危険なパスワードを見せない ~ 特権アカウントシングルサインオン

シングルサインオンの特徴の一つとして、利用者にパスワードを見せないことがあります。

Administratorやrootなどの特権アカウントは複数の人が使うので、管理者が利用するときには十分に管理することが必要になります。

特権アカウントの場合、ある規模以上の組織だと複数の人がログイン情報の共有することで対応します。

マイクロソフトのエクセルでパスワード管理ということもさほど珍しくはないと思います。

エクセルを使ったパスワード管理

しかしこの方法だと、管理者がパスワードを他の人に渡す可能性や、のぞき見される可能性がります。

Lieberman RED IM ではパスワードをワークフローを通してパスワードを開示する方法とは別にシングルサインオンも用意しています。

USOに代表されるエンタープライズシングルサインオンではクライアントがユーザーの代わりにログイン情報を入力しますが、特権管理製品のRED IMではWindows Remote Desktop サービスを経由して、ターゲットとの通信に必要なクライアントを起動しログイン情報を代理入力することでシングルサインオンを実現してます。

シングルサインオンにすることの利点

1. パスワードの表示がない

パスワードを入力する必要がないので、パスワードが悪用されることはなくなります。

RED IMでのパスワード表示の例

2.履歴が取れる

リモートデスクトップでの動きを動画として保存ができるので後で問題があった時に確認が簡単にできます。

3.アクセス元の限定

ターゲットサーバーへのアクセスはリモートデスクトップに限定することで侵入される確率が低くなります。

4.SIEMなどログ監視ツールと連携で早い対応を実現

リモートデスクトップ経由以外のアクセスの場合、問題があると判断させることで問題があるアクセスを早く検出することが可能になります。

結論

特権管理アカウント製品導入の目的は、特権アカウントのパスワード管理ですが、シングルサインオン機能を利用することで、パスワードを隠蔽できるだけでなく、管理者はログイン作業の手間なども減るため大幅に作業効率が高まります。

またあわせてログイン作業はすべて動画として保存されるので、万が一何か問題があってもすぐに確認できるようになります。

「危険なパスワードを見せない ~ 特権アカウントシングルサインオン」への3件のフィードバック

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です