はじめに
前回のブログ記事
特権アクセス管理の方法:パスワードを通知するか隠すか/操作記録は必要か [PAM/PASM]
では、重要システムへのアクセスを制御するために、特権アカウント・パスワードを管理する必要性を説明しました。
また、特権アカウント管理製品 (PAM/PASM) の主だった機能や特徴を説明しました。
なかでも見落としがちである
- パスワードを利用者に表示・通知しても問題ないのか
- 操作記録は行わなくても問題ないのか
の 2 点に注目しました。
今回のブログ記事では、PAM/PASM 製品の実際の動作イメージをつかむために、弊社の取り扱い製品である Syteca(サイテカ、旧称 Ekran / 2024年10月改称予定)を例にして設定や動作の流れを説明します。
構成
Syteca は「Syteca 管理サーバー」と「Syteca エージェント」から構成されます。
次の図のように、「踏み台 Windows Server」 に「Syteca エージェント」をインストールして、「利用者」の「重要システム」(重要サーバー等)へのリモートアクセスをコントロールします(同時にユーザー操作を画面記録します)。
※1
「Syteca エージェント」は「利用者のローカル Windows」と「踏み台 Windows Server」のどちらでも動作可能です。今回のブログ記事の説明では「踏み台 Windows Server」に「Syteca エージェント」をインストールした場合を想定します。
※2
リモートアクセス先「重要システム」は「Windows (RDP)」「Linux 等 (SSH)」「Web システム (HTTPS)」のいずれも使用可能です。今回のブログ記事の説明では「Windows (RDP)」を想定します。
前提
利用者は
- 「踏み台 Windows Server」のログインパスワードを知っています。
- 「重要システム」のログインパスワードを一つも知りません。
そして
- 「Syteca エージェント」は「利用者」のために「重要システム」のパスワードを代理で自動入力します。
つまり、「利用者」は「Syteaca エージェント」を通さなければ「重要システム」にアクセスできません。
設定
「Syteca 管理者」は「Syteca 管理サーバー」の Web 管理画面にログインして、「利用者」が「踏み台」からどの「重要システム」にアクセス可能か(リモートアクセスの許可/接続ルール)を設定します。
具体的には、次の内容を含むルールを設定します。
(設定1) 「利用者」の「踏み台」におけるログイン名(許可されたユーザー)
(設定2) 「踏み台」から「重要システム」への接続に使用するアプリ(プロトコル・タイプ)
(設定3) 「重要システム」のホスト名または IP アドレス(接続先)
(設定4) 「重要システム」にログインするためのログイン名
(設定5) 「重要システム」にログインするためのパスワード
Syteca の実際の管理画面のスクリーンショットを示します:
「Ekran 管理者」は次の(リモートアクセスの許可/接続ルール)を設定しました:
(設定1) 踏み台に「taro」 がログインしているなら (許可されたユーザー) 、
(設定2) 「リモートデスクトップ/RDP」を使用して (プロトコル・タイプ)、
(設定3) 「10.0.20.254 (Remote Win Svr A)」に接続して (接続先)、
(設定4) 「Administrator」として作業可能 (ログイン名/自動入力)。
(設定5) このときパスワードは、*** (パスワード/自動入力) 。
実動作(スクリーンショット)
それでは、「利用者」が「踏み台」にログインして、さらに「重要システム」にログインするときの、
- 「利用者」の操作と、
- Syteca の動作を
見てみます。
「利用者」は自分のローカル PC にてリモートデスクトップクライアント(mstsc.exe)を開いて、「taro」として「踏み台」にログインします。
「踏み台」のデスクトップが表示されます。
※ Syteca エージェントは操作記録を開始します。
「利用者」(taro) は「重要システム」での作業をしなければいけませんので、接続しようとします。
「踏み台」のデスクトップにある Syteca のアイコン (旧称 Ekran System で表示されています) をダブルクリックすると、「利用者」(taro) が使用可能な「リモートアクセスの許可/接続ルール」が表示されます。
「利用者」(taro) は使用したい「重要システム」のルールを選択して、「Connect」ボタンをクリックします。
すると、Syteca エージェントは、「Syteca 管理者」が事前に設定しておいたルールに従って、次の処理を行います。
(設定1) ※「taro」へのルール提示の段階で、「許可されたユーザー」に taro が含まれるルールだけを提示する処理を実施
(設定2) リモートデスクトップクライアント (mstsc/RDP) を自動起動
(設定3) 「10.0.20.254」に接続
(設定4) ログイン名「Administrator」を自動入力
(設定5) パスワードを自動入力 (「利用者」taro には非通知・非表示)
「利用者」(taro) は「Connect」ボタンをクリックした後、しばらく待っていれば、目的の「重要システム」に接続され、デスクトップが表示されます。
