みなさまこんにちは!ますだです。
第2回目は「CyberArk PAM」の製品についてと、実現できることを紹介していきます。
特権IDについての説明はシリーズ第1回で書いていますので、そちらを見てください!
[第1回はコチラ]
第2回目は「CyberArk PAM」の製品についてと、実現できることを紹介していきます。
特権IDについての説明はシリーズ第1回で書いていますので、そちらを見てください!
[第1回はコチラ]
CyberArk PAMの製品紹介
「CyberArk PAM」は、ガートナー社による調査で、
特権アクセス管理の分野において3年連続でリーダーの1社として評価されたCyberArk社の製品の1つです。
「CyberArk PAM」で特徴的な機能として、以下5つがあります。
・特権IDとパスワードの一元管理
・特権IDによるサーバーへのアクセスを保護し、安全なセッションを確立
・特権IDによるサーバー操作記録を保存、監査
・特権IDによるサーバー操作を監視
・特権IDによる不審な行動を検知し、リアルタイムに対応
150社以上の認定パートナーがいるので、オンプレミス・クラウドを問わず
様々な機器(サーバー、DB、ネットワーク機器など)を管理の対象とすることができるのが強みです。
CyberArk社によると、CyberArk製品全体ではありますが、
保険・銀行・製薬・エネルギー・製造・テレコムの6業界のグローバルトップ企業で70%以上
のシェアを誇ります。※特に銀行業界ではなんと92%!!!
特権アクセス管理の分野において3年連続でリーダーの1社として評価されたCyberArk社の製品の1つです。
「CyberArk PAM」で特徴的な機能として、以下5つがあります。
・特権IDとパスワードの一元管理
・特権IDによるサーバーへのアクセスを保護し、安全なセッションを確立
・特権IDによるサーバー操作記録を保存、監査
・特権IDによるサーバー操作を監視
・特権IDによる不審な行動を検知し、リアルタイムに対応
150社以上の認定パートナーがいるので、オンプレミス・クラウドを問わず
様々な機器(サーバー、DB、ネットワーク機器など)を管理の対象とすることができるのが強みです。
CyberArk社によると、CyberArk製品全体ではありますが、
保険・銀行・製薬・エネルギー・製造・テレコムの6業界のグローバルトップ企業で70%以上
のシェアを誇ります。※特に銀行業界ではなんと92%!!!
特権IDの一元管理
ますだここからは特権IDに関して、ますだが疑問に感じたことを原田さんに詳しく教えて頂こうと思います!
原田さんよろしくお願いします!
原田さんよろしくお願いします!
原田みなさま初めまして。2022年中途入社の原田円佳です。
現在CyberArk製品の導入をメインに活動中です。よろしくお願いします!
現在CyberArk製品の導入をメインに活動中です。よろしくお願いします!
ますだよろしくお願いします!
早速ですが、まず特権IDの管理方法について教えてください。
早速ですが、まず特権IDの管理方法について教えてください。
原田はい!
良くお伺いされる用途要望としまして、以下のことが挙げられます。
良くお伺いされる用途要望としまして、以下のことが挙げられます。
原田「CyberArk PAM」では専用サーバーで特権ID情報の一元管理でき、
それにより、これらの要望を実現することができます!
それにより、これらの要望を実現することができます!
