特権アカウントのパスワード(以降「特権パスワード」と表記します)の保護と管理は、情報セキュリティリスクを減らすための最重要課題です。
この記事では、特権パスワードの保護と管理について、One Identity Safeguard 製品の1つであるSafeguard for Privileged Passwords(以降「SPP」と表記します)を紹介します。
One Identity は、アイデンティティを中心としたセキュリティソリューションを提供する
Quest Software 社のセキュリティブランドです。
One Identity Safeguard は、特権アクセスの保護、制御、監視、分析、管理を支援する
PAM(特権アクセス管理)ソリューションを提供します。
*One Identity社は PAMマーケットのリーダーです(One Identity 社のWeb ページが別タブで開きます。)
特権アクセス管理(PAM)製品による特権パスワード管理
特権アクセス管理製品の多くは、特権パスワードを「パスワードボールト(Password Vault = パスワード保管庫)」で保管し、利用を許可された人に必要な期間だけ提供することで、特権アカウントの安全な制御を支援します。
パスワードボールト(Password Vault)とは?
「ボールト(Vault)」とは、(地下などにある)「金庫室」、(銀行などの)「貴重品保管室」という意味の英単語です。「金庫室」や「貴重品保管室」を開けることができるのは、(通常は)「暗証番号や専用の鍵などを持っている人」に限られます。
つまり、「パスワードボールト(Password Vault)」とは、「パスワードを厳重かつ強固に保管する場所」であり、「利用を許可された人のみ」が保管されているパスワードを取り出すことができる仕組みを意味しています。
特権パスワードを厳重に保管する理由
特権アカウント(Administrator や root など)は、特別な権限を付与されたアカウントであり、組織の重要な IT リソースへ無制限にアクセスすることができます。このため、特権アカウントのパスワードがサイバー犯罪者に盗まれてしまうと、重要な IT リソースに無制限にアクセスされ、データ窃盗、データ漏えい、サービス停止など重大な被害が発生します。
特権パスワードの窃盗や漏えいリスクを減らすために、特権パスワードを「安全な場所で厳重に保管」することが必要不可欠です。(さらに、「認証された人にのみ、許可された権限の範囲内で開示する」仕組みも必要です。こちらについては、次回の記事で紹介を予定しています。)
SPP の特権パスワード管理 – パスワードボールト
SPP は、コンピューター、サーバー、ネットワークデバイス、ディレクトリ、アプリケーションなどの資産を安全に保護するための、パスワード、キー(鍵)、シークレットのボールト(Vault=保管庫)です。
SPP は、セキュリティに配慮した安全かつ堅牢な物理アプライアンスまたは仮想アプライアンスとして提供されます。
SPP は、特権パスワードを安全に保管することに加えて、以下のことが可能です:
- アカウントパスワードの手動/自動チェック(確認)
- アカウントパスワードの手動/自動変更
- パスワードの複雑さのルール(組織のパスワードポリシー)に従ったパスワード自動生成
- アカウントパスワードの柔軟な制御
- パスワード履歴の保存と表示
パスワードのチェック(確認)
パスワードのチェック(確認)機能を使用することで、SPP に保管されているアカウントパスワードと実際の端末のアカウントパスワードが一致しているかどうかを確認することができます。
パスワードが一致しなかった場合、パスワードが意図せず変更された可能性があります(SPP を介さずにパスワードが変更されています)。この場合、パスワードをリセット、またはこの端末の所有者に通知することができます。
パスワードチェック(確認)は、スケジュールによる自動実行も可能です。定期的にパスワードをチェックすることで、SPP が正しいパスワードを保管していること(=知らない間に特権パスワードが変更されていないこと)を保証することができます。
パスワードの変更
SPP は、管理対象端末のアカウントパスワードを変更することができます。
パスワード変更は、スケジュールによる自動実行も可能です。定期的にパスワードを変更することで、同一のパスワードを長期間使い続けるリスクを回避することができます。
パスワードルールの強制
SPP は、管理者が事前に定義したパスワードルール(パスワード長、先頭文字、末尾、大文字/小文字/数字/記号の使用許可など複雑さのルール)に従って、新しいパスワードを生成し、アカウントパスワードに適用します。
パスワードルールの設定画面例:
パスワードルールを定義しておくことで、脆弱なパスワードが使用されるリスクを回避することができます。
パスワードの柔軟な制御
SPP は、アカウントパスワードを柔軟に管理することができます。
たとえば、以下のような制御も簡単に実現することができます。
- サーバー A に6つのアカウントが存在し、このうち 1つのアカウントのパスワードは 7日ごとに変更するが、残りの 5つのアカウントのパスワードは 30日ごとに変更する。
- サーバー B、C はすべてのアカウントのパスワードを 90日ごとに変更する。
- その他の端末のアカウントのパスワードは 60日ごとに変更する。
イメージ図:
上述のパスワードルールは、パスワードの制御単位ごとに定義することができます。
評価版でお試しください…。
パスワード履歴の保存と表示
SPP は、アカウントパスワードの履歴を保存しています。権限を持つ SPP ユーザーは、アカウントパスワードの履歴を閲覧することができます。
指定した日付以前に割り当てられていたパスワードが表示されます。
※使用中のパスワードは表示されません。
まとめ
SPP は、特権パスワードを安全に保護し、漏えいリスクを低減させます。
SPP を導入した場合に得られる主な効果(パスワードボールト機能のみ)には、以下があります:
- ユーザーによる不適切なパスワード保管(ポストイットに書いたり、スプレッドシートに入力したり、他の人と共有したり…)がなくなります。
- 組織のパスワードポリシーを順守したパスワードを強制することができます(推測されやすい脆弱なパスワードが使用されなくなります)。
- 同じパスワードが長期間使用されることがなくなります。
- 複数ユーザーによる特権パスワードの使いまわしをなくすことができます。
- パスワードの適用履歴を手動で管理する必要がなくなります。
SPP 製品紹介ページ
SPP には、この記事で紹介した以外にも機能があります。
その他の特長や機能については、 SPP の製品紹介ページをご参照ください。
SPP 評価版のご案内
SPP の評価版は、仮想アプライアンス(OVAまたはVHDXファイル)で提供いたします。
SPP の評価版では、すべての機能を 90日間無料でご利用いただけます。
評価版の利用をご希望いただく場合は、下記お問い合わせフォームから評価ライセンスをお申し込みください。
お問い合わせ
購入前の SPP に関するお問い合わせは、下記お問い合わせフォームからお問い合わせください。