【CyberArk PAM】第4回 CyberArk PAMを使って特権IDの利用に制限を追加してみた

【CyberArk PAM】第4回 CyberArk PAMを使って特権IDの利用に制限を追加してみた

with コメントはまだありません
こんにちは、CyberArkチームのIkemoです!
第4回からは、ますだに代わり、私の方からCyberArk PAMについて紹介します!

第3回では、初めて実際の画面を見ながら、「CyberArk PAM」を導入するとサーバーへのアクセスが
どのように変わるのかを取り上げました。
専用のWebポータルにログインして操作するサーバーの「接続」ボタンをクリックするだけで、
認証情報をユーザー側に提供する作業をすることなくアクセスできました。
(第3回のリンクはコチラ)

第4回は、サーバーへのアクセスの際にいくつか制限を追加してみます。
特権IDのアクセスは自由にさせるのではなく、一定のルールを設定したい
制御をかけたときにアクセス方法ってどう変わるんだろう?
これらを一緒に見ていきましょう。

特権ID利用に承認を追加

Ikemo
今回も原田さんにご説明いただきます!
よろしくお願いします!
    原田
よろしくお願いします!
まずはじめに、特権ID利用時の申請・承認について説明します!
前回、PVWA(Webポータル)にログインした後にそのままサーバーへシングルサインオンしたのを
覚えていますか?
「CyberArk PAM」では通常、ログインすればそのままサーバーへアクセスできるようになっています。

しかし特権IDでサーバーへアクセスするには、利用申請と承認が必要な運用にしているところも
多いのではないでしょうか。

「CyberArk PAM」では、システム上で特権IDの利用申請・承認ができます。
申請から承認までの流れは第2回目のブログで触れましたが改めて紹介します。

    原田
ここからは実際の画面で利用申請・承認をお見せします!
ユーザーでPVWAにログインしました。
よく見ると、先頭の特権IDの一番右側が「接続のリクエスト」ボタンになっていますね。
では「接続のリクエスト」ボタンを押してみましょう。


すると申請画面が開きましたね。
ここでは、申請理由、利用する時間、複数回サーバーへアクセスするかどうかを入力・選択できます。
今回は、サーバーのメンテナンス作業でとある日の12時から14時までの間にアクセスしたいことを
入力・選択して申請してみます。


利用申請をすると、承認担当者にメールで通知が届きます。
メールには、以下の内容が記載されています。
・申請したユーザー
・使用する特権ID名
・申請時間
・特権IDの利用理由
・申請内容を確認できるURL など
承認担当者はURLをクリックするか、PVWAにログインし以下の手順に従って承認操作をします。

承認者は受信リクエストを開きます。
すると先ほど申請したリクエストがあるので、クリックして申請内容を確認してみましょう。


ここでは申請したユーザーや理由、使用する特権ID、アクセスする時間などを確認できます。
申請された内容は特に問題なかったので、「確認」ボタンをクリックします。


承認担当者の承認/否認作業が完了すると、結果がユーザーにメールで通知されます。
ユーザーで再度ログインしてみましょう。


「接続のリクエスト」から「接続」ボタンに変化しましたね。
ここからは前回のようにサーバーへアクセスして操作ができるようになります。
Ikemo
特権IDの申請から利用までシステム上で完結できるので、
承認担当者の負担も軽減できますね!
    原田
はい!そのとおりです!
また、承認の後にパスワードをユーザーへ通知する必要がないので、
認証情報を盗まれる心配がありません!

ワンタイムパスワードを有効化

    原田
「特権IDでサーバー作業した後に、自動的にパスワード変更できたらなあ」
なんてことおもったことありませんか?
Ikemo
そんな機能があれば非常に助かりますね!
そのような機能があればよりセキュリティを強化出来ますね!
    原田
そうですよね!
この章では、それが実現できる機能についてになります!
「CyberArk PAM」では、特権IDでサーバーへアクセスする度にパスワードを変更するよう設定できます。
この機能を「ワンタイムパスワード」と呼んでいます。
ここではワンタイムパスワードを有効化して、サーバーへアクセスした後でパスワードを
自動変更するまでを見ていきましょう。

