Safeguard for Privileged Sessions 特権セッション管理(SPS)で多要素認証(MFA)を使用する

リモートワークが普及した中、ゼロトラストの一環として多要素認証(MFA)サービスを導入するケースが増えてきています。 今回は、MFAサービスを使用して、特権アクセス管理(PAM)のユーザーセッションを認証する方法を説明します。

多要素認証(MFA)とは

IDおよびパスワードによる認証を行う場合、外部攻撃や内部不正などでIDやパスワードが漏えいするセキュリティリスクがあります。
そこで、複数の要素を組み合わせる多要素認証方式の必要性が高まっています。

「記憶情報」であるIDやパスワード以外に、スマートフォンなどの「所持情報」や、指紋や静脈などの「生体情報」をあわせて使用する方式を「多要素認証」といいます。

本ブログでは、「記憶情報」に「所持情報」を組み合わせた認証方式を、特権セッション管理SPS(Safeguard for Privileged Sessions)の操作例で説明します。

特権ID(アカウント)の資格情報ストアとしてLDAPやActive Directoryなどを利用できますが、ここでは特権パスワード管理SPP(Safeguard for Privileged Passwords)を使用して説明します。

プラグインのアップロードと設定

SPSは、Duo、Okta、inWeboなどの多要素認証サービスの専用プラグインを提供しています。詳しくは、こちらにお問合せください。専用プラグインを使用するにあたり、次の前提条件があります。

  • 多要素認証サービスアカウントへの管理者アクセスが可能であること
  • 多要素認証サービスに必要なコンポーネントがすべて揃っていること

プラグインのアップロード

SPSのMFAプラグインをダウンロードします。MFAプラグインは、弊社サイトよりダウンロードできます。詳しくは、こちらにお問合せください。

SPS Web GUIにログインし、[Basic Settings]>[Plugins]ページで[Upload plugin]をクリックして、ダウンロードしたプラグインをSPSにアップロードします。

プラグインの編集

[Policies]>[AA Plugin Configuration]ページで、アップロードしたプラグインを選択します。

使用する多要素認証サービス環境にあわせて、[Configuration]を編集します。

プラグインのコンフィグレーションは、多要素認証サービスによって異なります。例えば、必要な情報として、APIトークン、APIキー、サービスIDやアプリケーションIDなど様々です。プラグインごとにチュートリアル(英語)を提供していますので、こちらにお問合せください。

プラグインの設定

対象プロトコル(ここではRDP)の接続ポリシーページ([RDP Control]>[Connections])で、使用するプラグインを設定します。

以上で、SPSのプラグインの設定は完了です。

ユーザー操作例:RDPセッション

ここでは、特権パスワード管理(SPP)で対象サーバーへのアクセスを申請し、RDPセッションを開始します。SPPでのRDPセッション申請の手順については、以前のブログの申請者による RDP セッション申請をご参照ください。

SPPでのRDPセッション開始

ユーザーによるRDPセッションの申請が完了すると、次のような画面になります。

[RDP セッションの開始]をクリックします。

SPPは対象サーバーの特権ID(アカウント)とパスワードをトークンで送信して、SPSにアクセスします。

SPPとSPSを連携した場合、ユーザーにはパスワードを表示しないで、対象サーバーに自動的にログインできます。

リモートデスクトップ接続が起動し、次のようなSPSの画面が表示されます。

ここでは、MFAのプッシュ通知機能を使用しますので、何も入力せずに[OK]ボタンをクリックします。

MFAのプッシュ通知

SPSはMFAにアクセスし、MFAはユーザーのモバイル端末にプッシュ通知します。

ユーザーが承認ボタン☑をクリックすると、対象サーバーへのリモートデスクトップ接続が完了します。

SPSによるRDPセッションの記録・再生

SPSはRDPセッションを、ほぼリアルタイムに記録します。ブラウザーやSPS専用プレーヤー(Safeguard Desktop Player)を使用して、ユーザー操作を監視することもできます。

リモートデスクトップ接続終了後に、操作画面ログを証跡として閲覧できます。

さいごに

このように、ID(アカウント)とパスワードで認証した後に、MFAを使用した本人確認による多要素認証が可能となります。

また、特権セッション管理(SPS)は特権パスワード管理(SPP)と連携して、特権アクセス管理(PAM)として導入できます。

SPS/SPP製品紹介ページ

SPS および SPP には、この記事で紹介した以外にも機能があります。
その他の特長や機能については、それぞれの製品紹介ページをご参照ください。

SPS/SPP 評価版

SPS および SPP の評価版は、仮想アプライアンス(OVAまたはVHDXファイル)で提供いたします。
SPS および SPP の評価版では、すべての機能を 90日間無料でご利用いただけます。
評価版の利用をご希望いただく場合は、下記お問い合わせフォームから評価ライセンスをお申し込みください。

お問い合わせ

購入前の SPS に関するお問い合わせは、下記お問い合わせフォームからお問い合わせください。

こんな記事も読まれています

最新記事

おすすめ記事

  1. 産業スパイを発見し、防ぐ方法とは

  2. Flexible NetFlowとは?を5分で理解する

  3. WinSyslog 使い方ガイド#2 受信時刻とデバイスタイムスタンプ両方を出力する

製品カテゴリー

JTC IT用語集
TOP