TOP /  セキュリティ/認証 /  現場SEが語る!特権ID管理実装の際に押さえるべき、見落としがちな3つの課題と解決方法

現場SEが語る!特権ID管理実装の際に押さえるべき、見落としがちな3つの課題と解決方法 | セキュリティ/認証

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

特権ID管理と課題  (株式会社アシスト )

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
3.6 でした!(5点満点中)
セミナー名 現場SEが語る!特権ID管理実装の際に押さえるべき、見落としがちな3つの課題と解決方法
講演企業 株式会社アシスト 、株式会社アシスト
開催日 2019年10月15日
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし

現場SEが語る!
特権ID管理実装の際に押さえるべき、
見落としがちな3つの課題と解決方法
株式会社アシスト
システム基盤技術統括部
笹沼 武士
2019 K.K. Ashisuto
1. アシスト会社紹介
2019 K.K. Ashisuto
2
アシストとは
お客様に「ITソリューション」と「ソフトウェア・サポート」を提供する
「パッケージ・インテグレーター」です。
パッケージ・インテグレーター
(アシスト)
研修
お客様
サポート
パッケージ・ソフトウェアと
技術支援を組み合わせた
ソリューション
2019 K.K. Ashisuto
3
会社概要-株式会社アシスト
設立 1972年3月
代表取締役会長 ビル・トッテン
代表取締役社長 大塚辰男
資本金 6,000万円
売上高 317億円(2018年度)
従業者数 1,160名(2019年4月現在) ※グループ会社含む
事業内容 コンピュータ用パッケージ・ソフトウェアの販売、技術サポート、教育
およびコンサルティング
本社所在地 東京都千代田区九段北4-2-1 市ヶ谷東急ビル
オフィス所在地 札幌、仙台、名古屋、金沢、大阪、広島、福岡、沖縄
取引会社数 6,300社(2018年度)
主要取扱製品数 60製品(2019年4月現在)
グループ会社 株式会社アシスト本舗
株式会社アシスト北海道
株式会社のれん
2019 K.K. Ashisuto
4
アシストのビジョン
アシストは、IT時代を元気に渡っていけるよう「お客様をアシ
スト」する会社です。IT企業の枠を超え、お客様の真のパート
ナーとしてITビジネス全体をサポートする仕事を愉しむ、そし
てお客様にもっと快適なビジネス環境を提供したいと考えて
います。
アシストが大切にしているのは、お客様の事業が順調に進み、
お客様が笑顔になること。お客様から愉しさをいただき、お
客様に快適な未来を約束することです。
アシストは、そうした「超サポ愉快カンパニー」になること
を目指します。
2019 K.K. Ashisuto
5
パート1
特権IDと課題
Part1-1. 特権IDとは
2019 K.K. Ashisuto
特権IDとは
OSやデータベース、各システム等において
高権限の特殊な操作が行えるシステムアカウント
(Administrator、root、sysなど)

