【Safeguard for Privileged Passwords(SPP)】 ロールベースのアクセス許可(RBAC)

SPP は、ロールベースのアクセス制御(RBAC)に基づいて、ユーザーを管理します。
今回は、SPP のロールベースのアクセス制御を紹介します。

ロールベースのアクセス制御(RBAC)とは?

「ロールベースのアクセス制御(RBAC)」とは、ユーザーの「ロール(role:役割)」により「アクセス許可」権限を割り当てるアクセス制御方式の1つです。

ユーザーは、自分の業務(役割)に関係のあるシステムやデータへのみアクセスが許可され、自分の業務(役割)に関係のない情報へのアクセスは拒否されます。

SPP のロールベースのアクセス制御(RBAC)

SPP では、ユーザーまたはユーザーグループに、SPP に用意されている 「アクセス許可」権限を割り当てることで、そのユーザーまたはユーザーグループに所属するユーザーに対して SPP の特定の機能へのアクセスを許可します。

アクセス許可権限の割り当てにおけるベストプラクティス:
アクセス許可権限の割り当てにおけるベストプラクティスは、職務分掌(SoD)の原則に従うことです。
「資産」、「セキュリティポリシー」、「ユーザー」、「監査人」のアクセス許可権限は、異なるユーザーに割り当てることが推奨されます。

SPP の管理者アクセス許可

SPP の管理者アクセス許可には以下のものがあります:

アクセス許可説明
権限許可者ユーザーの作成およびユーザーへのアクセス許可の管理を行います。パスワード設定、ロック解除、ユーザーの有効化/無効化を行います。
ユーザー新しいユーザーの作成、非管理ユーザーのパスワードのロック解除およびリセットを行います。
Help Desk非管理ユーザーアカウントのパスワード設定、すべてのユーザーのロック解除を行います。
アプライアンスSPP アプライアンスの構成と保守を行います。
操作SPS アプライアンスの状態を監視し、アプライアンスを再起動することができます。
監査人すべての機能に対する読み取り専用アクセス権を持ちます。 すべてのアクセスリクエストアクティビティを確認することができます。
アプリケーション監査人資産管理機能とセキュリティポリシー管理機能に読み取り専用でアクセスできます。
システム監査人アプライアンス管理機能とユーザー管理機能に読み取り専用でアクセスできます。
資産パーティション、資産、アカウントの追加、編集、削除を行います。
セキュリティポリシーアカウントや資産へのアクセスを制御する資格およびポリシーの追加、編集、削除を行います。

*1人のユーザーに複数のアクセス許可権限を割り当てることもできます。

SPP の非管理ユーザー(= 標準ユーザー)

SPP の非管理ユーザー(以降は「標準ユーザー」と表記します)とは、「アクセス許可」権限を割り当てられていないユーザーのことです。

これら標準ユーザーは、SPP Web GUI から、管理対象システム上のアカウントの利用申請、申請の承認、申請のレビューを行います。

標準ユーザーの SPP Web GUI には、(管理機能へのメニューが表示されないため)SPP の管理機能へアクセスすることはできません。

SPP の管理ユーザー

SPP の管理ユーザーは、割り当てられたアクセス許可権限に関係する機能へのみ、アクセスすることができます。

例:「ユーザー」 アクセス許可権限を持つ管理ユーザーの場合

ここでは、「ユーザー」アクセス許可権限を持つユーザーを例として説明します。

* 「ユーザー」アクセス許可権限は「Help Desk」アクセス許可権限を含みます。

下図は、「ユーザー」アクセス許可権限を持つユーザーの SPP Web GUI です。
「ユーザー」管理ユーザーには、「ユーザー管理」メニューが表示され、ユーザーまたはグループ管理のための機能を使用することができます。

レポート機能では、自分の業務(ユーザー管理)に関係のあるログのみを閲覧することができます。

例:「監査人」アクセス許可権限を持つ管理ユーザーの場合

次に、「監査人」アクセス許可権限を持つユーザーの SPP Web GUI を見てみます。

*「監査人」アクセス許可権限は「アプリケーション監査人」および「システム監査人」アクセス許可権限を含みます。

下図は、「監査人」アクセス許可権限を持つユーザーの SPP Web GUI です。
「監査人」 アクセス許可権限を持つ管理ユーザーには、すべてのメニューが表示されます。

監査人ユーザーは、すべての機能に読み取り専用でアクセスすることができます。

* 鉛筆アイコンは、[詳細の表示]のためのオプションです。編集のためのオプションではありません。

また、監査人ユーザーは、レポートからすべてのアクセスリクエストアクティビティを確認することができます。

さいごに

SPP は、ユーザーに自身のロール(業務上の役割)を行うために必要な情報と機能へのみアクセスを許可します。アクセス範囲を必要最小限に制限することで、情報セキュリティを高めることができます。

SPP 製品紹介ページ

SPP には、この記事で紹介した以外にも機能があります。
その他の特長や機能については、それぞれの製品紹介ページをご参照ください。

SPP 評価版

SPP の評価版は、仮想アプライアンス(OVAまたはVHDXファイル)で提供いたします。
SPP の評価版では、すべての機能を 90日間無料でご利用いただけます。
評価版の利用をご希望いただく場合は、下記お問い合わせフォームから評価ライセンスをお申し込みください。

お問い合わせ

購入前の SPP に関するお問い合わせは、下記お問い合わせフォームからお問い合わせください。

こんな記事も読まれています

最新記事

おすすめ記事

  1. 産業スパイを発見し、防ぐ方法とは

  2. Flexible NetFlowとは?を5分で理解する

  3. WinSyslog 使い方ガイド#2 受信時刻とデバイスタイムスタンプ両方を出力する

製品カテゴリー

JTC IT用語集
TOP