↻2021/11/8更新
従来よりご提供しておりました特権ユーザーアクセス管理ソリューション Balabit PSM(旧SCB)は、One Identity社による買収に伴い、Safeguard for Privileged Sessions (略称SPS)に名称を変更しました。Balabit PSMの機能は、そのまま継承されています。本ブログでは、SPS の概要および特長について、あらためてご紹介します。
SPSができること!
① 特権ユーザーのアクセスを制御
② 特権ユーザーの操作を監査証跡として記録
リモートアクセス環境などで利用される”踏み台サーバー”の機能と、監査やコンプライアンス対応で必要とされる”証跡管理サーバー”の機能をオールインアプライアンスで提供できるのが、”Safeguard for Privileged Sessions (SPS)”です。
アプライアンス
SPS は導入が簡単で、メンテナンスも容易です。例えば、Windows サーバーの場合、サーバーごとにOS やアプリケーションのアップデートやセキュリティパッチの適用などが大変ですが、SPS ならファームウェアイメージとして提供されるソフトウェアのアップグレードだけです。SPS は、ハードウェアアプライアンスとバーチャルアプライアンスを用意しています。
エージェントレス
クライアントとサーバーから独立しており、既存環境への影響を少なくシームレスに統合できます。クライアントやサーバーにエージェントのインストール不要、またエージェントがインストールできないネットワーク機器などの環境にも統合できます。
SPS は、クライアントとサーバー/ネットワーク機器間の通信経路に設置するだけです。次の用途などに適用できます。
- リモートメンテナンス環境の構築
- 特権ユーザー(ITスタッフや外部委託業者など)の監視・監査
- PCI DSS などのコンプライアンス遵守
- インシデント発生時のフォレンジック対応
SPSのアクセス制御
SPS は、アプリケーションレベルのプロキシゲートウェイとして動作します。「誰が」、「いつ」、「どのサーバー/ネットワーク機器」にリモートアクセスできるか制御できます。
例えば、
- 特権ユーザーAは、Web サーバーのみアクセス可能
- 特権ユーザーBは、Windows ターミナルサーバーのみアクセス可能
- 外部委託業者Cは、ネットワーク機器のみアクセス可能
また、監査証跡の閲覧権限を、管理者ごとに設定できます。
- 管理者Xは、特権ユーザーAとBの監査証跡を閲覧可能
- 管理者Yは、外部委託業者の監査証跡のみ閲覧可能
詳細なアクセス制御
以下のような、きめ細やかなパラメーターを設定できます。
- ユーザーやグループ(LDAP など連携可能)
- IPアドレスまたはホスト名
- リモートアクセスできる時間(平日9-17時など)
- プロトコルのチャネルタイプごと(例:SSHのSCPやSFTP、RDPのファイル共有) 等
SPSの監査証跡記録
SPS は、クライアントとサーバー/ネットワーク機器間のトラフィックからパケットデータを取得し、完全性の高い動画で記録します。SPS の監査証跡は、暗号化・タイムスタンプ・デジタル署名が可能で、機密性や信頼性の高い情報を提供できます。
SPS は、リモートアクセス時のセッション情報をメタデータとして保存しています。様々なパラメーターを設定して、監査証跡を検索できます。
パラメーターの例は、次の通りです。
- リモートアクセス接続の許可/拒否
- クライアントIPアドレス
- 監査対象(接続先)サーバーやネットワーク機器のIPアドレス
- ユーザー名
- プロトコル(SSHやRDPなど)やプロトコルチャネルタイプ(SCPやSFTPなど)
- リモートアクセス日時
他にも、役に立つ機能が搭載されています。
- 豊富な対応プロトコル(SSH、RDP、Telnet、http、VNC、ICA)
- 不正操作のリアルタイムアラート・防止
- 二次認証などのゲートウェイ認証 等
詳しくは製品紹介ページ・製品ガイドをご参照ください。
ダウンロード(評価版)
Safeguard for Privileged Sessions (SPS) には評価版ソフトウェア(30日間)を用意しています。ぜひお試しください。
お問合せ
購入前のSafeguard for Privileged Sessions (SPS)についてのお問合せは以下から承っております。
ご不明な点やお気づきの点がございましたらお問い合せください。
ご不明な点やお気づきの点がございましたらお問い合せください。