「利用者」(taro) は「重要システム」で必要な作業を行い、全部が終わったら、「重要システム」からログアウトし、さらに「踏み台」からもログアウトします。
※Syteca エージェントは記録を停止します。
実動作(図)
利用者が「重要システム」にログインする際の実動作をスクリーンショットとともに示しました。
もう一度、頭を整理するために、
- Syteca 管理者
- Syteca 管理サーバー
- Syteca エージェント
- 利用者
に注目して整理した図を示します。
利用・処理を行う主だった参加者間の関係・データを整理することで、
- 製品の処理と、お客様のユースケース・タイミングとを比較して齟齬・矛盾が無いか
- 各システムコンポーネントの配置や接続
- 監査者が使用可能なデータに不足はないか
といった目的・既存環境との適合や、環境の事前準備の検討をしやすくなります。
監査
「利用者」が「重要システム」にログインする際に Syteca がどのように動作するかを見てきました。
さらに「Syteca 管理者」が「利用者」の「重要システム」へのアクセスを監査する際には、Syteca がどのようなデータを提供可能かを見てみます。
Syteca は次のタイミングで、「利用者」のシステム利用状況等を取得します。
- 「踏み台」にログインしたとき:ユーザー名、日時、踏み台サーバー名、等
- 「踏み台」のログインからログアウトまで:画面を含む詳細なユーザー操作
- 「アクセス許可・接続ルール」を使用開始したときの、ユーザー名、日時、ルール名、等
- (今回は、説明をシンプルにするために省きましたが、設定によって、次が可能)
- 「踏み台」ログイン時に毎回、「利用者」に利用目的を記入させる、また、都度承認を得られたときだけログイン可能にする
- アクセス許可・接続ルールの使用開始時に毎回、「利用者」に利用目的を記入させる、また、都度承認を得られたときだけ使用可能にする
「Syteca 管理者」は「Syteca 管理サーバー」にて、上記のような条件で「利用者」の「重要システム」へのアクセスを検索できます。
さらに「利用者」がどのような作業を行ったのかを、プレイヤー機能を使用して、再生している様子を示します。
PASM の主要機能の再確認
Syteca (サイテカ) を例にして PASM の実際の「設定」「実動作」「監査」の様子を説明しました。
比較的簡単な設定で開始でき、利用者も既存の Windows 踏み台やリモート接続クライアントを使用でき、監査も直感的に行える、という特徴があります。
前回のブログ記事
特権アクセス管理の方法:パスワードを通知するか隠すか/操作記録は必要か [PAM/PASM]
では PASM (パスワード自動入力型) の主要な機能を 5 個挙げました。
今回実例として挙げた Syteca でも、これらの機能を満たせているかどうかを確認してみます。
- パスワードは暗号化されて安全に保管されている
- 「Syteca 管理者」が登録したパスワードは暗号化され、「利用者」や攻撃者に閲覧されないように、安全に保管されています。
- 利用の申請、承認者への通知が自動化されている。パスワードは自動入力される
- 「利用者」が使用したい接続ルールをクリックすると(追加設定で都度の使用申請も可能)、ルールに従って自動でパスワードが入力されます
- パスワードは利用者に隠したままなので、利用後のパスワードの変更は必須ではない
- パスワードは非表示・非通知の状態で自動入力されるため、「利用者」はパスワードを知らないままです
- 誰がいつパスワードを使って重要システムにアクセスしたかが記録されている
- 接続ルールの使用のたびに、「利用者」「日時」「接続先」等が自動で記録され、後で検索できます
- 重要システムにアクセスして行った操作(セッション)が記録されている
- Syteca の記録機能により、ログインからログアウトまでのすべての操作が画像とともに詳細に記録されます
PAM/PASM 導入の際の考慮事項(まとめ)
前回と今回の 2 回のブログ記事で、次のことがわかりました
- 重要システムのアクセスに使用するパスワードは、表計算ソフトのファイルなどで手動管理しようとしても、手間がかかるうえに安全な状態を確保できません
- PAM/PASM 製品を導入すれば多くの問題が解決しますが、いくつか見落としがちなポイントがあります
- パスワードを利用者に通知・表示してしまうと、他の人に使用されたり、承認外の再使用をされたりするリスクがあります
- パスワード利用時の操作を記録する機能を欠いていると、利用者の名前、申告内容と日時くらいしか監査のデータが残されないため、不正の検知が困難です
(内部不正対策のはずが、内部不正者の自己申告に頼っている状態に陥ります)
- お客様の目的や環境によって適合する PAM/PASM 製品は異なりますから、製品の「前提」「構成」「実動作」「使用感」「監査データ」「目的・機能への適合」などの具体的なイメージを得るまで理解を深めると、正しい選択につながります
Syteca (旧称 Ekran) について
弊社ジュピターテクノロジーでは Syteca (サイテカ/旧称 Ekran)という製品を取り扱っています。
Syteca は PASM としても利用可能です。
興味をお持ちになった方は製品ページをご覧ください。