【CyberArk PAM】第7回 CyberArk PAM を使ってパスワードを自動管理してみた

【CyberArk PAM】第7回 CyberArk PAM を使ってパスワードを自動管理してみた

with コメントはまだありません
みなさんこんにちは!
CyberArkチームのIkemoです!

今回もCyberArk PAMについて紹介します!
前回は特権ID管理の第一歩として特権IDの登録について見てきました。
必要な情報を入力すると、あとは「CyberArk PAM」が管理をしてくれる感覚はつかめたでしょうか。

第7回では、「CyberArk PAM」のシステムでの特権IDのパスワードの変更管理を取り上げます。
「CyberArk PAM」を導入するとパスワード管理がどのように変わるのかを一緒に見ていきましょう。
(「特権IDの利用」についての記事はコチラ:第6回

ポリシーを設定してパスワードを変更する

Ikemo
前回に引き続き、原田さんにご説明いただきます。
よろしくお願いします!
    原田
よろしくお願いします!
今回は内容は簡単なのに、管理や変更にどうしても手間やミスが発生してしまう、パスワード変更管理について取り上げていきます。
特権IDのパスワード変更管理について、よくこのようなことを耳にします。
・サーバーへアクセスして特権IDのパスワードを変更した後に、
パスワード一覧もあわせて更新しないといけないから、毎回手間がかかって大変。
・特権IDのパスワードの変更作業、特権IDの数が多いから変更するのに時間がかかる。
・会社のパスワードポリシーに従ってパスワードの中身を考えるのが面倒。

「CyberArk PAM」では、パスワードの長さやパスワードで使用する文字の種類など、パスワードに関わる様々な条件を組み合わせてポリシーとして設定できます。
そして「CyberArk PAM」のシステムがポリシーに従って特権IDのパスワードを変更し、Vault上のパスワード情報の更新まで実施します。

パスワードを変更するまでの流れをイラストで見てみましょう。
特権IDのパスワード変更作業は管理者ユーザーで操作します。
特権IDのパスワード変更はPVWAからできます。

PVWA上で特権IDのパスワード変更を実行すると、PVWAがCPM(Central Policy Manager)にパスワード変更依頼をします。
CPMは依頼を受けると、Vaultから変更する特権IDのパスワードを取得し、パスワードの変更作業を実施します。

変更したパスワードはVault上に保管されます。
CPMは特権IDのパスワード管理を担うコンポーネントです。

パスワードの変更や、パスワードが正しいかどうかの検証など、特権IDのパスワードに関するあらゆる管理をユーザーの代わりに行ってくれます。

また前回あった特権IDの検出もCPMの機能の1つです。

実際にパスワード変更してみた

    原田
それでは実際の画面を見ながらlocalappadmin01 アカウントのパスワード変更をしていきましょう。

    原田
PVWAにログインして今のパスワードを確認してみます。
※今回は検証のために特権IDのパスワード表示機能を有効にしています。
今のパスワードが確認できたところで、変更する前に今回のパスワードのポリシーを確認してみましょう。
パスワードのポリシーはプラットフォームで設定・確認が可能です。

対象のユーザーのパスワードのポリシーを確認してみると、以下のように設定されています。
・長さは12文字
・大文字を2文字以上
・小文字を2文字以上
・数字を含める
・記号を含める
その他のパスワードのポリシーとして、以下ような設定に変更/追加することも可能です。
・禁止する文字
・同じ文字をパスワード内で複数個使用する/しない など

パスワード変更を実施すると、以下のように表示され、変更が完了します。 
 

指定したポリシーは適応されているでしょうか・・・ 
 
Ikemo
おぉ!ちゃんとポリシーに従って変更されていますね。
    原田
サーバーへのパスワード変更作業から変更したパスワードの情報更新まで
「CyberArk PAM」がユーザーの代わりに行ってくれるので、
これまでパスワード変更作業にかけていた時間や手間を減らせますね。

定期的にパスワードを自動変更する

前の章では、ポリシーに従って特権IDのパスワードが変更できることが分かりました。
Ikemo
確かに今までより手間は省けましたけど、
定期的に上記のような作業が発生するんですよね…。
もっと手間が省けると嬉しいですね!
    原田
確かにそうですね。IDの数が多いと、それに係る時間も多くなってしまいますね。
実際、特権IDのパスワード変更管理についてはこのようなことも耳にします。
・特権IDのパスワード変更を運用で定期的に実施しているけど、
そのための時間を確保しないといけないし、もちろん特権IDの数も多くて
かなり負担になっているのでなんとかしたい。