一般ユーザーよりも高い権限を付与されたアカウント
特徴
・共有で利用されることが多い
・基本的にはパスワード認証
リスク
・システム障害のリスク
・データの改ざん、滅失、毀損
・個人情報や重要データなどの閲覧、持ち出しによる情報
漏えい
・不正IDの作成、権限変更
・サービスの停止、不要サービスの起動 etc
2019 K.K. Ashisuto
7
特権IDと守るべきデータの関連性
サーバ
クライアントPC
・DBサーバ
・ファイルサーバ
・ADサーバ
・アプリケーションサーバ
etc
重要な資産
重要な資産はサーバ上
で管理されていることが
多い。
特権IDでログイン
することで、重要な
資産にアクセスしや
すい。
2019 K.K. Ashisuto
8
特権IDを何から護るのか
故意、故意ではないにかかわらず、重要資産にアクセスする手段として
特権IDを不正に利用されないようにすることが重要
サーバ
外部からの攻撃
重要な資産
内部からの不正利用
2019 K.K. Ashisuto
9
外部からの攻撃
例)標的型攻撃
① 調査・準備
② 初期侵入
④ 内部侵入・
情報入手
特権ID
重要な資産
感染
攻撃者
情報搾取
③ バックドア開設
C&Cサーバ
⑤ 情報窃取
二次
感染
特権ID
環境破壊
特権ID
2019 K.K. Ashisuto
10
外部攻撃の手法と対策
② 初期侵入
④ 内部侵入・情報入手
・標的型メール
・クラウドメール侵害
・ソフトウェアの脆弱性
・攻撃手法のほとんどが「標的型メール」
・限りなく業務内容に近いメール、不信をいだかせない
添付ファイルを利用
③ バックドア開設
・HTTP、HTTPSのみの通信
・通信先の偽装
・ドメイン名偽装
・正規Webサービス利用
・Web通信に遠隔操作の通信を紛れ込ませる
・ツール(MIMIKATZ、csvde)、総当たり攻撃、
脆弱性を利用した管理者権限奪取
・ツール(CIFS、FTP)を利用したファイル転送
・ツール(PsExec)を利用したリモート実行
・内部活動では「水平移動」の手法を利用
・OS標準ツール、正規ツール、フリーツールの利用
⑤ 情報窃取
・情報窃取後のツール、ログ、タスク、サービス削除
・ランサムウェアを利用
侵入を前提とした対策はもはや常識
侵入されても重要データを持ち出させない対策が必須
2019 K.K. Ashisuto
11
内部不正
内部不正の約半数は「退職者」による不正アクセス。
現職従業員による不正を加えると7割を超える。
××部の○○ですが、
システムトラブルで至急サーバへのアクセスが
必要になりました。
△△アカウントのパスワードって何でしたっけ?
自身が知り得ない情報はサーバ上に存在する
重要データから入手。その際に「特権ID」を利用する。
特権IDの入手手法はソーシャルエンジニアリングが
利用されることが多く、対策が困難
内部不正の特長
・組織内で処理され、外部に公開されにくい
・組織の根幹を揺るがす大規模漏えいに発展しやすい
・不正のトライアングルが揃うと起こりやすい
2019 K.K. Ashisuto
12
不正のトライアングル
IT統制にて制御可能なものは「機会」
機会
機会の削減
不正が行える
機会がある
・重要なデータへのアクセス方法を制限し、
不正を起こす機会を限りなく小さくする
不正のトライアングル
動機
不正を働く
動機がある
正当化
「特権ID」を入手しても
アクセスできない仕組み
行為を正当化
してしまう
性弱説
人間の本質が「善い」「悪い」の議論
ではなく、人間は本来「弱い」ものとして、
不正に取り組む必要がある。
2019 K.K. Ashisuto
13
特権アクセス管理
クラウド環境
承認
アクセス管理
承認者
仮想環境
ワークフロー
利用申請
動画ログ取得
監査ログ管理
作業者
各サーバ、
アプリケーション利用
ワンタイム
パスワード
・パスワード貸出
・自動ログイン(RDP、SSH、HTTP等)
2019 K.K. Ashisuto
オンプレ環境
OS / DB / 埋め込みPW
/ ネットワーク機器等
14
パート1
特権IDと課題
Part1-2. 特権IDをめぐる課題
①仮想環境・クラウド利用による特権ID管理の課題
②サーバログイン後のアクセス制御
③RPAにおける特権IDの課題
2019 K.K. Ashisuto
①仮想環境・クラウド利用による特権ID管理の課題
仮想環境、クラウドの台頭
オンプレ
仮想環境
クラウド
IaaS/PaaS AWS
MS Azure
・・・
VMware
サーバOS
データベース
アプリケーション
サーバOS
データベース
アプリケーション
SaaS
MS Office 365
・・・
(サーバOS)
データベース
アプリケーション

仮想基盤コンソール

クラウド管理コンソール
2019 K.K. Ashisuto

クラウドサービス
管理コンソール
16
①仮想環境・クラウド利用による特権ID管理の課題
オンプレ
仮想環境
クラウド
ハイブリットクラウド環境
管理する特権IDの
単純増加
管理用I/Fの増加
固定パスワード
2019 K.K. Ashisuto
社外からの
アクセスが可能
証跡の取得が
困難
17
②サーバログイン後のアクセス制御の課題

