日立 ID 特権アクセス・マネージャー 概要
日立 ID 特権アクセス・マネージャーは、パスワード設定に関する問題(解読さ れやすい、固定の、想像されやすい管理者用パスワードなど)に対処するために 開発されたネットワークセキュリティーソフトです。
多くの大企業では、何百にもわたるサーバーやワークステーションが常時作動しています。たいていの場合、一つの管理者共用パスワードが一定の設定情報を持つすぺてのサーバー毎や一定のタイプのワークステーション毎に使われています。これはデータセンターや、クライエントサポートスタッフにとっては、とても都合がよく、メンテナンスやワークステーションの更新をしないといけない時は一つのパスワードさえ覚えておけばいいので、ログインも容易だからです。
このような、固定的なパスワードや、周知されてしまっている管理者用パスワードの利用は、オペレーション上や、セキュリティー上の問題を発生させることにもつながります。
- 管理者が複数のITスタッフと共用しているパスワードを使ってログインし、設定変更を行ったり、その他の情報にアクセスした際、トレースやログは残っていても、どのITスタッフが行ったのかまではわかりません。もし設定変更などによりシステムにエラーや機能不全が生じた場合、誰が起こした問題なのかがわからりません。
- 同じ管理者用IDやパスワードが多くのシステムに存在する場合、パスワード変更を実施するのは大変に手間がかかります。その結果、管理者用パスワードは変更されないまま同じのが使われ、既に退職した元社員でも知っているということになります。
このようなセキュリティー問題に対してのソリューションは、当然 解読しやすいパスワードや、固定のパスワードを削除することしかありません。 実際にこれを実現し継続するに技術的に難しいのは確かですが :
- 何千もの管理者用パスワードが存在する:
これらの管理をするには自動化が必要です。
- 複数の違ったシステムに使われているパスワードがある:
自動化は多種、多様なシステムに対応出来なければならなりません。(Windows、UNIX、SAP,メインフレーム、Oracle など) レーム、Oracle など)
- ほとんどの管理者用パスワードはワークステーションに含まれている.
ワークステーションパスワードには特別な課題があり:
- ワークステーションの電源が落ちているかもしれません。
- ワークステーションがネットワークに繋がっていないかもしれません。
- ワークステーションがファイアーウォールにブロックされて、中央のネットワーク基盤からアクセスできないかもしれません。
- ターゲットシステムへの接続性:
- ターゲットシステムは常時作動していない場合もあります。
- ターゲットシステムがパスワード管理システムからアクセスできない場合があります。具体的に、ターゲットシステムが異なるネットワークセグメントにあり、パスワード管理システムから複数のファイアーウォールよってブロックされている可能性があります。
- 安全で、信頼できる格納:
一度、周期的なパスワード変更が自動化されれば、次はパスワードの保管に関する技術的な難題に取り組む必要があります。パスワード保管システムは下記の条件を満たしていないといけません。
- セキュアであること: もし厳重なセキュリティーのないストレージに不正アクセス者が入れば、全てのデバイスで使える管理用アクセス権を得ることができてしまいます。
- 信頼できること: クラッシュや、突然の停電などで保管システムに影響が出ると、管理者IDが全て使えなくなってしまいます。
- きめ細かなアクセスコントロールが出来ること: 認証が行われた後に、正当な管理者だけがアクセスできる正しいパスワードを得ることができるようにすること。
- パスワード開示の記録を採ること: 特権パスワードのアクセスは、妥当性検証のため記録する必要があります。
このような、チャレンジに対処するのは容易ではないが、なにもしなければ大きな損害を招くことは確かです。
強力なパスワード管理を行うには、パスワード管理専門のプロが造ったソフトを得て導入することが最適で、日立IDプリビレッジドパスワードマネージャーはそのために作られた商品です。
© Hitachi ID Systems, Inc. . All rights reserved.