Safeguard for Privileged Sessions 特権セッション管理(SPS)で多要素認証(MFA)を使用する

リモートワークが普及した中、ゼロトラストの一環として多要素認証(MFA)サービスを導入するケースが増えてきています。 今回は、MFAサービスを使用して、特権アクセス管理(PAM)のユーザーセッションを認証する方法を説明します。

多要素認証(MFA)とは

IDおよびパスワードによる認証を行う場合、外部攻撃や内部不正などでIDやパスワードが漏えいするセキュリティリスクがあります。
そこで、複数の要素を組み合わせる多要素認証方式の必要性が高まっています。

「記憶情報」であるIDやパスワード以外に、スマートフォンなどの「所持情報」や、指紋や静脈などの「生体情報」をあわせて使用する方式を「多要素認証」といいます。

本ブログでは、「記憶情報」に「所持情報」を組み合わせた認証方式を、特権セッション管理SPS(Safeguard for Privileged Sessions)の操作例で説明します。

特権ID(アカウント)の資格情報ストアとしてLDAPやActive Directoryなどを利用できますが、ここでは特権パスワード管理SPP(Safeguard for Privileged Passwords)を使用して説明します。

プラグインのアップロードと設定

SPSは、Duo、Okta、inWeboなどの多要素認証サービスの専用プラグインを提供しています。詳しくは、こちらにお問合せください。専用プラグインを使用するにあたり、次の前提条件があります。

  • 多要素認証サービスアカウントへの管理者アクセスが可能であること
  • 多要素認証サービスに必要なコンポーネントがすべて揃っていること

プラグインのアップロード

SPSのMFAプラグインをダウンロードします。MFAプラグインは、弊社サイトよりダウンロードできます。詳しくは、こちらにお問合せください。

SPS Web GUIにログインし、[Basic Settings]>[Plugins]ページで[Upload plugin]をクリックして、ダウンロードしたプラグインをSPSにアップロードします。

プラグインの編集

[Policies]>[AA Plugin Configuration]ページで、アップロードしたプラグインを選択します。

使用する多要素認証サービス環境にあわせて、[Configuration]を編集します。

プラグインのコンフィグレーションは、多要素認証サービスによって異なります。例えば、必要な情報として、APIトークン、APIキー、サービスIDやアプリケーションIDなど様々です。プラグインごとにチュートリアル(英語)を提供していますので、こちらにお問合せください。

プラグインの設定

対象プロトコル(ここではRDP)の接続ポリシーページ([RDP Control]>[Connections])で、使用するプラグインを設定します。

以上で、SPSのプラグインの設定は完了です。

ユーザー操作例:RDPセッション

ここでは、特権パスワード管理(SPP)で対象サーバーへのアクセスを申請し、RDPセッションを開始します。SPPでのRDPセッション申請の手順については、以前のブログの申請者による RDP セッション申請をご参照ください。

SPPでのRDPセッション開始

ユーザーによるRDPセッションの申請が完了すると、次のような画面になります。

[RDP セッションの開始]をクリックします。

SPPは対象サーバーの特権ID(アカウント)とパスワードをトークンで送信して、SPSにアクセスします。

SPPとSPSを連携した場合、ユーザーにはパスワードを表示しないで、対象サーバーに自動的にログインできます。

リモートデスクトップ接続が起動し、次のようなSPSの画面が表示されます。

ここでは、MFAのプッシュ通知機能を使用しますので、何も入力せずに[OK]ボタンをクリックします。

MFAのプッシュ通知

SPSはMFAにアクセスし、MFAはユーザーのモバイル端末にプッシュ通知します。

ユーザーが承認ボタン☑をクリックすると、対象サーバーへのリモートデスクトップ接続が完了します。

SPSによるRDPセッションの記録・再生

SPSはRDPセッションを、ほぼリアルタイムに記録します。ブラウザーやSPS専用プレーヤー(Safeguard Desktop Player)を使用して、ユーザー操作を監視することもできます。

リモートデスクトップ接続終了後に、操作画面ログを証跡として閲覧できます。

さいごに

このように、ID(アカウント)とパスワードで認証した後に、MFAを使用した本人確認による多要素認証が可能となります。

また、特権セッション管理(SPS)は特権パスワード管理(SPP)と連携して、特権アクセス管理(PAM)として導入できます。

SPS/SPP製品紹介ページ

SPS および SPP には、この記事で紹介した以外にも機能があります。
その他の特長や機能については、それぞれの製品紹介ページをご参照ください。

SPS 製品紹介ページはこちら
SPP 製品紹介ページはこちら

SPS/SPP 評価版

SPS および SPP の評価版は、仮想アプライアンス(OVAまたはVHDXファイル)で提供いたします。
SPS および SPP の評価版では、すべての機能を 90日間無料でご利用いただけます。
評価版の利用をご希望いただく場合は、下記お問い合わせフォームから評価ライセンスをお申し込みください。

SPS 評価ライセンスお申込みフォーム
SPP 評価ライセンスお申込みフォーム

お問い合わせ

購入前の SPS に関するお問い合わせは、下記お問い合わせフォームからお問い合わせください。

お問い合わせフォーム

こんな記事も読まれています

最新記事

おすすめ記事

  1. 「リモートデスクトップの操作が遅い!」の原因を高速特定!ntopngによる輻輳原因の究明アプローチを実例でご紹介

  2. フリーWi-Fiに潜む悪魔の双子(エビルツイン)とは。加害者・被害者にならないために知るべきこと

  3. Syslogサーバー構築手順~インストールから初期設定まで~WinSyslogの使い方

製品カテゴリー

NetFlow ntop sFlow SNMP SSB Syslogサーバー シスログサーバー セキュリティブログ トラフィック監視 ネットワーク監視 ログ保存 ログ管理 ログ管理ブログ 機器・サーバー監視のへや 証跡管理

JTC IT用語集
TOP