従来の特権ID管理の考え方
業務サーバ側の特権IDは共有IDを利用
ワークフローで承認されたユーザーのみ利用可能
ワークフローで承認されたユーザーと共有IDの紐付により個人を特定
サーバにログインした後は、特権ID管理製品にてログを取得

承認されたユーザーであれば、重要データへのアクセスが可能
2019 K.K. Ashisuto
18
②サーバログイン後のアクセス制御の課題
特権IDによるサーバログイン後の制御については、監査でも指摘されることが多い項目。
通常「権限を必要最小限とする」、「特権IDを利用する際に個人が特定できる」状態で
管理する必要があると言われている。
ただし、実際の運用においては以下のような課題がある。
個人ごとに特権IDを
用意するのは困難

共有IDを利用
Administrator、root
を利用する場合
詳細制御できない
ACL設定を実施したところ
実運用で思わぬ制御がかかり
設定を断念
ACLはOSごとに制御方法
が異なり運用が煩雑
2019 K.K. Ashisuto
19
③RPAにおける特権ID管理の課題
RPAの種類
デスクトップ型
サーバ型
・RPAサーバでロボットを集中管理して、
・ロボットがPC上で動作し、人の操作と
同じように画面を表示し画面操作を行うタイプ
サーバや仮想PC側でバックグラウンドで処理を行うタイプ
日本企業で利用されているRPA製品の大半は
サーバ型であり、特権IDを利用するシーンもサー
バ型利用になると考えられる為、本講義ではサー
バ型RPA製品を中心に言及します。
2019 K.K. Ashisuto
20
③RPAにおける特権ID管理の課題

RPAのセキュリティリスク
RPA管理サーバ
①設定変更の誤操作/不正変更
シナリオ作成ツールな

①システム毀損・破壊行為/システム停止
②ログやロボット処理内容の改ざん/削除
③データベースに保存されている重要情報の窃取、漏えい
④ロボットへの不正権限付与、ロボットの悪用
①通信傍受による認証情報の窃取
②機密情報の窃取
①不正ログイン/不正操作
②情報漏洩
①ID削除漏れによるゴーストID、
不正な野良ロボットの発生
②作業ID/ロボットの把握、管理できない
③ID/PWDの窃取、漏えい
ロボット
①不正操作や設定ミスによる誤動作、想定外処理の把握が困難
②故障、サービス停止等の把握が困難
③監査等におけるロボットの動作証明が困難
攻撃者
2019 K.K. Ashisuto
21
③RPAにおける特権ID管理の課題

RPAにおけるセキュリティの考え方
『人』が行ってきたことを『ロボット』に行わせるだけで、業務内容は変わらない。
そのため、『ロボット』という観点で新たにセキュリティ対策を
考えるのではなく、ロボットを『人』の延長線上として対策を行う。
デスクトップ型RPAを利用している場合は、野良ロボットが増えるなどの
危険が増える。各部門で、組織に基づいた権限をロボットにも与え、
『人』の延長線上でコンプライアンスに配慮してロボットを統制する
必要がある。
2019 K.K. Ashisuto
22
③RPAにおける特権ID管理の課題
特権ID利用時の課題
OSへのログインやアプリケーションとの連携時には、アプリ毎にID、パスワードが必要と
なり、RPA ツールの自動入力の設定にID、パスワードを登録する必要がある。
画面上での操作をそのまま登録するタイプのRPAの場合、IDやパスワードはテキストのまま
記録され、パスワード漏洩の可能性がある。
テキストのまま
シナリオに
パスワード保存
ID/PWD
2019 K.K. Ashisuto
23
パート1
特権IDと課題
Part1-3. 特権IDをめぐる課題への対策
2019 K.K. Ashisuto
①仮想環境・クラウド利用による特権ID管理の課題
オンプレ
仮想環境
クラウド
ハイブリットクラウド環境
管理する特権IDの
単純増加
管理用I/Fの増加
固定パスワード
2019 K.K. Ashisuto
社外からの
アクセスが可能
証跡の取得が
困難
25
①対策
ハイブリッドクラウド環境に対応した製品を利用する
管理する特権IDの
単純増加
管理用I/Fの増加
社外からの
アクセスが可能
全環境を一元管理
可能な製品を選定
固定パスワード
クラウド管理コンソール、
クラウドサービス管理
コンソールも管理対象に
可能な製品を選定
クラウド環境も
ワークフローの対象とし、
ゲートウェイ経由で
アクセス可能な製品を選定
2019 K.K. Ashisuto
証跡の取得が
困難
パスワードを秘匿化
(自動ログイン)
可能な製品を選定
ゲートウェイ型
製品でログを収集
26
②サーバログイン後のアクセス制御の課題
特権IDによるサーバログイン後の制御については、監査でも指摘されることが多い項目。
通常「権限を必要最小限とする」、「特権IDを利用する際に個人が特定できる」状態で
管理する必要があると言われている。
ただし、実際の運用においては以下のような課題がある。
個人ごとに特権IDを
用意するのは困難

