前回までの記事では、SPP の主な機能(パスワードボールト、申請/承認ワークフロー、作業ログの記録と閲覧)について紹介しました。
SPP は単独でご利用いただくことができますが、特権セッション管理製品と組み合わせてご利用いただくことで、より効果的に特権アクセスを管理し、セキュリティを強化することができます。
今回は、SPP と Safeguard for Privileged Sessions(SPS)の連携利用について紹介します。
Safeguard for Privileged Sessions(SPS)とは
Safeguard for Privileged Sessions(以降「SPS」と表記します)は、One Identity Safeguard ブランドを構成する製品の1つで、特権ユーザーのセッションを 監視、記録、制御、再生、検索、レポート するアプライアンスです。
SPS について、詳しくは こちら をご参照ください。
SPP と SPS の連携利用で特権アクセス管理(PAM)を強化
SPP と SPS を連携利用することで、申請/承認ワークフローを経て特権アカウントへのアクセスを許可された正規の特権ユーザーが、管理対象システム上で行う操作を 監視、記録、制御 できるようになります。
下は、SPP と SPS を連携利用する場合のイメージです。
SPP と SPS を連携利用する場合、ユーザーは(管理対象システムへ直接アクセスするのではなく) SPS へアクセスします。SPS は、ユーザーの操作を監視、記録し、管理対象システムへ転送します。
SPP を単独で利用する場合、特権ユーザーが管理対象システム上で行った操作内容は記録されません。
SPS で記録されたユーザー操作は、SPS Web GUI 上からリアルタイムまたは後日に(検索して)動画再生したり、レポートしたりすることができます。
また、ワークフローのレビュー担当者や監査ログへのアクセス許可権限を持つ SPP 管理ユーザーは、SPP Web GUI 上から SPS に保存されているセッション記録を再生することができます。
ユーザー操作例:RDP セッション申請 ~ レビュー完了
ここからは、SPP と SPS の連携利用環境でのユーザー操作を画面イメージとともに紹介します。
申請者による RDP セッション申請
申請者が SPP Web GUIにログインし、[新しいリクエスト]をクリックします。
利用申請を行いたいアカウントのチェックボックスにチェックをつけ、「アクセスタイプ」で 「RDP」 を選択して[次へ]を選択します。
(今回は、RDP接続のセッション申請を行うため、「パスワード」ではなく「RDP」を選択します。)
リクエストを送信します。
承認者による申請承認
承認者が SPP Web GUI にログインし、申請を承認します。
申請者による RDP セッション開始
申請者が再度 SPP Web GUI にログインし、[RDP ファイルのダウンロード]をクリックします。
ダウンロードした rdp ファイルを起動します。
「リモートデスクトップ接続」ダイアログで[接続]をクリックします。
「リモート コンピューター」は、(対象システムの IPアドレスではなく)SPSの IPアドレスとなっています。
ユーザーは、接続先について考慮する必要はありません。(接続先の情報は、SPP からダウンロードした rdp ファイルに組み込まれているため、ユーザーが手動で指定する必要はありません。)
(補足)
SPP からダウンロードした .rdp ファイルには、接続先のコンピューター(= SPS の IPアドレス)とユーザー名が保存されていますが、パスワード情報は保存されていません。パスワード情報は、リモートデスクトップ接続時に SPS が SPP から取得します(リモートデスクトップ接続時に、ユーザーはパスワードを入力しません)。
接続すると、対象システムへのリモートデスクトップ接続画面が表示されます。
作業が終了したら、リモートデスクトップを終了します。
申請者による RDP セッションの終了宣言(= チェックイン)
申請者は SPP Web GUI にログインし、[リクエストのチェックイン]を行います。
(補足)
リクエストのチェックイン後または期限切れ後に、SPP からダウンロードした .rdp ファイルを起動してリモートデスクトップ接続を試みた場合、認証エラーが発生しログインに失敗します。
作業終了宣言(= チェックイン)後または利用期限切れ後に特権アクセスを行うためには、改めて RDP セッションの申請が必要となります。
レビュー担当者によるレビュー
レビュー担当者が SPP Web GUI にログインします。
保留中のレビュー一覧からレビューする申請を選択し、画面右側の[ワークフローの表示]をクリックして、ワークフローの内容を確認します。
(ここまでは、SPP 単独利用の場合と同じです。)
今回は、SPPと SPS を連携利用した RDP セッションアクセス申請であるため、ワークフロー表示に加えて、セッション情報およびセッション中のユーザー操作を再生することができます。
[セッション情報の表示]をクリックします。
▶[Play Session log]をクリックし、セッションを再生します。
セッションを再生するためには、レビュー担当者の操作 PC に Safeguard Desktop Player をインストールする必要があります。
Safeguard Desktop Playerが起動します。
画面左上の ▶ 再生マークをクリックすると、セッション記録が再生されます。
確認が完了したら、SPP Web GUI で[レビュー済みとしてマーク]をクリックします。
これでワークフローが完了しました。
さいごに
SPS は、特権ユーザーのリモートアクセスを監視、記録、制御、監査することができます。
特権パスワードの安全な管理に加えて、特権ユーザーの操作内容を監視、記録、制御、監査したい場合は、SPP と SPS を合わせてご検討ください。
SPP/SPS 製品紹介ページ
SPP および SPS には、この記事で紹介した以外にも機能があります。
その他の特長や機能については、それぞれの製品紹介ページをご参照ください。
SPP/SPS 評価版
SPP および SPS の評価版は、仮想アプライアンス(OVAまたはVHDXファイル)で提供いたします。
SPP および SPS の評価版では、すべての機能を 90日間無料でご利用いただけます。
評価版の利用をご希望いただく場合は、下記お問い合わせフォームから評価ライセンスをお申し込みください。
お問い合わせ
購入前の SPP に関するお問い合わせは、下記お問い合わせフォームからお問い合わせください。