IBM Security Privileged Identity Manager データセンター セキュリティー特権 ID 管理のご紹介 日本アイ ビー エム株式会社ソフトウェア事業森秀樹 1 2012 IBM Corporation
内部犯罪 情報漏洩の増加と対応費用の増大 Source: IBM and Ponemon Survey of 265 C-Level Executives, Feb 2012, The Source of Greatest Risk to Sensitive Data 2 内部犯罪のインシデントでの企業のコスト負担は 年間平均 $750,000 です US 政府は 権限のないコンピュータの画面を見ること を 不法侵入に相当する行為とみなしています Source: United States Secret Service 悪意ある行為より 内部の不手際 怠慢が情報漏洩の原因となりえます パスワードの共有 不十分なパスワード強度 パスワードをメモして付箋を貼る など 内部ユーザーがアクセス制御を都合の良いように変更したりすることがないとは言いきれません
IBM セキュリティー サービス IBM クラウド & マネージド サービス IBM Security Systems 内部犯罪を防止する ひと セキュリティー 企業業務レベルのガバナンス リスク & コンプライアンス管理の実現 犯罪防止 金融リスク管理金融カ ハ ナンス管理情報カ ハ ナンス管理コンフ ライアンス管理 セキュリティー インテリジェンス & アナリティクス セキュリティー情報 / イヘ ント管理 ログ管理リスク管理監査 コンプライアンス評価 IT インフラ オペレーショナル セキュリティー ひとデータアフ リケーションインフラストラクチャー ID 管理 特権 ID 管理 複数システム認証 フェデレーション データベース Web アフ リ脆弱不正侵入防御エンドポイント テスト データ Web セキュリティー NW 統合管理仮想化脅威対応 シンク ル サインオン暗号鍵管理セキュリティー ホ リシー不正挙動監視メインフレーム管理 3 先進的セキュリティー技術と脅威の研究
特権 ID 管理とは? 高いアクセス特権によって 機密性の高いリソースにアクセスできるユーザーのことです 全てのプラットフォームで満遍なく必要とされます 企業にとってリスクとなりえます 不注意なミスによって 悪意によって 特権 ID の例 ( システム管理者とは限りません ) Root Oracle Financials Admin Directory Server Admin Unix File Shares Admin DB2, SQL Server Admin AD Domain Admins SAP Admin Security Infrastructure Admin Firewall account access IT 管理者 アプリケーション責任者 DB 管理者 4
特権 ID に対する従来のアプローチとその問題点 管理者が全てのシステムにおいて 自分専用の特権 ID を持つ方式 管理者個人に特権 ID を紐付けてしまうと 管理者個人が特権 ID の取り扱いを管理しなければならず 操作ミスや不適切操作のリスクが増大する システム数や管理者の数が増えるに従い 特権 ID の数が急激に増加してしまい 特権 ID 管理のコストが増大する 複数の管理者が 同一の特権 ID を使い回す方式 同一の特権 ID を使うようにすると 操作実施者をログから特定できず コンプライアンス上の問題が生じる 特権 ID パスワードの共有によるパスワード漏洩のリスクが増大する 紙ベースでの申請で 特権 ID 使用者の管理をしている場合 システムや管理者の増加 入れ替わりのたびにワークロードがかかり 抜け漏れがあればセキュリティー上の問題が生じる 特権 ID の管理においては 1 特権 ID をセキュアに管理でき 2 特権 ID 扱いの処理を 5 自動化でき 3どの管理者が実施したかの本人特定ができる ことが重要です
IBM Security Privileged Identity Manager(PIM) によるデータセンター セキュリティー管理 取り扱いに注意が必要な特権 ID を一元管理し 共通利用できる仕組みを提供 チェックイン ( アカウント回収 )/ チェックアウト ( アカウント払い出し ) の仕組みを使って 特権 ID を 複数管理者の間でセキュアに共同使用することができます 特権 ID の使用プロセスを 申請 承認のワークフローで管理 セキュリティー事故のリスクを軽減し コンプライアンス強化につながります 特権 ID を使用する個々の管理者の使用記録を保持 管理者の責任を明確化することができ 耐監査性の向上につながります 特権 ID のパスワード管理を自動化 特権 ID の払い出し パスワード変更によるパスワード使い回しの防止 といったパスワード管理処理を自動化することで 特権 ID のパスワード漏洩を防止し セキュリティーを向上させることができます IBM Security Privileged Identity Manager 特権 ID の払い出し ( チェックアウト ) 必要な時だけ必要な管理者が特権 ID を使用 データセンター 各種データベース ORACLE SAP 6
IBM のご提案する特権 ID 管理ソリューション Applications 1 特権 ID 配布サーバー側 IBM Security Identity Manager(ISIM) により サーバー側機能が提供されます 人事情報システムから管理者個人の情報が抽出されます ( これは 人事情報に基づく管理者の情報で 特権 IDとは別 ) あらかじめISIMにストアされている特権 IDは ワークフロー申請によって管理者個人に貸し出されます 管理者は Webの申請画面から 必要なときに必要な特権 IDを申請します 人事情報システム ISIM 特権 ID ストア ISIM ワークフロー エンジンによる 特権 ID 自動配信 SAP NetWeaver Databases Operating Systems 7 2 特権 ID を使用する管理者端末側 管理者がログオンする端末には あらかじめ IBM Security Access Manager for Enterprise Single Sign-On(ISAM ESSO) というシングル サインオンのエージェントが稼動しています 管理者が申請して 特権 ID の許可を受けたシステムを起動すると シングル サインオンが動作し 自動的に ID とパスワードを入力してくれます 管理者は 特権 ID のパスワードを知ることなく 利用できます パスワードが外部にもれることはありません Directories 3 ログ管理サーバー側ログ管理機能により どの管理者がどの特権 ID をどの期間使用したかの追跡が可能です IBM Qradar の使用により 特権 ID 管理以外のログも含めた 統合的ログ管理と共に使用することも可能です