共有IDを利用
Administrator、root
を利用する場合
詳細制御できない
ACL設定を実施したところ
実運用で思わぬ制御がかかり
設定を断念
ACLはOSごとに制御方法
が異なり運用が煩雑
2019 K.K. Ashisuto
27
②対策
特権ID管理 + アクセスコントロール製品
個人ごとに特権IDを
用意するのは困難

共有IDを利用
ACLはOSごとに制御方法
が異なり運用が煩雑
共有ID利用を前提
にアクセス制御を
実装する
OSに依存しない
ACL設定が可能な
製品の選定
Administrator、root
を利用する場合
詳細制御できない
ACL設定を実施したところ
実運用で思わぬ制御がかかり
設定を断念
2019 K.K. Ashisuto
Administrator、
rootであっても制
御できる製品選定
シュミレーション
モードが可能な製
品を選定
28
③RPAにおける特権ID管理の課題
特権ID利用時の課題
OSへのログインやアプリケーションとの連携時には、アプリ毎にID、パスワードが必要と
なり、RPA ツールの自動入力の設定にID、パスワードを登録する必要がある。
画面上での操作をそのまま登録するタイプのRPAの場合、IDやパスワードはテキストのまま
記録され、パスワード漏洩の可能性がある。
テキストのまま
シナリオに
パスワード保存
ID/PWD
2019 K.K. Ashisuto
29
③対策
RPAが使うパスワードを定期的に変更する
■対策前
■対策後
例)障害対応フロー
実行開始
サーバ
ログイン
例)障害対応フロー
自動化
環境情報
ログ収集
OS
再起動
開発者
(内部不正者)
対応終了
実行開始
サーバ
ログイン
自動化
環境情報
ログ収集
①パスワード
発行依頼
開発者
(内部不正者)
フローに埋め込まれた
ログイン(パスワード)情報を
悪用されたら?
③定期的に
接続先サーバの
パスワードを更新
2019 K.K. Ashisuto
OS
再起動
②払い出された
パスワードで
処理を継続
特権ID
管理システム
対応終了
パート2
特権アクセス管理ソリューション
Part2-1. 特権アクセス管理ソリューションとは
2019 K.K. Ashisuto
特権アクセス管理ソリューションとは
簡単に かつ 強固に
様々な環境の特権IDを護る
ソリューション
2019 K.K. Ashisuto
32
特権アクセス管理ソリューションを支える6つの機能
ワークフロー
・申請と承認をWebシステム化
・利用者(個人)を特定
アクセス制御
パスワード
管理
アクセス制御
・不正なログインを制御
・管理対象デバイス上での
アクセス制御
不正ログイン検知
パスワード管理
ワークフロー
・管理対象デバイスの特権IDの
パスワードを一元管理
・パスワードを秘匿した自動ログイン
・プログラム内パスワード秘匿
動画ログ
・操作内容を動画ログとして取得
・管理者が証跡を確認可能
不正ログイン
検知
動画ログ
多要素認証
・不正な経路からのログインを
リアルタイムで検知
・各デバイスからログ取集
多要素認証
・二要素、二経路認証利用による
認証強化
2019 K.K. Ashisuto
33
利用イメージ
管理者
・特権アクセス管理サーバ以外からの不正ログインを
リアルタイムに検知し、管理者にメール通知
・強固なパスワードポリシーを強制し、
⑤不正ログイン検知
・オンプレミスのOSのみならず、
パスワードを利用の都度払出
クラウド、仮想環境、
・各サーバへ自動ログインが可能
IoTデバイスなど
・スクリプト内のパスワードを管理
幅広い環境をサポート
⑦動画ログ確認
③パスワード管理
・動画ログを自動収集
業務サーバ
承認者
・許可制の強制
・利用者の特定が
可能
②ワークフロー
Agent
④動画ログ
特権アクセス
管理サーバ群
Agent
・操作内容はすべて動画
ログを取得可能
⑥アクセス制御
①多要素認証
利用者
・他の認証デバイス(ワンタイムパスワード、
指紋認証)と連携し、二要素、二経路での
認証を実現可能
2019 K.K. Ashisuto
攻撃者
・Agent導入したサーバ
には不正アクセスを防止
・ログイン後のコマンド
制御、ネットワーク制御、
起動プログラム制御が
可能
34
導入後の効果
