IBM® Security Verify Privilege Vault
特権IDとは
特権IDとは、OS・M/W・システム(スクラッチシステム・SaaS)・その他周辺機器に対する、すべての操作権限を持ったアカウントのことです。
Windows の場合は Administrator、Linux/Unix の場合だと root が該当するアカウントになります。
特権IDは強大な操作権限を保持しており、すべてのデータの参照・更新・削除を行うことができます。
さらに、操作・アクセスログの削除・書き換えを行うことができるため、不正な操作・アクセスの検知を困難にします。
近年、増加している標的型メールやランサムウェアなどのウイルス侵害は外部からの攻撃であり、訓練やEDR導入などでリスクを軽減できます。
しかし、お客様の個人情報やクレジットカード情報の流出といった事故も増加しており、外部からの脅威だけでなく内部のセキュリティリスクも重要視されています。
特に、悪意をもった社員が特権IDを不正に利用し、データを持ち出したり消去したりするケースが頻繁しています。
これらのセキュリティ上の脅威に対処するためには、特権IDの慎重な管理と従業員教育が不可欠です。
PAMとは
PAM(特権アクセス管理)は上記のような特権IDの流出・不正利用のリスクを軽減するためのシステムです。
今までメモやスプレッドシートなどに直書きで記録されていた特権IDをPAMに保管し、厳密なアクセス制御をかけることで不正利用や外部流出のリスクを軽減できます。
またPAMの利用者に特権IDのパスワードを秘匿したり特権IDを利用した操作を記録することで、悪意ある組織内部の従業員による不正利用を防止することも期待できます。
IBM® Security Verify Privilege Vaultとは
IBM Security Verify Privilege Vault(Privilege Vault)は特権IDのパスワードを堅牢に保護し重要資産であるサーバー、システムへのアクセス制御を実現します。
Privilege Vaultはオンプレミス・サーバーに構築するまたはセキュアなクラウドサービス(SaaS)としてを利用することができ、組織のニーズに合わせて利用形態を選択可能です。
IBMおよびIBM ロゴは、世界の多くの国で登録されたInternational Business Machines Corporationの商標です。
IBM Security Verify Privilege Vaultの特徴
サーバー、システムへのアクセス・ルートを一元化
特権IDのパスワードを秘匿とすることでサーバー、システムへのアクセスの際利用者にPrivilege Vaultの利用を強制させることができます。
特権IDの隠蔽とセキュアな利用の実現
利用者から特権IDを隠蔽することができます。
またログイン時に承認者(マネージャーやシステム管理者など)の承認行為を必須とすることもできます。
Privilege Vault利用イメージ
さまざまなサーバー、M/W、システムに対応
あらかじめ標準テンプレートが用意されておりID、パスワード等の必要項目を記入するだけで簡易に登録できます。
テンプレート一例
カテゴリー | テンプレート一例 |
---|---|
サーバーOS | Windows |
Linux/Unix | |
IBM iSeries メインフレーム |
|
z/OS メインフレーム | |
データベース | Oracle |
MySql | |
SQL Server | |
ネットワーク | Cisco(ルーターなど) |
その他 | VMware ESX/ESXi |
Webアプリケーション | |
OpenLDAPアカウント | |
Amazon IAMキー |
ほかにも銀行口座番号やクレジットカード情報、Pinコード、製品ライセンスキーの保管にも利用できます。
アクセス時のセッションの録画・リアルタイムでのモニタリングが可能
Windows・Unix/Linuxなどのサーバー、SQL ServerなどのM/WまたはWebアプリケーションなどのシステムへのアクセス時の操作内容を録画することができます。
またアクティブなセッションをリアルタイムでモニタリングすることも可能で、サーバーの場合はセッションを強制終了させることもできます。
Privilege VaultとほかのPAMソリューションとの違い
一般的なPAMソリューションではセッションの録画機能は別ソリューションと組み合わせて実現していたりオプションとなっていることが多いですが、
Privilege Vaultでは標準機能としてセッションの録画機能をご利用いただけます。
また対象がWindows Serverの場合、Privilege Vaultを経由しないRDP接続も検知、リアルタイム・モニタリング/録画が可能です。※
※エージェントと呼ばれるソフトウェアを対象のマシンにインストールする必要があります。
Privilege Vaultスモールスタートのご提案
PAMの導入にあたっては現場の声を聞き利用者の利便性を考慮し、また不安を払しょくしたうえで進めることが重要です。
そのためいきなりすべてのサーバー、システムを対象とするのではなくOSごと、M/Wごとなどでいくつかに絞り込んだうえで運用を開始することをおすすめいたします。
Privilege Vaultの費用は特権IDの数ではなく利用者の数によって決まるため、サーバー・システムをピックアップしその担当者だけを対象にまずは運用開始することも可能です。
弊社ではPrivilege Vaultのライセンス調達から構築、運用まで一貫してご提供可能です。
Privilege Vaultの価格感や機能についてより詳しい情報が知りたい方はお問合わせフォームよりぜひご連絡ください。
内容を確認後、2~3営業日以内に担当者より折り返しご連絡いたします。