特権ID管理ソリューション
AccessMatrix UCM
金融機関を中心に多数の導入実績!
煩雑な特権IDの管理にお困りではありませんか?
製品概要
AccessMatrixUCMとは
OSやアプリケーション、データベースのメンテナンスをする時に使う特権IDは、非常に強い権限を持っています。しかし、システム管理者やメンテナンスを行うエンジニアの性善説により、情報セキュリティのリスクに対する考慮から外されるケースがあります。ユーザ管理、アクセス管理、ウイルス対策、標的型攻撃対策、物理セキュリティ等に対して、いくら強固なセキュリティ対策を行ったとしても、特権IDが全てのセキュリティホールに繋がってしまいます。
AccessMatrixUCMは、特権IDパスワードの申請・承認をWeb上のワークフローにより実現します。申請・承認の履歴は、すべてログとして保存され、監査レポートを提供します。多種多様なシステムの特権IDのパスワードを一元的に管理することにより、情報セキュリティと利便性が格段に向上します。
特権IDが持つ特性
ユーザ管理、アクセス管理に関して、いくら強固なセキュリティ対策を実現していたとしても、
この特権ユーザIDがセキュリティホールに成り得てしまう。
特権ユーザID(管理者)をどのように統制できるかがセキュリティ対策上の大きな鍵
「人」による特権ID管理 運用例
セキュリティを維持するための特権ユーザID管理 実運用 参考例(金融機関等で採用)
AccessMatrix UCMを使った貸出管理の流れ
人による運用をベースにモデリング
パスワード管理部門相当をAccessMatrixUCMが担当
専用ワークフローの提供により申請、承認の負担を軽減
AccessMatrix UCMの主な特長
機能
基本ワークフロー イメージ
特権IDを利用するには、AccessMatrix UCMが提供するワークフロー(Webアプリケーション)上で承認を得る必要があります。各段階でE-mailによる通知を行うことができます。
基本ワークフロー 1:特権IDの利用申請
利用者はワークフロー(Webアプリケーション)にログインして、使用したい特権IDについて貸出の申請を行います。
これで申請は完了です
基本ワークフロー 2:特権IDの利用承認
承認者も利用者と同様にWebアプリケーションから承認を行います。
これで承認が完了しました
基本ワークフロー 3:特権IDの貸出(チェックアウト)
承認者の承認により、利用申請していた特権IDの貸出が可能になります。
利用者はこの後、目的の業務を行います。
基本ワークフロー4:特権IDの利用
利用者は特権IDの認証情報(IDとパスワード)を閲覧することができます。ただし、管理者が許可している場合に限ります。
パスワード表示の留意事項
- 「誰がパスワードを知り得るか」を厳密に制御できず、事後確認もできません
- 特権IDが使用された時刻を特定するのが難しくなります(特に、複数の利用者が同時に特権IDを利用する場合)→自動ログイン方式であれば、アプリケーションを起動した利用者と時刻が監査証跡として記録されます
(※それでも、ワークフローを利用するPCと作業を行うPCが別の場合(ネットワークが隔絶している場合)などは、パスワード表示が必要になります)
自動接続オプション
利用者はワークフローの画面からログインを自動実行するアプリケーションを起動することができます。これにより、利用者の目にパスワードをさらさずに特権IDを利用させることができます。
例)RDPクライアント(MSTSC)を使ってWindowsサーバーへ自動ログインする
基本ワークフロー 5:特権IDの返却(チェックイン) / 6:パスワード変更
目的の業務が終了したら、利用者は特権IDの返却を行います。
Log compareとの連携
動作環境
AccessMatrix UCMの稼動要件は以下の通りです
種別 | 名称 |
HW | CPU:インテル Pentium4 2.0GHz以上(DualCore 推奨) Memory:2.0GB以上 空きHDD:50GB以上(監査ログの保管期間に応じ要検討) |
OS | Windows Server 2012, 2012 R2,2016 |
Database | MySQL 5.6.4以降 MS SQL Server 2012 R2 / 2014 / 2016 Oracle Database 11g / 12c PostgreSQL 9.6 Apatch Derby (トライアル専用) |
仮想環境 | ゲストOSの動作保証が取れているものであれば、問題ございません。 実績等につきましてはお問合せ下さい。 |
※上記にあてはまらないもの、最新の対応状況につきましてはお問い合わせ下さい。
パスワード自動変更対応プラットフォーム
AccessMatrix UCMは以下のプラットフォーム上で取り扱われるIDのパスワード自動変更が可能です。
種別 | 名称 |
データベース | Oracle Database Microsoft SQLServer IBM DB2 PostgreSQL MySQL※JDBC接続可能な環境が必要です |
ディレクトリサービス | Microsoft Active Directory Open LDAP 2.0/3.0 |
UNIX系OS | RedHat RHEL HP HP-UX IBM AIX Oracle Solaris他各種Linux |
非UNIX系OS | Microsoft Windows系OS(ローカルアカウント) IBM AS/400 HP NonStop OS Cisco系ネットワーク機器 VMWare ESXi |
※上記にないOS/データベース/アプリケーションについてはご相談下さい
FAQ
- 特権IDの申請者や申請理由などはログに残すことはできますか。可能です。ログには申請者、承認者、申請理由や利用日など、さまざまな情報が保存されます。
- 緊急で承認を得たい場合、承認者が外部環境から承認行為を行うことができますか。外部からUCMサーバにアクセスできる環境があれば可能です。特権IDのパスワードはパスワード付きのPDFファイルにも保存されますので、これをうまく運用することで緊急承認することも可能です。
- 申請時に指定できる特権IDの最大利用時間を教えてください。8760時間(1年)が最大利用時間です。
- 特権IDの申請後、申請を取り消すことはできますか。申請者であれば申請した特権IDを取り下げることができます。既に承認されたものについては取り下げができませんので、一旦チェックアウト(借用)を行った後、チェックイン(返却)する必要があります。
- 承認された特権IDの利用期間が過ぎたらどうなりますか。2つの手段を選択することが可能です。1つめは、チェックアウト(借用)時点から特権IDの利用期間が経過したら、強制的に自動でパスワード変更を行います。ログイン中のユーザがログアウトさせられることはありません。旧パスワードは無効となり新規ログインはできなくなります。2つめは、自動パスワード変更は行わない手段です。管理者はUCM管理インターフェースにアクセスしたときに、チェックイン(返却)期限を超えてもチェックイン(返却)されていない特権IDを知ることができます。
- ワークフローの中でメールが送信されるタイミングはどのようなイベントが発生したときでしょうか。ワークフローで連絡に必要と思われるタイミング全てにおいてメールが送信されます。個々の場面で出さないような設定も可能です。通常では、申請・承認、チェックアウト(借用)、チェックイン(返却)のタイミングで(申請時は申請者から承認者へ)メールが送信されます。メールの内容も編集可能です。URLを書いておき、メールから直接ログイン画面を呼び出すことも可能です。