標的型 標的型攻撃は、管理者のPCから特権ID・パスワードを盗用する攻撃を仕掛けます。
攻撃 ソリューションを適用することにより、パスワードは常にランダム化される為、盗用されても
業務サーバにログインされる心配がありません。万一何らかの手段でログインされた場合でも、
不正アクセス検知が可能です。
内部 内部不正は、通常の許可された経路から接続を行います。
不正 共有IDの利用申請により、不正行為があった場合でも、容易に利用者が特定でき、動画ログによ
り操作内容も明確になります。また、管理者であっても担当外作業を行わせないようにアクセス
制御をかけることも可能です。
監査 利用者と特権IDを紐付け、ログイン状況をレポート化することができ、監査レポートとして
対応 利用可能です。不正ログインの検知と共にレポート出力も可能です。
また、パスワードを定期的に変更することも可能です。
環境 オンプレミス環境だけでなく、仮想環境、クラウド環境、IoT機器などもパスワード管理の対象
変化 にすることが可能です。また、プログラム内に埋め込まれている平文のパスワード情報を秘匿す
ることも可能です。
このような重要なサーバへのログイン手法として多要素認証が利用できます。
2019 K.K. Ashisuto
35
パート2
特権アクセス管理ソリューション
Part 2-2. 6つの機能紹介
2019 K.K. Ashisuto
機能概要
特権アクセス管理ソリューションの6つの機能を以下の流れで説明します。
1、認証~ポータル画面(多要素認証) 2、ワークフロー
3、各デバイス利用(パスワード管理) 4、動画ログ参照
5、アクセス制御 6、不正ログイン検知
承認者
システム構成イメージ
特権アクセス
管理サーバ群
通常ルート 通常ルート
特権アクセス管理 各業務サーバへの
サーバへのアクセス 自動ログイン
業務サーバ
ワークフロー
利用者
不正ルート
攻撃者
2019 K.K. Ashisuto
Agent
Agent
不正ログインに対する
アクセス制御/
不正ログイン検知
1、認証~ポータル画面(多要素認証)
認証時に二つの要素(記憶しているPINコードとワンタイムパスワード)を利用して認証します。
認証が成功すると、アクセス可能なサーバのリストが表示されます。
ログイン後の
ポータル画面
**********
特権アクセス
管理サーバ
ユーザが記憶している
PINコード
利用者
30秒で変わる
OTP
1234
ログインユーザの権限に
よってアクセス可能な対
象デバイスが変わります。
利用者
スマートデバイス等
2019 K.K. Ashisuto
38
2、ワークフロー
画面上から申請および承認処理を実施します。
利用日時を指定し
て申請
利用者
利用したいデ
バイスを選択
申請依頼メール
の自動送付
承認完了通知の
自動送付
承認を実施
2019 K.K. Ashisuto
承認者
39
3、各デバイス利用(パスワード管理)
利用が許可されたデバイスに自動ログインします。
UNIX(SSH)
特権アクセス
管理サーバ
各業務サーバへの
自動ログイン
Web画面(HTTP)
業務サーバ
Windows(RDP)
2019 K.K. Ashisuto
Windows C/S(RDS)
40
4、動画ログ参照
記録されている操作内容を動画ログにて確認します。
フィルタ違反ログ
動画ログ
特権アクセス
管理サーバ
2019 K.K. Ashisuto
41
5、アクセス制御
正規のルート以外からログインが発生した場合に、そもそも、業務サーバにアクセスさせません。
特権アクセス
管理サーバ群
業務サーバ
利用者
通常ルート
Agent
不正ルート
攻撃者
2019 K.K. Ashisuto
※アクセス制御のエージェントと不正ログイン検知で
利用するエージェントは異なります。
42
6、不正ログイン検知
正規のルート以外からログインが発生した場合に、不正ログイン検知メールを送信します。
不正ログイン検知メール
自動送信
特権アクセス
管理サーバ群
Agent
管理者
業務サーバ
利用者
通常ルート
不正ルート
攻撃者
2019 K.K. Ashisuto
※アクセス制御のエージェントと不正ログイン検知で
利用するエージェントは異なります。
43
パート2
特権アクセス管理ソリューション
Part2-3. 課題への対応
2019 K.K. Ashisuto
