特権アカウントとは、

特権アカウントとはいわゆるコンピュータにおけるスーパーユーザーを指すことが多いです。

プログラムからアクセスするために使われるアカウントはある権限をもつので、それを特権アカウントと指すこともあります。

特権アカウントを管理するのは特権アカウント管理をする「BeyondTrust Password safe 」で対応できます。

あわせて「Previleged Remote Access(PRA)」により特権アカウントを利用したリモートアクセスをインターネット経由で行えるようになります。

BeyondTrustは最小特権を実現するソリューションを用意しています。

BeyondTrust社について
BeyondTrustは、特権アクセス管理(PAM)ソリューションのリーダー様々なセキュリティリスクに対応するソリューションを提供しています。リモートアクセスによるサーバー管理、保守サービスを提供し特権アカウントのアクセス管理を行います。

このページでは特権アカウントはなにを指すかについて説明をします。

いろいろなアカウント

ある企業のシステムではいろいろなアカウントが使われております。

一般ユーザーはオフィスやメールなど業務を遂行するためのアカウントを使用し、システムを利用する権限しかありません。権限が制限されているため設定変更などは一切できないようになっています。

特権アカウントの中にもいろいろな種類があります。

スーパーユーザー ~ 管理者

Windows であればAdministrator、 Unix/ Linuxであればroot と呼ばれるスーパーユーザーがあります。

スーパーユーザーはすべての権限を与えられています。また、全ての権限ではなくある権限だけ付与している管理者や、OSとは別に管理ユーザーを指定するソフトウェアなどもあります。

  • OS Administrator / root など
  • ソフトウェア  データーベース、メールサーバー、Webサーバー など

アプリ連携アカウント

複数のシステムの連携が行われてる場合、ログイン情報を記載する必要があります。

ログイン情報をプログラム内に書くことは「ハードコーディング」と呼ばれます。開発者はプログラムに書かれたログイン情報を見ることができるため、そのログイン情報を使用してデーターベースにアクセスしてみることもできるようになります。

一般アカウント

業務用にパソコンを使うためのアカウントになります。先に上げた二種類のアカウントとは異なり、一人が一つのアカウントを利用します。

各アカウント種別対応方法

それぞれのアカウントについて取り扱いは何が注意するか整理します。

スーパーユーザー ~ 管理者

一つのアカウントで複数人使う場合、パスワードを固定していたらいつでもログインできること、また誰がログインしたか確認できないことが問題になります。

対応方法としては二つになります。

  1. 管理者パスワードの貸し出しは、利用者に対してパスワードを貸し出した後、使い終わったらパスワードリセットを行い次の申請者がでるまでそのパスワードは誰も使用しないこと
  2. シングルサインオンの技術を使い、利用者に対してログイン情報を見せないこと。

アプリ連携アカウント

複数のプログラム開発者がいる場合、ハードコーディングによりいつでもログインできること、また誰がログインしたか確認できないことが問題になります。

対応方法としては

  1. ハードコーディングをしている部分に対して、ログイン情報を取得するためのプログラムを用意することで、パスワードを隠すことができます。
  2. その方法が難しい場合は、ログイン情報を書いているファイルに対して正規表現を利用してパスワードを定期的に変更します。

一般アカウント

一般アカウントでは複数あるアプリケーションのパスワード管理を行うことが必要となります。

ログインの自動化と定期的なパスワード変更を行う、シングルサインオンの導入が現実的です。

シングルサインオンとは、」を参照ください。また「i-Sprint USO」の導入をご検討ください。

ソリューション

「スーパーユーザー ~ 管理者」や「アプリ連携アカウント」の場合、「BeyondTrust Password Safe」を利用することで、特権アカウントのパスワード管理利用ごとのパスワード変更)、特権アカウントを利用する申請、承認フロー、特権アカウントへのシングルサインオン、API利用によりハードコーディングせずにパスワードの秘匿を実現できます。

危険なパスワードを見せない ~ 特権アカウントシングルサインオン

下の動画は Password SafePRAの申請承認フローと代理入力型シングルサインオンの様子です。

関連資料

BeyondTrust社について
BeyondTrustは、特権アクセス管理(PAM)ソリューションのリーダー様々なセキュリティリスクに対応するソリューションを提供しています。リモートアクセスによるサーバー管理、保守サービスを提供し特権アカウントのアクセス管理を行います。
特権アクセス管理ソリューション
BeyondTrustは、特権アカウントのパスワード管理、VPNを利用しないリモートセッション、サポートサービス、最小権限を実現するソリューションを擁しています。広くいろいろな業界でも使用されています。

BeyondTrust関連ページ

特権アカウントとは、

リスクの高い特権アカウントの管理特権アカウント 申請と承認
特権アカウントのパスワード管理に必要なこと危険なパスワードを見せない ~ 特権アカウントシングルサインオン
テレワーク時代のITサポート

BeyondTrust 導入検討    BeyondTrust 製品評価方法について

製品

Password SafePrivileged Remote Access
Remote SupportPrivilege Management for Windows and Mac
Privilege Management for Unix & LinuxActive Directory(AD) Bridge

特権アクセス管理ソリューション

クラウド対応したセキュアな特権アクセス管理ITコンプライアンス
サイバー保険に対応する特権アクセス管理デジタルトランスフォーメーション
エンドポイントセキュリティクラウドインフラストラクチャへのアクセス
ゼロトラストを実現する特権アクセス管理効率的なサービスデスク
Workforce Password運用テクノロジー OT セキュリティ ソリューション
ランサムウェア保護: ID、アクセス、エンドポイントの保護ランサムウェア 関連資料
ランサムウェアに関するよくある質問 (FAQ)

業界別のソリューション

金融サービス連邦政府、州政府、地方自治体ヘルスケア IT
法執行機関製造業教育テクノロジー

特権アカウント管理(BeyondTrust製品)用語説明

無料のセキュリティツール  - Privileged Access Discovery Application

BeyondTrustの製品比較ガイド

特権アクセス管理(PAM)ソリューション比較リモート サポート ソフトウェア比較CyberArk vs BeyondTrust
Delinea vs BeyondTrustTeamViewer vs. BeyondTrustLogMeIn Rescue vs BeyondTrust
GoTo Resolve vs. BeyondTrustSplashtop vs. BeyondTrust

旧ページ

BeyondTrust Password Safe (旧)BeyondTrust Remote Support (旧ページ)
BeyondTrust Privileged Remote Access (PRA) (旧)Privilege Management for Windows and Mac (旧)
BeyondTrust Privileged Identity

BeyondTrustLeostreamPromoni-Sprint AxMXブログ(旧)