【Safeguard for Privileged Passwords(SPP)】 特権アカウントのパスワードを管理する(2)- 申請/承認ワークフロー (管理者ユーザー設定編)

前回の記事では、SPP が特権パスワードを「パスワードボールト」で厳重に保管し、柔軟に制御できることを紹介しました。

今回は、特権パスワードを「承認された人にのみ、許可された権限の範囲内で開示する」仕組みを提供する「申請/承認ワークフロー」を紹介します。

特権パスワード管理のための 「申請/承認ワークフロー」

特権パスワード管理における「申請/承認ワークフロー」とは、特権パスワードの利用申請から承認(または事後承認)までに必要な業務上の一連の手続きのことです。

「申請/承認ワークフロー」を利用する理由

「申請/承認ワークフロー」を利用することで、特権パスワードを「申請を許可された人に、許可された権限の範囲内で、必要な期間だけ提供」することができます。

また、この一連の手続き(「誰が」「いつ」「どのシステムのどのアカウントへの」「いつからいつまでの」利用を申請したか、また、「誰が」「いつ」「承認または拒否」したか)を記録に残すことができます。

「申請/承認ワークフロー」運用上の課題

特権パスワードの保護のために「申請/承認ワークフロー」を利用することは、セキュリティ対策として有効ですが、これを手動で運用するのはとても大変です。

申請者の悩み例:

承認者の悩み例:

SPP などの特権パスワード管理製品は、これらの課題を解決する「自動化された申請/承認ワークフロー」機能を提供します。

SPP の「申請/承認ワークフロー」

SPP では、優先度、時間制限、自動承認/手動承認(複数人での承認)、レビューの要/不要、緊急アクセス、ポリシーの有効期限、申請理由の入力など、「申請/承認ワークフロー」を細かく制御することができます。

SPP のワークフロー設定項目

SPP のワークフロー関連の主な設定項目は以下の表のとおりです:

制御設定説明
優先度ポリシーの優先度を設定することができます。
有効期限ポリシーの有効期限日時を設定することができます。
時間制限申請を許可する曜日および時間帯を制限することができます。
申請可能なアクセスタイプ資格情報(パスワード/SSH キー) または セッション(RDP/SSH/Telnet) のいずれかから選択することができます。
パスワード/SSHキーの非開示(SPS と連携利用の場合)特権パスワードおよび SSH キーをユーザーに開示することなく、管理対象端末へのセッションを開始することができます。
SSH キーパスフレーズ保護アクセスタイプが SSH キーの場合、パスフレーズを保護の対象とすることができます。
同時アクセス許可(最大同時ユーザー数)複数ユーザーによる同一アカウントへの同時アクセスを許可することができます。許可した場合、同時アクセスを許可する最大ユーザー数を指定することができます。
チェックイン後にパスワード/SSHキー変更特権パスワードの利用期限切れ後、またはユーザーによる作業終了宣言後にパスワードおよびSSH キーを自動変更します。これにより、新たな利用申請が承認されるまで、特権アカウントへアクセスすることはできなくなります。
アクセス承認期間申請者が申請したアカウントにアクセスできる期間を制御することができます。
緊急アクセスの許可申請の即時承認を許可することができます。
コメント入力の強制申請者がコメントを入力することを強制することができます。
理由選択の強制申請者が理由を選択することを強制することができます。
自動承認申請を自動承認済みとすることができます。
承認者設定申請承認に必要な承認数、承認者ユーザー/承認者グループを設定することができます(複数可)。
レビューの要/不要完了した申請に対して、レビューを必要とするかしないかを制御することができます。
レビュー担当者設定レビュー完了に必要なレビュー完了数、レビュー担当ユーザー/レビュー担当グループを設定することができます(複数可)。
レビュー保留中のアクセスブロック申請のレビューが完了していない場合、新しい申請が承認されたかどうかに関わらず、アクセスをブロックすることができます。

詳しくは、「SPP 管理者ガイド」をご参照ください。

SPP のワークフロー設定画面

SPP のワークフローは、わかりやすい Web GUI 上で簡単に設定することができます。

設定イメージ ①:有効期限および時間制限の設定

設定イメージ ②:ポリシー優先度

設定イメージ ③:チェックイン後のパスワード/SSH キー自動変更の有効化

設定イメージ ④:緊急アクセスの許可、申請理由の設定

設定イメージ ⑤:手動承認設定

設定イメージ ⑥:レビュー担当者設定

まとめ

SPP は、特権パスワードを安全に保護し、漏えいリスクを低減させます。
SPP を導入した場合に得られる主な効果(申請/承認ワークフロー機能のみ)には、以下があります:

  • 申請および承認作業の手間を削減します。
  • わかりやすい Web GUI上での簡単な作業で、ワークフローポリシーを細かく制御することができます。
  • 特権パスワードの利用に関わる一連の作業(申請、承認、特権パスワードの開示、利用終了または失効、事後承認)を漏れなく記録することができます。
  • 緊急対応時の申請承認処理をスキップすることができます。
  • 必要に応じて事後に承認(レビュー)することもできます
  • 作業終了後または期限切れ後にパスワード/SSH キーを自動変更することで、外部のサイバー犯罪者だけでなく、内部の不正利用にも備えることができます。

ご興味がございましたら、評価版でお試しください。

SPP 製品紹介ページ

SPP には、この記事で紹介した以外にも機能があります。
その他の特長や機能については、 SPP の製品紹介ページをご参照ください。

SPP 評価版のご案内

SPP の評価版は、仮想アプライアンス(OVAまたはVHDXファイル)で提供いたします。
SPP の評価版では、すべての機能を 90日間無料でご利用いただけます。
評価版の利用をご希望いただく場合は、下記お問い合わせフォームから評価ライセンスをお申し込みください。

お問い合わせ

購入前の SPP に関するお問い合わせは、下記お問い合わせフォームからお問い合わせください。

こんな記事も読まれています

最新記事

おすすめ記事

  1. 産業スパイを発見し、防ぐ方法とは

  2. Flexible NetFlowとは?を5分で理解する

  3. WinSyslog 使い方ガイド#2 受信時刻とデバイスタイムスタンプ両方を出力する

製品カテゴリー

JTC IT用語集
TOP