実際の画面の前に、ワンタイムパスワードの仕組みを確認します。

ユーザーがサーバーへアクセスしてから一定時間経過すると、CPM(Central Policy Manager)が使用した
特権IDのパスワードを自動的に変更します。
(CPMについては別の回で紹介するので、今回説明は省きます。)

それでは実際の画面で見ていきましょう。
※今回はサーバーへアクセスしてから30分後にパスワードを自動変更するよう設定しています。変更するまでの時間はPVWA上で設定できます。

まず今のパスワードを確認してみましょう。
※今回は検証のために特権IDのパスワード表示機能を有効にしています。
特権IDのパスワード表示の有効/無効はPVWA上で設定できます。

PVWAからlocaladmin21で5:30過ぎにサーバーへアクセスしました。
localadmin21での活動記録を見ると、5:34にサーバーへアクセスした記録が残っていますね。

設定した30分後にパスワードが変更されたか改めて活動記録を確認してみましょう。

CPMによって6:05にパスワードを変更した記録が残っていますね。
実際にパスワードが変更されたかパスワードを表示して確認してみましょう。

パスワードも変更されていますね。
Ikemo
ワンタイムパスワードを設定すると特権ID利用後に自動でパスワード変更されるので、
管理者が変更する手間が省けますね!
    原田
そのとおりです!
もちろん特権IDのパスワードを見ることなく変更できるので、
セキュリティ対策もばっちりです!

特権IDが複数の人から同時に利用されないようにする

Ikemo
特権IDによっては複数のユーザーに同時利用させたくないケースもあると思いますが、
そのような対応も可能なのでしょうか?
    原田
通常の設定では同時に利用できますが、
利用できないように設定することは可能です!
    原田
どのような仕組みか、イラスト用いて説明します!

 

利用者が特定の特権IDでサーバーへアクセスしているとき、別の利用者がサーバーへアクセスする前に
その特権IDが使用中で利用できないことが分かるよう、PVWA上で表示されます。

実際の画面で見てみましょう。

現在あるユーザーがlocaladmin21でサーバーへアクセスしている状態で、別のユーザーでログインします。


 

localadmin21のStatus欄に灰色の錠前マークが出ていますね。
こ別のユーザーが使用していて特権IDがロックされている状態であることを表しています。
PVWA上に表示することで、今使っているかどうかが分かるようになっています。

「表示されているだけで、実際接続できるのでは?」と思う方もいるかもしれません。
試しに接続してみましょう。


エラー画面が出てきましたね。
PSMでも接続できないように制御されているので、うっかり接続や悪意のある接続を防げます。

ここからは、特権IDが複数の人から同時に利用できないよう設定したときの特権IDの利用について
話していきます。

特権IDを最初に利用したユーザーは、利用解除するまで再アクセスできます。
特権IDの利用が終わったら利用解除をする必要があります。
利用解除までの流れをイラストで見てみましょう。


 

PVWA上で特権IDの利用解除をすると、CPMに認証情報の変更を依頼します。
そしてCPMが自動的にパスワードを変更し、特権IDが別の利用者が使用できるようになります。
特権IDを使用したユーザーか強制的に解除できる権利を持つ管理者しかロック解除できないので、
解除し忘れないようにしてください。
※ワンタイムパスワードを設定すると解除し忘れても自動的に特権IDの利用が解除されます。

実際の画面で流れを確認します。
特権IDのロック解除の仕方はとても簡単です。
localadmin21の一番右の欄にある「・・・」マークをクリックして、「チェックイン」を選択します。



    原田
今回は、「CyberArk PAM」でサーバーへアクセスする際にどのような制限を
設定できるかを見てきました。
次回は、特権IDを追加する作業をお見せします!
Ikemo
原田さんありがとうございました!
次回もよろしくお願いします!

最後に

システムサポートでは特権ID管理対策として、CyberArk製品の導入検討・導入支援・運用支援を
サポートしています。
CyberArk製品の導入を検討しており、気になることや提案・見積もり依頼などありましたら
是非こちらからお問い合わせください。



 

本記事はいかがでしたか?

Follow Ikemo:

株式会社システムサポート BSX事業部所属 2022年新卒入社 CyberArk製品の導入やPowerPlatform開発を担当してます。