1.今回の内容

前回の投稿で、特権アクセス管理に求められる機能に関してお話ししました。今回は、それを実装したソリューションとして、IBM Security Verify Privilege Vaultを紹介し、具体的にどのように解決しているのかを話します。

2.Verify Privilege Vaultによる特権アクセス管理

• シークレット

• 特権アクセスを一元管理

Verify Privilege Vaultは、特権アクセスが必要なシステムの認証情報をシークレットとして、一元管理します。シークレットは、暗号化されてVerify Privilege Vaultに保管されます。英語のVaultは、金庫という意味です。つまり、鍵のかかった金庫にシークレットを保管すると考えると理解し易いと思います。

• ユーザーの認証と認可

特権アクセスをするためには、Verify Privilege Vaultに保管されている認証情報が必要になります。特権アクセスをするユーザーは、保管されているシークレットを参照するためにVerify Privilege VaultのユーザーIDが必要になります。そして、特権アクセスをするためには、Verify Privilege Vaultで認証して、特権アクセスを実施するシステムの認証情報を入手する必要があります。システムによっては、必ずしもパスワードを開示する必要はなく、パスワードを非公開にしたまま、対象のシステムにアクセスさせることも可能です。また、SaaS版のVerify Privilege Vaultの認証には、多要素認証を実施して、認証を強化することも可能です。

• 特権アクセスの記録

上述の通り、特権アクセスをする場合には、必ず、Verify Privilege Vaultでユーザーを認証する必要があり、誰がどのシステムをいつ利用したのかをVerify Privilege Vaultで一元的に記録することが可能です。また、特権アクセスをするシステムによっては、アクセスしているところを録画することも可能で、その場合には、何を実行したのかも正確に記録されます。

3.特権アクセス管理に必要なその他の機能

• 特権アカウントの検出

Verify Privilege Vaultには、特権アカウントの検出機能があります。これにより、管理対象になっていないアカウントが検出された場合には、そのアカウントを管理対象にし、管理されていない特権アカウントがないようにします。また、利用していない特権アカウントがあるかどうか確認することが出来ます。(注: 検出機能対応プラットフォームだけの対応になります。)

• パスワードのローテーション

Verify Privilege Vault には、自動でパスワードを変更できる(パスワード・チェンジャー)機能が装備されています。利用者が離任したタイミングやセキュリティー侵害が見つかったタイミングなどで、アカウントのパスワードを変更することができます。 標準で多くのパスワード・チェンジャーを提供しています。(標準提供しているパスワード・チャンジャー)

• リモート・マシン接続用ランチャー

Verify Privilege Vault は、いくつかのリモート・マシン接続用のランチャーを提供しています。これにより、リモート・マシンへの直接アクセスと認証が可能になります。ユーザーはWebインターフェースから直接セッションを開始して、特権アクセスを実施します。特権アクセス対象のシステムのパスワードを表示しないようにシークレットを設定することで、パスワードを非公開のまま、特権アクセスを実施する運用も出来ます。

4.次回

これまでの連載で、特権アクセス管理に関する基本的な内容を一通りお話しして来ました。今回、シークレットのお話をしました。別の言い方をすると、Verify Privilege Vaultはシークレットを管理するソリューションと言うことが出来ます。次回は、シークレット管理に関してお話しします。

連載インデックス

♯1: 特権アクセスとは

♯2: なぜ特権アクセス管理が必要なのか

♯3: 特権アクセス管理に求められる機能とは

♯4: 解決策としてのIBM Security Verify Privilege Vault [今回]

♯5: シークレット管理