• サイトマップ
• お問い合わせ

• ホームページ
• 会社概要
  • お客様について
  • パートナーについて
  • お問い合わせ
• 製品
  • アイデンティティ・マネージャー
  • パスワード・マネージャー
  • グループ･マネージャー
  • 特権アクセス・マネージャー
  • 評価版のお申し込み
  • リリース
• ソリューション
  • ITサポートコストの低減
  • ユーザーサービスの向上
  • セキュリティ, ガバナンス、コンプライアンス
• サポート
  • 顧客ポータル
  • サポート支援を要求
• ニュースとイベント
  • プレス・リリース

日立 ID 特権アクセス・マネージャー

概要

日立 ID 特権アクセス・マネージャー 多数のデバイスに跨った特権パスワードを安全に管理するためのシステムです。 日立 ID 特権アクセス・マネージャー は、ワークステーション、サーバー、アプリケーションの特権パスワードを定期的にランダマイジングします。　ランダムパスワードは、最低2台のサーバー上に暗号化されて格納され必要に応じて開示されます。：

1. 管理者には、認証され、その要求が許可されたときに開示されます。
2. アプリケーションには、組み込みパスワードが変更されたときに開示されます。
3. ワークステーション、サーバーに対しては、サービスを実行するときに開示されます。

パスワード変更と開示は、ポリシーと規制要件に従って行われます。

特権パスワード管理上の課題

多くの組織/企業では、特権パスワードの管理は安全に行われていません。--高い権限を持つローカルIDやパスワードがサーバーやワークステーションやアプリケーションに組み込まれています。 これらのパスワードの不適切な開示は重大なセキュリティ問題を引き起こします。：

• 何百、何千ものワークステーションやサーバーは、同じ管理者証明書を共有している場合がよくあります。もし、一台の機器のセキュリティが脅かされると、他のすべても同じことになります。
• これらのパスワードを常に変更することは、何千ものワークステーションやサーバーを対象にするのは、大変難しいか不可能です。そのため、特権パスワードは、何か月あるいは数年間も同じものが使われ、攻撃者が侵入うする機会をより長い間作り出してしまっています。
• もし、管理者パスワードがめったに変更されなければ、IT担当者の退職後も、旧スタッフがセンシティブシステムにアクセスでき続けてしまいます。

サーバーパスワードの管理

サーバー(つまり、固定アドレスでネットワークに接続されているIT資産)上の特権パスワードの管理のために、各日立 ID 特権アクセス・マネージャーのサーバーは、パスワード更新サービスを実行します。このサービスは定期的に、やはり日立 ID 特権アクセス・マネージャーのサーバー上にあるコネクターを実行します。このコネクターは、単一のターゲットサーバーと通信し、単一のパスワード変更を行います。新しいパスワードが設定されると、このサービスは、日立 ID 特権アクセス・マネージャーのサーバーを新しいパスワードで更新し、ITスタップにこれを提供できるようにします。新しいパスワードは、他のすべての日立 ID 特権アクセス・マネージャーのサーバーに自動的に、即座に、かつ安全に複製されます。

このプロセスは、異なるタイプのサーバー(Windows, Unix, Linux, DBMS, メインフレーム、アプリケーション、等)に対して、異なるタイプのコネクターを使って、日に何千回も 繰り返されます。　日立 ID 特権アクセス・マネージャーには、113以上のタイプのサーバーやアプリケーションのコネクターが装備されています。

ワークステーションパスワードの管理

モーバイル・ワークステーション(一般にラップトップ)で特権パスワードの管理をするために、日立 ID 特権アクセス・マネージャーには、該当するPCにインストールし、中央サーバーと連携しローカルパスワード変更をつかさどるサービスがあります。

　このアーキテクチャは、次のようにいくつかの重要な利点があります。：

• このワークステーション・サービスは、中央サーバーとの更新にHTTPSのみを用いているため、ワークステーションがNAT機器、ファイアウォールやアプリケーション・プロキシの背後にあっても機能します。
• このワークステーション・サービスは、中央の特権パスワード管理サーバーとの接続が確立するまで、パスワードのランダマイズを行いません。
• 動的IPアドレスはこのアーキテクチャへの影響はありません。
• 物理的再配置や、長期間に渡るネットワークの非接続は、ローカルパスワードの更新の遅れを引き起こすかもしれませんが、ワークステーションのローカル管理パスワードがわからないといった障害を起こすことはありません。

高可用性とデータ複製

日立 ID 特権アクセス・マネージャー は、一度展開されると、何千ものネットワーク機器の特権パスワードを唯一管理するものとなるため、組織のIT基盤の重要な一要素となります。日立 ID 特権アクセス・マネージャーの停止は、一連の機器の管理者アクセスが中断されることになり--ITサービスの重大な事故になります。

サーバーは時としてダウンすることがあるため、日立 ID 特権アクセス・マネージャーは、複数物理サーバー間でのロードバランスや、データリプリケーションをサポートしています。証明書データベースに対する全ての更新はリアルタイムに全サーバー上に複製されます。

まとめると、日立 ID 特権アクセス・マネージャーは、可用性が高い、複製機能、マルチマスターアーキテクチャを備えています。

データ複製をより簡易に提供するため、日立 ID 特権アクセス・マネージャーは複数インスタンス間でデータ複製を行うデータベースサービスを内在しています。このサービスは、物理格納機構としては、Oracleまたは、Microfost SQLサーバーを用いて構成されます。日立 IDでは、日立 ID 特権アクセス・マネージャー サーバー毎に、通常日立 ID 特権アクセス・マネージャー 自身と同じ物理ハードウェア上に、ひとつの物理データベースインスタンスを持つことをお奨めします。

日立 ID 特権アクセス・マネージャー の複製データサービスは、物理的なデータ格納を次のSQLデータベースエンジンを使って構成することが可能です：

• Oracle 10g, Enterprise Edition, R2.
• Microsoft SQL Server 2005, Enterprise Edition.
• Oracle 10g, Express Edition, R2 ( http://oracle.com/からの無償ダウンロード).
• Microsoft SQL Server 2005, Express Edition, with Advanced Services (http://microsoft.com/からの無償ダウンロード).

日立 ID 特権アクセス・マネージャー のデータ・リプリケーション・システムは、異なる物理的サイトにある各サーバーを使って複数に分散し、高信頼日立 ID 特権アクセス・マネージャーサーバークラスターを構築するのを、容易にするとともに、組織にとっては、これは賢明な方法です。　複製のための通信は、WANの展開に適応するように、暗号化され、認証され、帯域効率もよく、遅延に対する耐性もあります。

　このマルチサイト、マルチマスター・リプリケーション は、追加日立 ID 特権アクセス・マネージャー サーバー 用のハードウェアを用意するほかは、追加コストなしに構成でき、管理上の手間も掛かりません。

ネットワークアーキテクチャ

日立 ID 特権アクセス・マネージャーのネットワークアーアーキテクチャを図(fig:idarchive-arch-diag).

    日立 ID 特権アクセス・マネージャー のネットワークアーキテクチャ (2)

サイトの利用条件 | 個人情報保護に関して | 採用情報 | お客様へのお約束 | RSS 

© Hitachi ID Systems, Inc. . All rights reserved.