i-Sprint社のAccessMatrix USOに引き続きAccessMatrix UCM (Universal Credential Manager)も販売を開始いたします。
製品ページ ⇒ AccessMatrix Universal™ Credential Manager (UCM)
UCMは特権IDと呼ばれるシステム管理者、システム開発者が利用するrootやAdministratorのパスワードを管理することでそれらの特権IDへのアクセス管理と監査ログを取得する製品になります。
最近発生しているGumblarなど特権IDへのアクセスを試みるマルウェアも登場しており、そのような脅威にも対応できる製品です。
通常スーパーユーザーとしてunixの場合rootをWindowsの場合Administratorが標準的に使用されていますが、これらのアカウントは通常業務ではむしろ利用されずメンテナンスやトラブルが発生したときに使用されるIDになります。
スーパーユーザーはそのサーバーに対して何の制限もなくすべてのリソースにアクセスできるので、たとえば個人情報のようなセンシティブなデータを扱っているサーバーの特権IDについては十分注意して管理する必要があります。
そもそも、特権IDは一人の管理者が管理するべきではなくアカウンタビリティなどについて考えると以下の条件を満たす必要があると考えることができます。
特権IDパスワードの管理で一番重要なことは、誰が何をいつどのようにするかワークフローを設定してそれを実践することです。
その中で一番重要なことは特権IDを使用するシステム管理者とその特権IDを使用を許可したりパスワードを更新する人は別々の人が行うことです。
| システム管理者 | メンテナンス時にIDを使用する申請を行う。 申請が通った後はパスワードを入手する。 メンテナンスが終了した後、その旨を報告する。 |
| 承認者 | システム管理者からの申請にしたがって、許可、または却下を行う。 システムの重要性によって承認者を複数設定することが必要な場合もある。 システム管理者と承認者は別のものが担当するべきである。 |
| 特権ID パスワード管理者 |
システム管理者が特権IDの使用を終了したときにパスワード変更を行う。 システム管理者と特権IDパスワード管理者は別のものが担当するべきである。 |
以下の流れで処理されることが望ましいと考えれます。
UCMは先に説明した特権IDパスワード管理に必要なワークフローを実行することを手助けしてくれます。
UCMの特徴は以下の通りです。
UCMは多数のシステムを持ち、なおかつ複数の管理者/開発者が存在する組織において重要なデータを保護するために最低限必要な製品です。特権IDのパスワード管理を検討する場合、導入が比較的簡単な製品です。
RSSを取得する