幅広い種類の機器にある特権IDを管理できます。
一元管理サーバーは必要な通信以外一切しないように構成されており、特権IDを安全に管理します。
特権IDの情報は専用のWebポータルから確認できます。また、ユーザーがログインすると使用できる特権IDのみ表示されるように設定できます。
パスワードは、変更間隔や長さといった会社のパスワードポリシーに合わせて自動で管理できます。手作業で大量のパスワードの変更をする手間を減らす事ができます。
対象システムへのシングルサインオン
続いて特権IDを使ってシステムへアクセスするときについてのお悩みです
・特権IDでサーバー作業をするとき、安全にログインできるようにしたい
・システム上で特権IDの利用申請や承認ができるようにしたい
「CyberArk PAM」では、Webポータル画面からサーバーへ接続できます。
サーバーへの接続は自動的に行われるため、ユーザーが接続用のソフトを立ち上げる必要がありません。
サーバーに接続するときは、パスワードやSSHキー等の認証情報を自動で入力します。また、認証情報はユーザーから見えないようになっており、認証情報を盗み見られる心配がありません。
特権IDを利用するときの許可申請や承認作業はWebポータルから行えます。
許可申請や承認結果はメールで自動通知されるので、特権IDの許可申請から実際に利用するまでの処理をスムーズに行うことが可能です。
・特権IDでサーバー作業をするとき、安全にログインできるようにしたい
・システム上で特権IDの利用申請や承認ができるようにしたい
「CyberArk PAM」では、Webポータル画面からサーバーへ接続できます。
サーバーへの接続は自動的に行われるため、ユーザーが接続用のソフトを立ち上げる必要がありません。
サーバーに接続するときは、パスワードやSSHキー等の認証情報を自動で入力します。また、認証情報はユーザーから見えないようになっており、認証情報を盗み見られる心配がありません。
特権IDを利用するときの許可申請や承認作業はWebポータルから行えます。
許可申請や承認結果はメールで自動通知されるので、特権IDの許可申請から実際に利用するまでの処理をスムーズに行うことが可能です。
特権IDの監視・記録
さて3つ目は特権IDでサーバーの作業をしてもらうにあたってのお悩みです。
・特権IDの作業記録を分かりやすく監査できる方法について
・特権IDでの作業状況をリアルタイムで監視できる方法について
「CyberArk PAM」では、特権IDでのサーバー作業の記録を録画とテキストで自動的に保存します。
記録は「CyberArk PAM」のシステム内に保存しており、削除や改ざんがされないようになっています。
作業の記録はWebポータル上で確認できます。動画で再生されるため、確認しやすくなっています。
また、リアルタイムで実際の作業状況を監視することができます。
こちらもWebポータルにアクセスしてリアルタイム監視したいセッションをクリックするだけです。
加えて、不審な行動や実際の作業内容とかけ離れたことをしている場合などを見かけたときには、
セッションの一時停止や切断を確認者ができるようになっています。
・特権IDの作業記録を分かりやすく監査できる方法について
・特権IDでの作業状況をリアルタイムで監視できる方法について
「CyberArk PAM」では、特権IDでのサーバー作業の記録を録画とテキストで自動的に保存します。
記録は「CyberArk PAM」のシステム内に保存しており、削除や改ざんがされないようになっています。
作業の記録はWebポータル上で確認できます。動画で再生されるため、確認しやすくなっています。
また、リアルタイムで実際の作業状況を監視することができます。
こちらもWebポータルにアクセスしてリアルタイム監視したいセッションをクリックするだけです。
加えて、不審な行動や実際の作業内容とかけ離れたことをしている場合などを見かけたときには、
セッションの一時停止や切断を確認者ができるようになっています。
特権IDの不審な行動の検知・対応
最後は、特権IDでサーバーに侵入されてしまったときの対策についてのお悩みです。
・特権IDを利用した不審な行動があった際に、検知と通知が出来ないか
・不審な行動への通知以外にもできる対策があれば実施したい
「CyberArk PAM」では、管理している特権IDで不審な行動が見られたときに、これを検知し管理者に通知します。
例えば、以下のような行動を検知します。
①「CyberArk PAM」を介さずに直接サーバーへ特権IDでログイン
②使用/登録していない特権IDの使用
③サーバー上で特権IDのパスワードを変更
④会社で禁止している行為の実行
また通知するだけではなく、不審な行動をしているセッションに対して自動的に一時停止/切断するよう設定でき、サーバーへ侵入されても特権IDを悪用した攻撃を防ぐための一時的な対策をとることができます。
ここまで、「CyberArk PAM」でできることを紹介しました。
次回からは、実際の画面を見ながらより詳しく「CyberArk PAM」の機能を紹介します。
・特権IDを利用した不審な行動があった際に、検知と通知が出来ないか
・不審な行動への通知以外にもできる対策があれば実施したい
「CyberArk PAM」では、管理している特権IDで不審な行動が見られたときに、これを検知し管理者に通知します。
例えば、以下のような行動を検知します。
①「CyberArk PAM」を介さずに直接サーバーへ特権IDでログイン
②使用/登録していない特権IDの使用
③サーバー上で特権IDのパスワードを変更
④会社で禁止している行為の実行
また通知するだけではなく、不審な行動をしているセッションに対して自動的に一時停止/切断するよう設定でき、サーバーへ侵入されても特権IDを悪用した攻撃を防ぐための一時的な対策をとることができます。
ここまで、「CyberArk PAM」でできることを紹介しました。
次回からは、実際の画面を見ながらより詳しく「CyberArk PAM」の機能を紹介します。
最後に
システムサポートでは特権ID管理対策として、CyberArk製品の導入検討・導入支援・運用支援を
サポートしています。
CyberArk製品の導入を検討しており、気になることや提案・見積もり依頼などありましたら
是非こちらからお問い合わせください。
サポートしています。
CyberArk製品の導入を検討しており、気になることや提案・見積もり依頼などありましたら
是非こちらからお問い合わせください。