みなさんこんにちは!
CyberArkチームのIkemoです!
今回もCyberArk PAMについて紹介します!
前回は特権ID管理の第一歩として特権IDの登録について見てきました。
必要な情報を入力すると、あとは「CyberArk PAM」が管理をしてくれる感覚はつかめたでしょうか。
第7回では、「CyberArk PAM」のシステムでの特権IDのパスワードの変更管理を取り上げます。
「CyberArk PAM」を導入するとパスワード管理がどのように変わるのかを一緒に見ていきましょう。
(「特権IDの利用」についての記事はコチラ:第6回)
CyberArkチームのIkemoです!
今回もCyberArk PAMについて紹介します!
前回は特権ID管理の第一歩として特権IDの登録について見てきました。
必要な情報を入力すると、あとは「CyberArk PAM」が管理をしてくれる感覚はつかめたでしょうか。
第7回では、「CyberArk PAM」のシステムでの特権IDのパスワードの変更管理を取り上げます。
「CyberArk PAM」を導入するとパスワード管理がどのように変わるのかを一緒に見ていきましょう。
(「特権IDの利用」についての記事はコチラ:第6回)
ポリシーを設定してパスワードを変更する
Ikemo前回に引き続き、原田さんにご説明いただきます。
よろしくお願いします!
よろしくお願いします!
原田よろしくお願いします!
今回は内容は簡単なのに、管理や変更にどうしても手間やミスが発生してしまう、パスワード変更管理について取り上げていきます。
今回は内容は簡単なのに、管理や変更にどうしても手間やミスが発生してしまう、パスワード変更管理について取り上げていきます。
・サーバーへアクセスして特権IDのパスワードを変更した後に、
パスワード一覧もあわせて更新しないといけないから、毎回手間がかかって大変。
・特権IDのパスワードの変更作業、特権IDの数が多いから変更するのに時間がかかる。
・会社のパスワードポリシーに従ってパスワードの中身を考えるのが面倒。
「CyberArk PAM」では、パスワードの長さやパスワードで使用する文字の種類など、パスワードに関わる様々な条件を組み合わせてポリシーとして設定できます。
そして「CyberArk PAM」のシステムがポリシーに従って特権IDのパスワードを変更し、Vault上のパスワード情報の更新まで実施します。
パスワードを変更するまでの流れをイラストで見てみましょう。
特権IDのパスワード変更作業は管理者ユーザーで操作します。特権IDのパスワード変更はPVWAからできます。
PVWA上で特権IDのパスワード変更を実行すると、PVWAがCPM(Central Policy Manager)にパスワード変更依頼をします。
CPMは依頼を受けると、Vaultから変更する特権IDのパスワードを取得し、パスワードの変更作業を実施します。
変更したパスワードはVault上に保管されます。
CPMは特権IDのパスワード管理を担うコンポーネントです。
パスワードの変更や、パスワードが正しいかどうかの検証など、特権IDのパスワードに関するあらゆる管理をユーザーの代わりに行ってくれます。
また前回あった特権IDの検出もCPMの機能の1つです。
実際にパスワード変更してみた
原田それでは実際の画面を見ながら「localappadmin01」 アカウントのパスワード変更をしていきましょう。
原田
PVWAにログインして今のパスワードを確認してみます。
今のパスワードが確認できたところで、変更する前に今回のパスワードのポリシーを確認してみましょう。
パスワードのポリシーはプラットフォームで設定・確認が可能です。
対象のユーザーのパスワードのポリシーを確認してみると、以下のように設定されています。
・長さは12文字
・大文字を2文字以上
・小文字を2文字以上
・数字を含める
・記号を含める
その他のパスワードのポリシーとして、以下ような設定に変更/追加することも可能です。
・禁止する文字
・同じ文字をパスワード内で複数個使用する/しない など
パスワード変更を実施すると、以下のように表示され、変更が完了します。
指定したポリシーは適応されているでしょうか・・・?
Ikemoおぉ!ちゃんとポリシーに従って変更されていますね。
原田サーバーへのパスワード変更作業から変更したパスワードの情報更新まで
「CyberArk PAM」がユーザーの代わりに行ってくれるので、
これまでパスワード変更作業にかけていた時間や手間を減らせますね。
「CyberArk PAM」がユーザーの代わりに行ってくれるので、
これまでパスワード変更作業にかけていた時間や手間を減らせますね。
定期的にパスワードを自動変更する
前の章では、ポリシーに従って特権IDのパスワードが変更できることが分かりました。
Ikemo
原田
・特権IDのパスワード変更を運用で定期的に実施しているけど、
そのための時間を確保しないといけないし、もちろん特権IDの数も多くて
かなり負担になっているのでなんとかしたい。
「CyberArk PAM」では、定期的に特権IDのパスワードを自動で変更するように設定できます。それにより、管理者の手間や負担が軽減されます。
パスワードの自動変更は以下3つのタイミングを組み合わせて設定します。
・指定した日数ごと
・指定した曜日
・指定した時間帯
※組み合わせ例:30日ごとに1:00から2:00の間でパスワードを自動変更
パスワードを変更する仕組みは前の章と同じなので、さっそく実際の画面を見てきましょう。
※今回はある特権IDに対して、毎週金曜日の3:00から4:00の間にパスワードを自動変更するよう木曜日に設定を行っています。
現在のパスワードを確認しましょう。
パスワードを確認したら、金曜日の3:00から4:00の間にパスワードを変更するように設定を行います。
設定したが完了したら、実際に金曜日が来るのを待ちます。
特権IDの活動記録と、パスワードが問題なく変更されているかを確認してみると・・・
金曜日の3:00にパスワードが変更され、
パスワードの情報が更新されているのが確認できました。
Ikemo
原田
Ikemo確かに今までより手間は省けましたけど、
定期的に上記のような作業が発生するんですよね…。
もっと手間が省けると嬉しいですね!
