ローカルで守って足元を万全に サーバ・セキュリティの最後のツメは、 なんといっても特権ユーザー管理 |
重要な企業情報資産を格納しているサーバに対するセキュリティの重要性は誰もが気付いている。それを本当にヌケ・モレなく守ろうとしたら、OSローカルで防御するという仕組みがぜひとも必要だ。特権ユーザー管理のためである。この目的を達成するのに妥協は許されない。万一の際に受けるダメージの深刻さを考慮して、賢明な判断を下そう。 |
ローカルで守らないと意味がない | ||
ITmedia 特別レポート「情報活用に不可避な特権ユーザー管理」では、特権ID管理が求められる背景と市場に存在する管理ツールの評価ポイントについて解説している。(TechTargetジャパンのホワイトペーパー ダウンロードセンターからダウンロードできます) |
重要な企業情報資産を格納しているサーバ。御社はそれを正しく守っているだろうか。「物理的セキュリティには万全を期しているし、情報システム上の認証管理もしっかりやっているからそう簡単には近づけない」とおっしゃるかもしれない。しかし、実際には簡単に重要情報に近づけてしまう人物がいる。管理者という特権ユーザーである。
サーバOSの操作に対して万能な権限を持つ特権ユーザーが御社でまだ“非”管理のまま放置されているとしたら、それはかなり問題だ。性悪説に立て、といっているわけではない。万一何かあっても管理者を疑わなくてすむようにしないと、彼ら自身が不幸だ。それはまさにサーバを本当にヌケ・モレなく守るということで、そのためにはOSをローカルで防御するという仕組みがぜひとも必要だ。
ときに特権ユーザー管理でゲートウェイサーバの設置が検討されるケースがあるが、それには疑問符が付く。ゲートウェイサーバであれば、管理対象のサーバ環境に手を加える必要がなく、サーバに負荷がかからないと思うから無理もないのだが、これではOSローカルへのアクセスを防御することができない。多少の効率を犠牲にしても守るべきものがある、と考えるのがセキュリティ。ここは万一何かあったときに企業が受けるダメージの大きさ、深刻さをリアルに思い描いて、賢明な判断を下したいところだ。
作業者特定と職務分掌が正しく行えるCA Access Control | ||
CA Access Controlは、OSローカルで情報資産を守るという要件を高いレベルで満たした特権ユーザー管理製品である。特権ユーザーのアクセス制御、監査のための活動ログの取得、サーバ、アプリケーションおよびデバイスなどへの一時的な特権アクセスの提供といった機能を、プラットフォームやOSを問わず提供する。
CA Access Controlなら、管理者がサーバメンテナンスのためOS上で個人IDを特権ユーザーIDに切り替えても、引き続き個人IDでログを記録する。そのため作業した管理者が容易に特定できる。
また、“山田さんはAの作業はできるがBの作業はできない”“佐藤さんはBの作業はできるがCの作業はできない”といった職務分掌の思想に基づいた管理者間のセキュリティポリシー切り分けも可能だ。
さらにCA Access Controlでは、こうした作業履歴がきちんと残せる。OSローカルへのログ保持と、リアルタイムでのログルーティング(※)も実現する。そのためにCA Access Controlのログは、内部統制目的の監査証跡としても大きな効力を発揮する。
Unix/Linux版のCA Access Controlでは、出力したアクセスログを1つのマシンに集約できる |
ローカル導入でも管理負荷は上がらない | ||
CA Access Controlを導入することで、“サーバ1台ごとに管理しなければならない”“サーバの負荷が上がってしまう”という懸念があるとすれば、それは杞憂である。
この製品には管理対象のサーバのセキュリティポリシーを1台のサーバで包括的に管理できる機能があり、そのサーバから管理するサーバに対してポリシーをネットワーク配布できるのだ。もちろん管理者の個人IDもこのサーバ上で一括登録し、管理対象のサーバに対してこれをネットワーク配布するといったことができる。つまり、特権ユーザー管理を行う管理者は、1台のサーバを目の前にしていればほとんどの業務が行えるというわけだ。
CA Access Controlではポリシーを一括管理・各サーバに配布をすることができる |
管理するサーバの負荷増加に関しても対策は可能だ。社内のサーバすべてに、あらゆる面で最高レベルのセキュリティを施すとなればパフォーマンスに与える影響は否めないかもしれない。しかし、現実にはシステムによって重要度は異なり、必要な対策もそれに応じて行われる。ここでのポイントは適切なセキュリティポリシーの策定だ。この点に関して、日本CAとそのパートナー企業が豊富にナレッジを蓄積しており、十全なサポートを受けられる。
さらにCA Access Control自体にはワーニングモードと呼ばれる機能が搭載されており、これでセキュリティポリシーの妥当性を検証することができる。これはポリシー違反を認識しつつ、あえて制御をかけずにログにそれを記録するというもの。実際、この製品を導入する企業の多くはワーニングモードによる試用期間を設定し、セキュリティポリシーのブラッシュアップを行ってから本番移行するということだ。
導入しやすくなったライセンス体系 | ||
実は日本CAは、この“何をどのレベルで守るか”という企業の意思決定を尊重すべく、CA Access Controlのライセンス体系も昨年大きく改定した。それがインスタンス(OS)ベースライセンスと呼ばれるものだ。従来はこの製品を導入するサーバの筐体スペックに応じてライセンス価格を設定していたが、それをCA Access Controlを導入するインスタンス(OS)単位のライセンスに変更したのだ。これにより、導入の柔軟性が高くなっただけでなく、ライセンス費用を削減できる可能性がある。例えば、仮想化技術を使ったサーバ統合により、1台の物理サーバ1台上に10の仮想サーバがあり、そのうち5つのサーバにCA Access Controlを適用するなら、ライセンスは物理サーバのスペックによらず、5つのサーバ分だけですむ。ちなみにその価格は5インスタンス240万円〜。
きちんとしたセキュリティ体制や内部統制の仕組みを作るうえで、避けては通れない特権ユーザー管理、このあたりで一息に実現してしまってはどうだろう。
|
提供:日本CA株式会社
アイティメディア 営業企画
制作:@IT編集部
掲載内容有効期限:2010年6月15日
ソリューションFLASH Pick UP!
CA Access Control
日本CA
重要な企業情報資産を格納しているサーバに対するセキュリティの重要性は誰もが気付いている。それを本当にヌケ・モレなく守ろうとしたら、OSローカルで防御するという仕組みがぜひとも必要だ。特権ユーザー管理のためである。この目的を達成するのに妥協は許されない。万一の際に受けるダメージの深刻さを考慮して、賢明な判断を下そう。
ホワイトペーパーダウンロード
執筆 株式会社アイ・ティー・アール:情報活用に不可避な特権ユーザー管理
特権ユーザを管理しなければならないというニーズが高まっている。では特権ユーザ管理とは何を指すのか、なぜ必要なのか、また技術的対策としてはどの様なものが存在するのか。ITRによるレポートを紹介する。