特権アカウントとはいわゆるコンピュータにおけるスーパーユーザーを指すことが多いです。
プログラムからアクセスするために使われるアカウントはある権限をもつので、それを特権アカウントと指すこともあります。
特権アカウントを管理するのは特権アカウント管理をする「BeyondTrust Password safe 」で対応できます。
あわせて「Previleged Remote Access(PRA)」により特権アカウントを利用したリモートアクセスをインターネット経由で行えるようになります。
BeyondTrustは最小特権を実現するソリューションを用意しています。
このページでは特権アカウントはなにを指すかについて説明をします。
いろいろなアカウント
ある企業のシステムではいろいろなアカウントが使われております。
一般ユーザーはオフィスやメールなど業務を遂行するためのアカウントを使用し、システムを利用する権限しかありません。権限が制限されているため設定変更などは一切できないようになっています。
特権アカウントの中にもいろいろな種類があります。
スーパーユーザー ~ 管理者
Windows であればAdministrator、 Unix/ Linuxであればroot と呼ばれるスーパーユーザーがあります。
スーパーユーザーはすべての権限を与えられています。また、全ての権限ではなくある権限だけ付与している管理者や、OSとは別に管理ユーザーを指定するソフトウェアなどもあります。
- OS Administrator / root など
- ソフトウェア データーベース、メールサーバー、Webサーバー など
アプリ連携アカウント
複数のシステムの連携が行われてる場合、ログイン情報を記載する必要があります。
ログイン情報をプログラム内に書くことは「ハードコーディング」と呼ばれます。開発者はプログラムに書かれたログイン情報を見ることができるため、そのログイン情報を使用してデーターベースにアクセスしてみることもできるようになります。
一般アカウント
業務用にパソコンを使うためのアカウントになります。先に上げた二種類のアカウントとは異なり、一人が一つのアカウントを利用します。
各アカウント種別対応方法
それぞれのアカウントについて取り扱いは何が注意するか整理します。
スーパーユーザー ~ 管理者
一つのアカウントで複数人使う場合、パスワードを固定していたらいつでもログインできること、また誰がログインしたか確認できないことが問題になります。
対応方法としては二つになります。
- 管理者パスワードの貸し出しは、利用者に対してパスワードを貸し出した後、使い終わったらパスワードリセットを行い次の申請者がでるまでそのパスワードは誰も使用しないこと
- シングルサインオンの技術を使い、利用者に対してログイン情報を見せないこと。
アプリ連携アカウント
複数のプログラム開発者がいる場合、ハードコーディングによりいつでもログインできること、また誰がログインしたか確認できないことが問題になります。
対応方法としては
- ハードコーディングをしている部分に対して、ログイン情報を取得するためのプログラムを用意することで、パスワードを隠すことができます。
- その方法が難しい場合は、ログイン情報を書いているファイルに対して正規表現を利用してパスワードを定期的に変更します。
一般アカウント
一般アカウントでは複数あるアプリケーションのパスワード管理を行うことが必要となります。
ログインの自動化と定期的なパスワード変更を行う、シングルサインオンの導入が現実的です。
「シングルサインオンとは、」を参照ください。また「i-Sprint USO」の導入をご検討ください。
ソリューション
「スーパーユーザー ~ 管理者」や「アプリ連携アカウント」の場合、「BeyondTrust Password Safe」を利用することで、特権アカウントのパスワード管理(利用ごとのパスワード変更)、特権アカウントを利用する申請、承認フロー、特権アカウントへのシングルサインオン、API利用によりハードコーディングせずにパスワードの秘匿を実現できます。
危険なパスワードを見せない ~ 特権アカウントシングルサインオン
下の動画は Password Safe とPRAの申請承認フローと代理入力型シングルサインオンの様子です。
関連資料
コメントを投稿するにはログインしてください。