システム管理者を悪者にしない、特権ID管理ソリューションの選び方：IT導入完全ガイド（3/3 ページ）

[吉村哲樹，オフィスティーワイ]

特権IDのパスワードをユーザーの目に触れさせない

　先に挙げた「ワークフロー」「パスワード管理」「ログ」の3つの基本機能は、現在市場に出回っている特権ID管理製品のほとんどが当初から備えており、その内容にもさほど大きな差はない。しかし、これ以外の周辺機能となると若干の差異があるため、自社のニーズにより適した機能を備えた製品を慎重に選びたい。

　例えば、先ほど挙げたパスワード管理の考え方をさらに推し進め、「そもそもユーザーの目に特権IDのパスワードを触れさせない」という機能を実現する製品もある。具体的には、ユーザーが申請した作業を行う際、特権IDのパスワードをユーザーに貸し出すのではなく、パスワードを見せずに自動的に作業対象となるシステムにログインさせるというものだ。これにより、特権IDのパスワードが不用意に流出することを防げる。

特権IDを実際に使っているのは誰か？

　ログの機能にも、製品ごとに若干の違いがある。例えば、特権ID管理製品として長らくトップシェアを維持する日本CAの「CA Privileged Identity Manager」は、どのユーザーが実際に特権IDを使って作業を行ったかまで、ログに記録できる機能を備えている。

　例えばUNIXシステムの場合、特権IDを使って作業するユーザーは、まず自身の個人用IDでサーバにログインした後、「suコマンド」を使って管理者アカウントである“root”に成り代わり、特権IDの権限を手に入れる。以降で行った作業の履歴は、全てrootアカウントが行ったものとしてログに記録されるため、「実際に誰がrootアカウントを利用しているのか」までは記録されない。しかしCA Privileged Identity Managerのような製品は、「誰がrootアカウントに成り代わって作業しているのか」までがログに記録される。

　ここまで詳細な証跡を必要とするかどうかは、各企業のセキュリティポリシーによるが、万が一のインシデント発生時に原因調査を少しでも迅速化したい場合は、こうした機能の有無を製品選定ポイントの1つに挙げてみてもいいだろう。

ゲートウェイ型かエージェント型か

　特権ID管理製品は、一般的に「ゲートウェイ型」と「エージェント型」の2タイプに分かれる。前者はその名の通り、サーバの手前のネットワーク上にゲートウェイとして設置するものだ。一方、後者はサーバ上にエージェントソフトウェアを導入するタイプのものだ。

　ゲートウェイ型は、サーバにエージェントを導入する必要がないため、比較的容易に導入できるというメリットがある。先に挙げたワークフロー機能やパスワード管理機能、そして簡単なログ機能は、ゲートウェイ型製品でもおおむね実現できる。しかし一方で、サーバ内における特権IDの振る舞いをきめ細かく制御・監視するには、やはりエージェント型が必要になる。

　ただし、特権ID管理製品のエージェントソフトウェアは、OSにかなり近いレイヤーで動作するため、エージェントの導入は慎重に計画を立てて進めたい。そこで、まずはゲートウェイ型製品を先行導入して基本的な特権ID管理の仕組みを作り上げ、サーバ更改のタイミングを待ってエージェント型を導入するという手順で、段階を踏んで特権ID管理のレベルを上げていく導入パターンも多く見られる。

コラム：誰もがうすうす気付いているIDとパスワードの限界

　近い将来、ID管理や特権ID管理の世界に大きなインパクトをもたらす技術として高い注目を集めているのが、次世代の認証プロトコル仕様「FIDO（Fast IDentity Online）」だ。FIDOの仕様が普及することで、現在の「IDとパスワード」を使ったユーザー認証の仕組みが、二要素認証や生体認証に一気に置き換わる可能性がある。

　もし企業ITの世界でも、指紋認証や虹彩認証といった生体認証が一般的になれば、それだけで特権IDの不正利用リスクはかなり低減できるはずだ。そのためFIDOの動向は、特権ID管理製品を扱うベンダーからも高い注目を集めている。