仮想環境/クラウド環境
クラウド、仮想環境など管理コン
ソールを含めた幅広い環境をサ
ポート
SAML連携などの機能で、管理コ
ンソールへのSSLを実現
UNIX(SSH) Web画面(HTTP)
各業務サーバへの
自動ログイン
オンプレミス
パスワード管理
クラウド環境
特権アクセス
管理サーバ
動画ログ
操作内容はすべて動画
ログに記録される
Windows C/S(RDS)
Windows(RDP)
自動ログイン+管理コンソールへ
のSSO対応で、固定値パスワード
でもパスワードを秘匿したまま運
用が可能
2019 K.K. Ashisuto
攻撃者
仮想環境
AWS vCenter
AWS
Office 365
Office 365
ワークフロー+自動ログイン機能
で、外部から直接クラウド環境に
ログインできないようにすること
が可能
45
サーバログイン後のアクセス制御
エージェントを導入することにより、独自の技術によって、OS上で発生するイベントを取得し、
OSでは満たせないサーバのアクセス制御およびログ取得を行います。
アクセス制御コマンドは
全OS共通。Web画面での
設定も可能
なりかわり制御
アカウント・パスワード管理
ログイン制御
クライアントPC
ネットワーク制御
(受信)
root、Administratorも
通常のユーザ同様に制御
エージェント
本番リリース前にシュミ
レーションモードで挙動
確認が可能
ファイルアクセス制御
ネットワーク制御
(送信)
業務サーバ
プログラム制御
2019 K.K. Ashisuto
46
RPAの埋め込みパスワード対応
埋め込まれたパスワードもセキュアに管理!
業務サーバ
■実行イメージ
①RPAがシナリオ実行
②対象アカウントのパスワードを取得要求
③変更後のパスワードを取得
④取得したパスワードでバッチ内を処理を実行
(例:DBへの接続)
特権アクセス
管理サーバ
スケジュールジョブによる
定期的なパスワード変更
②パスワード
取得要求
④処理実行
(DBへの接続)
③変更後の
パスワード取得
2019 K.K. Ashisuto
①シナリオ実行
47
パート2
特権アクセス管理ソリューション
Part2-4. システム構成
2019 K.K. Ashisuto
システム構成例
・利用機能:ワークフロー、パスワード管理、動画ログ、アクセス制御、不正ログイン検知、多要素認証
・管理対象デバイス:Windows、RHEL、vCenter、AWS、Office365
⑧レポートの送付
⑦不正ログインアラート通知
⑨動画ログの確認
管理者
①ログイン
(PIN、ワンタイムパスワード)
不正ログ
イン検知
レポート
業務サーバ
(機密情報あり)
OS操作
ログ
レポート
アクセ制御
Agent
特権アクセス管理サーバ群
特権アクセス
管理サーバ
ログ管理
サーバ
ログ収集
Agent
⑥ログ収集
③自動ログイン
④動画取得
利用者
⑤パスワード払出
②申請/承認
ワークフロー
動画保存
ストレージ
業務サーバ
(機密情報なし)
ログ収集
Agent
多要素認証
サーバ
サーバデータの
持ち出し禁止
仮想環境
vCenter
⑥ログ収集
クラウド環境
承認者
③自動ログイン
④動画取得
2019 K.K. Ashisuto
AWS
Office 365
49
2.アシストの強み
2019 K.K. Ashisuto
アシストの強み
アシストでは特権ID管理分野の取扱いにおいて、約20年の実績があります。
取扱いに際し十分な検証を実施し、クオリティの高い製品をお客様へ提供しています。
クラウド市場活性化
働き方改革の推進
標的型攻撃や内部不正による
大規模なセキュリティ事故
マイナンバー制度の開始
2017/10
個人情報保護法の施行
JSOX法の施行
1999年~
特権ID管理製品
取扱い開始
2018/6
特権アクセス管理
ソリューション
提供開始
特権アクセス管理製品
取扱い開始
2009年~
特権アクセス管理製品
特権ID管理製品
ラインナップ拡充
パスワード払出タイプの
特権ID管理製品
各OSにインストールする
タイプの特権ID管理製品
2019 K.K. Ashisuto
製品リリースの約1年前から
メーカと一緒に製品検証と
日本語化対応を実施。
51
安心をお約束するアシストの超「サポート」
サポートセンター

