目から鱗の特権ID管理 なぜ管理が煩雑になってしまうか?

なぜ特権ID管理が煩雑になってしまうのか、その一つの原因は、管理方法にあります。
下図が示しているように、様々なセキュリティガイドラインが示す特権ID管理の原則を、そのまま解釈して運用ルールを策定すると、作業者一人ひとりに特権IDを作成し、承認ベースでのアカウントの有効化や権限付与を行う方法となります。

ガイドラインが示す特権ID管理の原則

一定の規模のシステムになると、作業者が数十人、サーバーが何百台、1日に何十件もの作業が発生するため、 毎日必要な特権IDの準備など大変な作業量になってしまうのです。
作業量が増えるとミスも発生するため、リスクも増加してしまいます。

作業量が増えるとミスも発生、リスクも増加します

製品の詳細情報などお気軽にお問い合わせください。

03-5623-5622 受付時間:9:00~17:30(平日)

お問合せ

ETが勧める「目から鱗の特権ID管理」

このような状況から解放され、効率的かつ安全な特権ID管理を行うためには発想の転換が必要です。ETが提唱する特権ID管理は、発想の転換から生まれたまったく新しい考え方に基づいています。 ポイントはたったの2つと非常にシンプル。誰もが理解でき、そしていままでの課題を解決することができるのです。

特権ID管理のポイントはたった2つ ポイント1共有IDを利用しよう

一つ目のポイントはIDを個人単位で作成するのではなく、共有IDを利用するということです。 ガイドラインでは、特権IDは利用者が特定できることが必要とありますが、個人に固有のIDを作成 しなければ利用者が特定できないわけではありません。

まず個人IDで運用する場合、ID=特定の個人を示すことができ、本人の特定は容易です。しかしITシステムを通常一人で管理するわけではないため、システムを構成するサーバーすべてに作業者の人数分 IDを作成しなければなりません。そしてこれらのIDは普段はログイン不可にしておき、作業が発生する際にユーザーが使うための申請を行い、 承認ベースで有効にする必要があります。
さらに権限についても、root/Administratorと同等の権利、つまりすべての権限を常に付与するのではなく、 作業に必要な権限のみを付与すべきです。

個人IDによる運用例

ETの考える特権ID管理は、まったく逆の発想です。作業に応じて適切な権限があらかじめ設定された 業務別共有IDを作成しておき、申請のあったユーザーに対し、承認ベースで貸出を行うのです。 普段はアカウントを無効にしておき、承認されたユーザーだけにその共有IDを利用できるように準備します。
こうすることで、2つのメリットが生じます。

  • 管理すべきアカウントの絶対数が減らせる

    管理負荷は当然ながら管理対象の絶対数に比例します。複数の作業者で管理されているサーバーであれば、アカウントを共有IDにするだけで、管理対象となるアカウント数をかなり削減できます。

  • 権限付け替えが不要になる

    個人IDの場合には作業内容によってその作業者のアカウントの権限を適切なものに設定する必要があります。しかし共有IDの場合、使用するIDには既に権限が付与されているため、変更する必要がありません。

この2点だけでも相当、煩雑さが解消されるのではないでしょうか?

共有IDを貸し出すアプローチ

共有IDを利用する際に問題なのが、利用者の特定です。個人IDとは異なり、システム上のログイン履歴を 見てもIDそのものが共有IDなので、誰が使用したのか特定することができません。したがって重要になってくるのが 貸出履歴の管理です。いつ誰にどのIDが貸し出されたのか、という履歴があり、かつその履歴 以外に使用されることがない妥当性のある仕組みがあれば、利用者の特定が可能です。

貸出履歴の管理

製品の詳細情報などお気軽にお問い合わせください。

03-5623-5622 受付時間:9:00~17:30(平日)

お問合せ

次ページでは2つ目のポイントを紹介します。

次のページへ

PAGE TOP