定期的に上記のような作業が発生するんですよね…。
もっと手間が省けると嬉しいですね!
原田確かにそうですね。IDの数が多いと、それに係る時間も多くなってしまいますね。
実際、特権IDのパスワード変更管理についてはこのようなことも耳にします。
実際、特権IDのパスワード変更管理についてはこのようなことも耳にします。
そのための時間を確保しないといけないし、もちろん特権IDの数も多くて
かなり負担になっているのでなんとかしたい。
「CyberArk PAM」では、定期的に特権IDのパスワードを自動で変更するように設定できます。それにより、管理者の手間や負担が軽減されます。
パスワードの自動変更は以下3つのタイミングを組み合わせて設定します。
・指定した日数ごと
・指定した曜日
・指定した時間帯
※組み合わせ例:30日ごとに1:00から2:00の間でパスワードを自動変更
パスワードを変更する仕組みは前の章と同じなので、さっそく実際の画面を見てきましょう。
※今回はある特権IDに対して、毎週金曜日の3:00から4:00の間にパスワードを自動変更するよう木曜日に設定を行っています。
現在のパスワードを確認しましょう。
パスワードを確認したら、金曜日の3:00から4:00の間にパスワードを変更するように設定を行います。
設定したが完了したら、実際に金曜日が来るのを待ちます。
特権IDの活動記録と、パスワードが問題なく変更されているかを確認してみると・・・
金曜日の3:00にパスワードが変更され、
パスワードの情報が更新されているのが確認できました。
Ikemoちゃんと指定したタイミングでパスワードの情報も変更されていますね!
原田これで指定したタイミングでパスワードを自動変更できましたね。
定期的にパスワードを変更するという運用のために確保している時間が
必要なくなると同時に、手動でパスワードを変更する手間もなくなるので、
負担がかなり軽減されますね。
定期的にパスワードを変更するという運用のために確保している時間が
必要なくなると同時に、手動でパスワードを変更する手間もなくなるので、
負担がかなり軽減されますね。
パスワードの再設定ができるようにする
Ikemoパスワードの変更が自動でできるようになったことは嬉しいのですが、
何かの手違いでパスワードを忘れてしまったり、
更新ができていなかったりした場合はどうすればよいのでしょう?
何かの手違いでパスワードを忘れてしまったり、
更新ができていなかったりした場合はどうすればよいのでしょう?
原田そんな時でも問題なく変更が可能ですよ!
・サーバーで特権IDのパスワードを変更した後にパスワード一覧を変更し忘れてしまい、
パスワードが分からなくなり困った。
・パスワード一覧のファイルが破損してしまい、特権IDのパスワードが分からない。
「CyberArk PAM」ではパスワードが分からない状態のとき、あらかじめパスワードの変更権限を持つ特権IDを作成し、それをパスワードリセット用のIDとして指定することで、システムが自動でパスワードを再設定します。
パスワードが再設定されるまでの流れをイラストで確認してみましょう。
事前にパスワードの変更権限を持つリセット用の特権IDをサーバーに作成します。CPMはValutに保存されているパスワードを取得して、サーバーにログインできるか確認します。
ログインができないことが分かると、CPMはVaultから再設定用IDのパスワードを取得して、パスワードを再設定します。
再設定が完了すると、Vaultにパスワードの情報を更新します。
それでは実際の画面を見ていきましょう。
パスワードが分からない「localsysadmin」の今のパスワード情報を確認してみますが、
パスワードが何もない状態の為、サーバーへのアクセスや、パスワードの変更も行うことができません。
そこでパスワードリセット用IDを特権IDに設定し、パスワードを再設定します。
設定したら、「localsysadmin」のパスワードをリセットし、活動記録を確認してみましょう。
パスワードの再設定が問題なく完了していますね。
先ほどまで空白だったパスワード情報が更新されていますね。
Ikemoこれで、仮にミスしていたり、うまくいかない場合があったりしても、
リカバリーが可能ですね!
リカバリーが可能ですね!
原田この再設定用IDを設定することで、
何らかの事情によりパスワードが分からなくなってしまった場合でも
パスワードをリセットすることで再度利用できるようになりますね。
何らかの事情によりパスワードが分からなくなってしまった場合でも
パスワードをリセットすることで再度利用できるようになりますね。
「CyberArk PAM」のシステムを導入することで、パスワード管理にかけていたこれまでの時間や手間、負担を減らせることができますね。
次回は特権IDの利用状況の監視や監査について紹介します。
最後に
システムサポートでは特権ID管理対策として、CyberArk製品の導入検討・導入支援・運用支援を
サポートしています。
CyberArk製品の導入を検討しており、気になることや提案・見積もり依頼などありましたら
是非こちらからお問い合わせください。
サポートしています。
CyberArk製品の導入を検討しており、気になることや提案・見積もり依頼などありましたら
是非こちらからお問い合わせください。