【全】ヘッダーリンク
【全】お問い合わせ
サイト内検索 検索
【全】メガメニュー
H1

コラム掲載

【お知らせ一覧・詳細】コラム掲載
番外編

ESS AdminGate V3.1の新機能 詳細解説 (その1)

皆さんこんにちは。
今回のET通信では、号外としてコラムをもう1本掲載します。
内容は、先日発表した弊社の特権ID管理&証跡管理ソフトウェアESS AdminGateの最新バージョン3.1で強化される機能の詳細解説となります。

ESS AdminGateは、2015年に発売開始された、弊社の第2世代特権ID&証跡管理ソフトウェアで、サーバー、クラウドサービス、その他様々なシステムのアクセス管理、証跡管理に必要十分な機能をオールインワンで提供します。

2020年春にリリースを予定している最新バージョンでは、多くの機能強化がされていますが、このコラムでは、特に注目いただきたい2点の新機能についてハイライトしてご紹介します。

Linux 鍵認証への対応

1点目に紹介する新機能は、Linux OSにおける鍵認証の対応です。
システムに対する認証は、一般的にはID、パスワードを用いますが、Linux OSには秘密鍵、公開鍵の鍵交換の方式による方法が選択可能です。
パスワード方式がパスワード自体をサーバーに送信して認証するのに対し、鍵認証は都度生成される署名を用い、鍵自体をサーバーに送る処理はされないため、より安全とされています。そのため、Linux OSをシステムで利用する際、鍵認証が選択される場合が多いようです。

特にアマゾン ウェブ サービスなどのクラウドサービスで提供されるLinux イメージでは、標準で鍵認証方式による認証となっている場合が多いため、鍵認証がさらに一般的になりつつあります。

ESS AdminGateの鍵認証対応

ESS AdminGateの最新バージョンでは、新たにLinuxの鍵認証に対応しました!!
しかし、その管理方法は、大変ユニークな仕様になっています。
ESS AdminGateでは、サーバーにアクセスする際、パスワードをその都度変更し、使用後は破棄するといった方法を取っていますが、鍵認証の場合にもそれと同様の方式を採用したのです。

鍵認証の運用上のリスク

上述した通り、鍵認証のメカニズムは、パスワード認証に比べより安全性が高いのですが、運用面を考えると、いろいろなリスクをはらんでいます。

同一の鍵を各サーバー、各IDに使用する「共通鍵」として設定されている場合が多い

システムを運用する現場では、鍵はサーバーごと、IDごとにすべて異なる鍵を使用していることはほとんどなく、多く場合、一つの鍵で複数のサーバー、場合によっては、すべてのサーバーで使用できる、実質的には「共通鍵」となっている場合が多いようです。また複数のユーザーが同一の鍵を使用していることも珍しくありません。一方、鍵は一般的にはファイルとして保存しておくため、サーバーやID単位ごとに鍵を作成すると、鍵の管理が非常に煩雑ですし、紛失するリスクも高まります。 認証のため秘密鍵が多くのサーバーで共通に利用できる状態では、鍵を悪意のあるユーザーに奪われた場合、大変危険な状態になります。(鍵にはパスフレーズが設定できるため、鍵のみを奪われただけでは不正アクセスは発生しませんが、パスフレーズはパスワードと同様に推測されやすい性質を持ちます。)

クラウドサービスでは、新しく仮想マシンを作成する際に、設定する公開鍵を作成済の一覧から選択するようなインターフェイスになっている場合が多く、鍵は使回しをしても問題ないように思われる場合もありますが、上述した通り、それは運用面で適切な管理がなされていることが前提であり、管理不備によるリスクは、パスワード認証と同じであることを認識する必要があります。

鍵の変更手順はパスワード変更よりも煩雑

そういった意味で、鍵は定期的に変更することでより安全性を高めることができる対策です(クレジットカードを取り扱うシステムに対するセキュリティ基準PCI DSSでは、鍵の定期ローテーションが義務付けられています)が、鍵の変更は、パスワードの変更よりも手順が煩雑です。
公開鍵と秘密鍵のペアを生成し、公開鍵はサーバーに設置しなければならないからです。

