理 エンドポイント特権を必要最小限に抑えつつ柔軟な昇格を可能にし、安全性と利便性を両立したエンドポイント特権管理ソリューションです。
国内シェアNo.1ユーザ操作監視 ユーザ操作を動画で記録し、「いつ・誰が・何をしたか」を迅速に特定・追跡可能なユーザ操作監視ソリューションです。