弊社メルマガ「ET通信」と連動して毎月お届けしている連載コラムですが、先々月からの連載テーマ「今さら聞けないインターネット分離」は今回お休みし、号外として仮想化・クラウドサービスの管理者権限の管理の必要性についての最新情報をお届けします。
仮想化やクラウドサービスの管理者権限の不正使用・濫用リスクについては、以前連載しておりました「特権アカウント管理のAtoZ」の第6回、第7回で解説しました。
もう一度おさらいをしてみましょう。
仮想化・IaaSに存在する「スーパー特権」
自社の仮想化基盤、IaaSサービスでは、サーバーを仮想技術によって物理レイヤーと切り離し、より柔軟なインフラ設計を可能にする点では共通性があります。
このような環境では、OSの特権アカウントとは別に、管理すべき重要なアカウントがあることをご存じでしょうか?
仮想基盤/クラウド基盤の管理を行う管理者アカウントが、それにあたります。
このアカウントは、仮想ネットワークの設定、仮想マシン・ストレージなど仮想基盤上のあらゆるリソースに対してアクセスし、設定変更などが行えるため「スーパー特権」と言える高い権限を有します。
VMwareの管理コンソールにアクセスするためのアカウント、AWS管理コンソールのアカウント、Microsoft Azureの管理コンソールを操作できるMicrosoftアカウントなどがこれに該当します。
権限の分離が未成熟なPaaS、SaaSの管理者アカウント
一方、PaaS/SaaSいったクラウドサービスは、Webアプリケーションと同じ性質を持ちます。一般の利用者と共通の認証の仕組みで制御されており、アカウントの種類によって行える操作やアクセス可能なデータの範囲に制限が加わるようになっています。
多くの典型的なサービスにおける管理者アカウントは、他のユーザー管理を行ったり、システム設定を変更したりする権限を有するのと同時に、制限を受けることなくデータにアクセスできる権限を有している場合が多いため、保存されているデータの重要性・機密性が高いサービスほど、管理者アカウントの濫用・誤用のリスクが高く、管理が必要になります。
弊社特権ID管理ソフトウェアでクラウドサービスの管理者アカウントの管理がさらに容易に
このような状況の中、クラウドサービスの管理者権限を管理したい、と課題をお持ちのお客様に朗報です!
弊社は、統合ID管理製品「LDAP Manager」やIaaS「EXTIC」を提供するエクスジェン・ネットワークスからシングルサインオン製品「Password Assistant」のOEM供給を受け、弊社の特権ID管理ソフトウェア「ESS AdminGate」または「ESS AdminControl」と組み合わせて利用することで、IaaS、SaaS/PaaSといったクラウドサービスの特権IDを管理できるようになりました。
具体的な仕組みは以下の通りとなります。
- クラウドアクセス用のWindows Server(2012または2016)を準備
- クラウドアクセス用Windows ServerにPassword Assistantをインストール
- 管理したい対象のクラウドサービスのID/Password情報をPassword AssistantのSSO設定でクラウドアクセス用Windows Serverの特定のOSアカウントに紐づけ
- SSO設定がされているOSアカウントをESS AdminGateまたはESS AdminControlの管理対象に設定
これにより、クラウドサービスの特権IDを申請承認ベースで決められた期間だけ使用可能にしたり、操作内容を記録しトレースすることが可能になります。
「クラウド管理アカウントを自由に使用されたくない」「クラウド管理ツールの操作内容を記録しておきたい」といった課題をお持ちのお客様は是非ご検討ください。
<<前へ コラム一覧 次へ>>