ESS AdminGateで鍵認証もワンタイム化が実現

ESS AdminGateの鍵認証への対応は、以下のような仕組みを採用することで、このようなリスクと煩雑な管理作業を包括的に解消します。

  • 認証の都度鍵ペアを作成し、認証後に鍵を破棄することで、多くのサーバーやアカウントで共通の鍵を使いまわしている状態をなくし、鍵を奪われた際のリスクをなくします。
  • 鍵作成とサーバーへの配置はESS AdminGateが自動で実行するため、鍵変更の手間も発生しません。





個人認証に対するOTPを使用した多要素認証対応

2つ目に紹介する新機能は、個人認証時のワンタイムパスワード(OTP)を使用した多要素認証機能です。
ESS AdminGateは、ゲートウェイの役割を持つAdminGateコントローラーで個人を識別し、識別したユーザーがアクセス可能なサーバーに対して代理認証を行う仕組みによってアクセス制御を行っています。
通常の個人認証はID、パスワードで行いますが、V3.1では新たにタイムベースのOTPを使用して多要素認証を用いることが設定可能になりました。
ESS AdminGateの最新バージョンでは、以下の2つのOTPが選択可能です。

(1)ソフトウェアトークン(Google Authenticator)

ユーザー単位で発行される鍵をスマートフォンやタブレットなどのGoogle AuthenticatorアプリケーションにQRコードから読み込ませることで、OTPが発行される仕組みです。個人が所有するスマートデバイスを用いることができるため、トークンデバイス等を購入する必要がないのがメリットです。

(2)ハードウェアトークン

OTPを発行するハードウェアトークンを使用する方法です。ESS AdminGateでは、調達したハードウェアトークンのデバイス識別番号を管理者が一括で登録し、各ユーザーが配布されたデバイスと自身の個人アカウントとの紐づけを行うことで、ユーザー固有のトークンを発行することができるようになります。
タイムベースドOTP規格に準拠したハードウェアデバイス(トークン発行間隔が60秒のもの)であれば、利用することが可能です。


2つの新機能による総合的なメリット

様々なセキュリティ基準で特権IDの認証に多要素認証を用いることが推奨されていますが、多数のサーバーを保有している場合、すべてのサーバーに多要素認証を設定することは大変手間のかかる作業です。また認証方式を変更するリスクも考慮しなければなりません。
Windows、UNIX、Linuxなど複数のプラットフォームが混在する環境においては、各プラットフォームが対応可能な多要素認証方式が異なる場合もあり、利用ユーザーはアクセスするプラットフォームによって使用する多要素認証デバイスを変えなければならない、煩雑な状況にもなりかねません。
ESS AdminGateをご利用いただくことで、こういった課題に対し、以下のような解決策を提供することが可能になります。

(1)ゲートウェイによるOTPを使用した多要素認証

アクセス経路をゲートウェイの役割を担うESS AdminGate経由に限定し、AdminGate上で行う個人認証に対してOTPによる多要素認証に対応し、正規アクセス経路におけるなりすまし、パスワード漏洩による不正アクセスを防止。また、管理対象サーバーのプラットフォームに依存せず、共通の多要素認証方式を提供することで利用ユーザーの煩雑さを解消。

(2)ワンタイムパスワード、ワンタイム認証鍵によるサーバー自体の認証強化

各管理対象サーバーに対しては、ESS AdminGateがパスワードや認証鍵をワンタイム化し、ゲートウェイを経由しない非正規アクセスの認証を強化、またパスワードや鍵管理に対する管理負荷を軽減。


ESS AdminGateの新バージョン3.1には、今回ご紹介した2つの新機能に加え、様々なシステムを管理対象にできる「シンプルノード」機能、Amazon Linux2やWindows Server 2019対応など多くの拡張が行われる予定です。
より詳しい情報は、次回のコラムでご紹介します。