「CyberArk PAM」では、定期的に特権IDのパスワードを自動で変更するように設定できます。それにより、管理者の手間や負担が軽減されます。

パスワードの自動変更は以下3つのタイミングを組み合わせて設定します。
・指定した日数ごと
・指定した曜日
・指定した時間帯
※組み合わせ例:30日ごとに1:00から2:00の間でパスワードを自動変更

パスワードを変更する仕組みは前の章と同じなので、さっそく実際の画面を見てきましょう。
今回はある特権IDに対して、毎週金曜日の3:00から4:00の間にパスワードを自動変更するよう木曜日に設定を行っています。 
 

現在のパスワードを確認しましょう。

 

パスワードを確認したら、金曜日の3:00から4:00の間にパスワードを変更するように設定を行います。 
 

設定したが完了したら、実際に金曜日が来るのを待ちます。 
特権IDの活動記録と、パスワードが問題なく変更されているかを確認してみると・・・
金曜日の3:00にパスワードが変更され、

スワードの情報が更新されているのが確認できました。 
 

 
Ikemo
ちゃんと指定したタイミングでパスワードの情報も変更されていますね!
    原田
これで指定したタイミングでパスワードを自動変更できましたね。
定期的にパスワードを変更するという運用のために確保している時間が
必要なくなると同時に、手動でパスワードを変更する手間もなくなるので、
負担がかなり軽減されますね。

パスワードの再設定ができるようにする

Ikemo
パスワードの変更が自動でできるようになったことは嬉しいのですが、
何かの手違いでパスワードを忘れてしまったり、
更新ができていなかったりした場合はどうすればよいのでしょう?
    原田
そんな時でも問題なく変更が可能ですよ!
実際、以下のような事例もあるようです。
・サーバーで特権IDのパスワードを変更した後にパスワード一覧を変更し忘れてしまい、
パスワードが分からなくなり困った。
・パスワード一覧のファイルが破損してしまい、特権IDのパスワードが分からない。

「CyberArk PAM」ではパスワードが分からない状態のとき、あらかじめパスワードの変更権限を持つ特権IDを作成し、それをパスワードリセット用のIDとして指定することで、システムが自動でパスワードを再設定します。

パスワードが再設定されるまでの流れをイラストで確認してみましょう。
事前にパスワードの変更権限を持つリセット用の特権IDをサーバーに作成します。
CPMはValutに保存されているパスワードを取得して、サーバーにログインできるか確認します。
ログインができないことが分かると、CPMはVaultから再設定用IDのパスワードを取得して、パスワードを再設定します。
再設定が完了すると、Vaultにパスワードの情報を更新します。

それでは実際の画面を見ていきましょう。
スワードが分からない「localsysadmin」の今のパスワード情報を確認してみますが、 パスワードが何もない状態の為、サーバーへのアクセスや、パスワードの変更も行うことができません。 
 
そこでパスワードリセット用IDを特権IDに設定し、パスワードを再設定します。 
 
設定したら、「localsysadmin」のパスワードをリセットし、活動記録を確認してみましょう。 


パスワードの再設定が問題なく完了していますね。

 

先ほどまで空白だったパスワード情報が更新されていますね。
Ikemo
これで、仮にミスしていたり、うまくいかない場合があったりしても、
リカバリーが可能ですね!
    原田
この再設定用IDを設定することで、
何らかの事情によりパスワードが分からなくなってしまった場合でも
パスワードをリセットすることで再度利用できるようになりますね。
今回は特権IDのパスワード管理について見てきました。
「CyberArk PAM」のシステムを導入することで、パスワード管理にかけていたこれまでの時間や手間、負担を減らせることができますね。

次回は特権IDの利用状況の監視や監査について紹介します。

最後に

システムサポートでは特権ID管理対策として、CyberArk製品の導入検討・導入支援・運用支援を
サポートしています。
CyberArk製品の導入を検討しており、気になることや提案・見積もり依頼などありましたら
是非こちらからお問い合わせください。

本記事はいかがでしたか?

Follow Ikemo:

株式会社システムサポート BSX事業部所属 2022年新卒入社 CyberArk製品の導入やPowerPlatform開発を担当してます。