Tweet

ディアイティ、特権ID管理製品を販売

たとえrootでも直接サーバへのアクセスは許さない

2010/09/14

　ディアイティは9月14日、米サイバーアークソフトウェア（Cyber-Ark Software）が開発した特権ID管理製品「PIM（Privileged Identity Management）Enterprise Suite」を9月20日に販売することを発表した。価格は、PIM Serverパッケージ（スターターパック）が257万円から。

米サイバーアークソフトウェアの創業者兼会長、アロン・コヘン氏

　PIM Enterprise Suiteは、サーバやネットワーク機器、アプリケーションの特権IDを集中管理し、その作業内容をモニタリング、記録する製品だ。管理者自身のアカウントをコントロールすることにより、特権IDを悪用した情報流出や内部犯行などの余地を減らし、内部統制を支援する。

　「ネットワーク機器やサーバ、アプリケーションの管理に用いられる共用特権アカウントが問題だ。中には、ベンダが機器出荷時に設定したデフォルトのパスワードをそのまま使い続けている場合もある。また、パスワードを変更するとなると、管理者すべてに通知する必要があり、その手間を嫌う場合も多い。この結果、エンドユーザーのパスワードは30日に一度変更させておきながら、管理者パスワードは変えずに運用されることも少なくない」（米サイバーアークソフトウェアの創業者兼会長、アロン・コヘン氏）。しかも多くの企業では、特権のないパーソナルアカウントよりも特権アカウントの方が多く、その適切な管理が必要だという。

　PIM Enterprise Suiteは、ネットワーク機器やサーバ、データベース、業務アプリケーションとの間の「プロキシ」として動作し、特権IDを制御する。管理者は、機器やアプリケーションのパスワードを知らず、直接アクセスすることはできない。いったんPIM Enterprise Suiteにログインし、認証を経てから、ポリシーに沿って各リソースへのアクセスが許可される仕組みだ。またPIM Enterprise Suiteは、機器／サーバのパスワードを一定周期で自動的に変更するため、たとえ管理者がパスワードを盗み見たとしても、継続的な悪用は困難になるという。

　主要なネットワーク機器やアプリケーションはほぼサポートするといい、独自アプリケーション向けには開発キットを提供する。また、ディレクトリサーバを介して、企業内の既存の特権ID情報を収集するオートディスカバリー機能も備える。

　特徴は「既存のエンタープライズ環境と高いレベルで統合できること。また、多数の支社、支店がある大規模企業での利用に適した、分散アーキテクチャを採用している」（コヘン氏）。具体的には、既存のID管理システムやチケットシステムなどとの連携が可能だ。また、特権IDによる作業内容を監査するためのレポート機能なども提供する。

　さらに、クラウドコンピューティング環境との連動も想定。ハイパーバイザー上の複数の仮想マシンに対しても、同じように特権制御を実現する。また、クラウドサービスを提供する事業者のインフラとして同製品を組み込むことで、事業者側の管理者もまた、顧客企業のセンシティブなリソースに直接触れずに済む環境を実現できるという。