長年の実績による、他社には真似できないきめ細やかで高品質なサポートを提供


サポートIDによるお客様確認の迅速化とお問い合わせ履歴化
サポート専任技術者が電話、Web、E-Mailにて対応


インシデント制でなく、何回でもお問合せ可能
障害発生時に限らず、開発や運用時のご質問や
お困り事を気軽に相談
各種お問い合わせへの回答や、製品を有効活用
いただくための情報提供
製品の機能、使用方法、ドキュメントに関する
ご質問
実行時のトラブルシューティングなど
Webサポートサイトにて製品FAQ/技術情報を随時公開
2019 K.K. Ashisuto
52
Ashisuto Web Support Center(AWSC)
お客様専用のWebサポートサイト
サポートセンターへのお問合せの登録・更新、サポートセンターからの回答確認、
過去のお問合せ履歴を管理
様々な場面でご活用いただけるFAQや技術情報などの参照、マニュアルのダウンロードが可能
お問合せ管理画面
FAQ画面
2019 K.K. Ashisuto
53
ハンズオンセミナー
お客様に受講いただけるハンズオンセミナーを随時開催しています。
画面と操作で実体験!
一歩進んだ特権ID管理、「特権アクセス管理」のポイント
本資料にてご説明した内容を実際にハンズオンにて
確認できるセミナーを開催しています。
会場:アシスト市ヶ谷本社 セミナールーム
次回開催日程や詳細はコチラ↓から
https://www.ashisuto.co.jp/pr/security/seminar.html#pam
2019 K.K. Ashisuto
54
3.参考
2019 K.K. Ashisuto
(参考)AWS統合機能
フェデレーションログイン機能と連動し、単一の
IAMアカウントであっても、「誰が」を特定することが可能
Aさん
操作内容も録画できるため、後
日何を実施したのか確認可能
REC
特権アクセス
管理サーバ
Bさん
自宅PC
ネットカフェ







2019 K.K. Ashisuto
(参考)AWS統合機能
Aさん
Aさん:
何でもOK
Bさん:
IAM管理はNG
REC
特権アクセス
管理サーバ
Bさん







特権アクセス管理製品にて権限設定が可能。
一つのAIMユーザでAWSコンソールの機能を
制御することが可能
2019 K.K. Ashisuto
まとめ
仮想環境・クラウド対応 クラウド、仮想化、オンプレのハイブリッド環境
の特権IDをシンプルに管理、強化することが可能
特にAWSコンソールに関しては優れた連携機能を
提供
ログイン後の 許可された特権IDでログインした後も強力なアク
アクセスコントロール セスコントロールを提供。
統一された設定コマンドでシンプルに管理が可能
で、シミュレーションモードも提供。
組み込みパスワード 数行のプログラム修正のみで、組み込まれたパス
ワードを厳重に保管された場所に問い合わせを実
施して利用が可能。
2019 K.K. Ashisuto
58
本資料に関するお問い合わせ
株式会社アシスト
東日本技術本部 システム基盤技術統括部 技術3部
sk_info@ashisuto.co.jp
※記載されている会社名、製品名は、各社の商標または登録商標です。
2019 K.K. Ashisuto
59

他のカテゴリから探す

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!