AccessMatrix Universal™ Credential Manager (UCM)
UCMは特権IDと呼ばれるシステム管理者、システム開発者が利用するrootやAdministratorのパスワードを管理することでそれらの特権IDへのアクセス管理と監査ログを取得する製品になります。
最近発生しているGumblarなど特権IDへのアクセスを試みるマルウェアも登場しており、そのような脅威にも対応できる製品です。
特権IDとは?
通常スーパーユーザーとしてunixの場合rootをWindowsの場合Administratorが標準的に使用されていますが、これらのアカウントは通常業務ではむしろ利用されずメンテナンスやトラブルが発生したときに使用されるIDになります。
スーパーユーザーはそのサーバーに対して何の制限もなくすべてのリソースにアクセスできるので、たとえば個人情報のようなセンシティブなデータを扱っているサーバーの特権IDについては十分注意して管理する必要があります。
特権IDの管理についてルールを設定していない場合、俗人的に運用されるので特権IDのパスワードは想定されていない使われ方をする可能性があります。
特権IDは通常一人だけで利用されるものではなく複数人で管理されており、場合によってはメモに保管されている可能性もあります。
そのため、特権IDのパスワードの管理についてはよくよく考えた上で運用する仕組みを考える必要があります。
特権IDのパスワード管理で必要なこと
そもそも、特権IDは一人の管理者が管理するべきではなくアカウンタビリティ(説明責任)などについて考えると以下の条件を満たす必要があると考えることができます。
- 特権IDは一人の管理者だけで管理するべきではない。
- 特権IDを使用するときの監査証跡ログはとるべきである。
- 特権IDの利用は利用申請を提出したあと、利用者とは別の第三者が承認をしてから利用できるようになる。
- 特権IDを利用したものが利用した後、パスワードリセットを行うことは必須である。また利用者とは別のものがパスワードリセットすることが望ましい。
特権IDパスワード管理に必要なワークフロー
特権IDパスワードの管理で一番重要なことは、誰が何をいつどのようにするかワークフローを設定してそれを実践することです。
その中で一番重要なことは特権IDを使用するシステム管理者とその特権IDを使用を許可したりパスワードを更新する人は別々の人が行うことです。
|
【システム管理者】 |
メンテナンス時にIDを使用する申請を行う。 |
|
【承認者】 |
システム管理者からの申請にしたがって、許可、または却下を行う。 |
|
【特権IDパスワード管理者】 |
システム管理者が特権IDの使用を終了したときにパスワード変更を行う。 |
以下の流れで処理されることが望ましいと考えれます。
- システム管理者が特権IDを使用することを申請する。
- 承認者が承認する。承認した後は申請者以外利用できないようにする。
- システム管理者はパスワードを入手して特権IDにて作業を行う。
- 作業が終了したらシステム管理者はそのことを報告する。
- 報告がなされた後特権IDパスワード管理者はパスワードを変更する。またシステムによっては報告がなく一定時間過ぎた場合も強制的にパスワードを変更する。
AccessMatrix UCMについて
AccessMatrix UCMは、特権IDパスワード管理に必要なワークフローを実行することを手助けしてくれます。
【UCMの特徴】
- 特権者ID用のパスワード管理
- 利用者と管理権限をユーザーごとに分類します。
- 指定されたワークフローどおりに通知します。
- 承認があったことを電子メールで通知
- 許可が下りたことを電子メールで通知
- 作業が終わったことを電子メールで通知
- パスワード変更は管理者ではなくシステムで生成して作業が終わったと同時にパスワード変更することが可能です。
- この場合システム管理者はパスワードを申請が許可されない限りわからないので、特権IDに対する不正なアクセスを減らすことができます。
- パスワードの保管と必要に応じて貸し出します。
- 使用後はパスワードリセットすることにより「回収」します。
- HSMを使用した暗号鍵管理に対応しています。
- セキュリティポリシーを遵守するようにします。
- 承認されたときにシステム管理者に対して、対象サーバーの特権ID/ パスワードを通知します。
- 特権IDのパスワードを管理することで証跡監査を取得します。
UCMは多数のシステムを持ち、なおかつ複数の管理者/開発者が存在する組織において重要なデータを保護するために最低限必要な製品です。特権IDのパスワード管理を検討する場合、導入が比較的簡単な製品です。
UCMのワークフローの例
ここでUCMでの特権IDパスワードのワークフローについて一番簡単な例を挙げて説明します。
一人のシステム管理者と一人の承認者がいるばあい全体的なフローは以下の図のようになります。
システムに高いセキュリティが必要な場合、複数のシステム管理者および複数の承認者を配置することができます。
1) システム管理者によるログイン申請
システム管理者は管理しているサーバーになぜログインする必要があるのか説明を行う。この説明は後で承認者がシステム管理者が該当システムにログインを承認もしくは却下するための判断材料になる。
また、あわせて利用したい作業時間についても申請することは可能である。
2) 承認者によるシステム管理者へのログインの承認もしくは却下
システム管理者が申請した内容に対して承認者はその申請に対して承認するか却下するかを選択することができます。
またあわせてなぜ承認したのか、却下するのかを保存することができるので、後日そのようなやりとりも監査データとして保管できます。
ワークフローの設定により複数の承認者を設定することも可能です。すなわちシステム管理者が利用を承認されるまで2人以上の承認者の承認が必要といった運用が可能です。アクセスを制限したい重要なシステムでの利用ができます。
3)UCMからパスワードをシステム管理者に対して通知
承認された場合、システム管理者はUCMから対象システムにログインするためのIDとパスワードを入手します。
4)システム管理者によるシステムへのログイン
AccessMatrix USOと併用すればシステム管理者にパスワードを知られることなく、USOクライアントがID/パスワードを代理入力するオプションもあります。
このオプションを利用すればうっかりパスワードが漏洩する可能性も大幅に減少させることができます。
5)使用後、特権IDパスワードの使用を終了したことを通知
この作業をシステム管理者が行うことでUCMはシステム管理者が対象システムのメンテナンスを終了したことを認識します。
パスワードのリセットをワークフロー管理者がUCMが行うように設定している(自動変更)場合、承認者がパスワード変更をする必要はありません。
対象アプリケーションがWindows AD/ SSHなどの標準的なプロトコルを使用しているものであれば自動変更に設定できます。
6)パスワードのリセット
上の画面はワークフローでパスワードをUCMによる自動変更ではなく手動変更のときにUCMに新たに変更されたパスワードを登録するときのものです。
この画面の作業以外に対象システムに対して何らかの方法でパスワード変更を行う必要があります。
7) パスワードをリセットしたことの確認
この画面ではシステムでリセットされたパスワードとUCMに登録されたパスワードが一致していることを確認します。この確認が終わるまではシステム管理者は対象システムにログインできない(申請を受け付けない)。
この作業が終わった時点で必要に応じてシステム管理者が対象システムへのログインの申請が行えるようになる。