管理者ユーザーの PIM における操作フロー 1 管理者が 作業するシステムを起動します 管理者ユーザーのデスクトップ 2 3 ESSO サーバー 4 システムの画面が起動すると同時に ISAM ESSO のポップアップ画面が起動し 申請した特権 ID を選択することができます 管理者は その時使用する特権 ID を選択します 監査ログ ISAM ESSO は 暗号化して格納している該当の特権 ID の ID とパスワードからデータを取得します ISIM は 特権 ID をプールし 必要に応じて管理者ユーザーに払い出す機能を持ちます IBM Security Identity Manager ISIM UIs PIM UI Acct Mgmt User Access Credential Vault Policies* Reporting Other ISIM Services PIM service PIM Web サービス インターフェース 7 監査ログ 最後に パスワードを自動リセットします ( オプション ) 作業対象のシステム 88 5 6 ISAM ESSO が 特権 ID の ID とパスワードを 対象システムのログオン画面に自動入力します ( このとき 管理者は 特権 ID のパスワードを知らないままです ) 管理者が 作業を終わり ログアウトすると 自動的にチェックイン機能 ( アカウント返却 ) が作動し 管理者は 同じ特権 ID を使うには再び申請を行う必要があります アカウント Account Passwords パスワード監査ログ
まとめ 特権 ID の集中管理 PIM で実現できること 特権 ID をセキュアな状態で共通利用 シングル サインオンによる認証機能を活用した 特権 ID のチェックイン ( 返却 ) チェックアウト ( 貸し出し ) の自動化 効果 IT ガバナンスを向上させ 特権 ID を使い回したり 特定の管理者に集中させたりすることによる情報漏えいのリスクを回避することが出来ます 不要な特権 ID 数の増加を抑えることで 管理コストの上昇を防ぐことが出来ます 特権 ID のパスワードを 管理者にすら知らせないような仕組みを確立することで セキュリティーを向上することが出来ます 特権 ID を使用する際によく使われる DB OS に対する一般的な接続インターフェースの標準提供 構築ワークロードを削減することが出来ます ID 管理とシングル サインオンによる基盤構築 包括的な特権ユーザー管理ソリューションを提供することが出来ます 従来の IBM ID 管理 シングル サインオン環境に 容易に追加実装可能 特権 ID 管理も 非特権 ID の管理も共通のプラットフォームで実現することが出来ます 9
ワークショップ セッション および資料は IBM またはセッション発表者によって準備され それぞれ独自の見解を反映したものです それらは情報提供の目的のみで提供されており いかなる参加者に対しても法律的またはその他の指導や助言を意図したものではなく またそのような結果を生むものでもありません 本講演資料に含まれている情報については 完全性と正確性を期するよう努力しましたが 現状のまま 提供され 明示または暗示にかかわらずいかなる保証も伴わないものとします 本講演資料またはその他の資料の使用によって あるいはその他の関連によって いかなる損害が生じた場合も IBM は責任を負わないものとします 本講演資料に含まれている内容は IBM またはそのサプライヤーやライセンス交付者からいかなる保証または表明を引きだすことを意図したものでも IBM ソフトウェアの使用を規定する適用ライセンス契約の条項を変更することを意図したものでもなく またそのような結果を生むものでもありません 本講演資料で IBM 製品 プログラム またはサービスに言及していても IBM が営業活動を行っているすべての国でそれらが使用可能であることを暗示するものではありません 本講演資料で言及している製品リリース日付や製品機能は 市場機会またはその他の要因に基づいて IBM 独自の決定権をもっていつでも変更できるものとし いかなる方法においても将来の製品または機能が使用可能になると確約することを意図したものではありません 本講演資料に含まれている内容は 参加者が開始する活動によって特定の販売 売上高の向上 またはその他の結果が生じると述べる または暗示することを意図したものでも またそのような結果を生むものでもありません パフォーマンスは 管理された環境において標準的な IBM ベンチマークを使用した測定と予測に基づいています ユーザーが経験する実際のスループットやパフォーマンスは ユーザーのジョブ ストリームにおけるマルチプログラミングの量 入出力構成 ストレージ構成 および処理されるワークロードなどの考慮事項を含む 数多くの要因に応じて変化します したがって 個々のユーザーがここで述べられているものと同様の結果を得られると確約するものではありません 記述されているすべてのお客様事例は それらのお客様がどのように IBM 製品を使用したか またそれらのお客様が達成した結果の実例として示されたものです 実際の環境コストおよびパフォーマンス特性は お客様ごとに異なる場合があります IBM IBM ロゴ ibm.com QRader X-FORCE Smarter Planet アイコンは 世界の多くの国で登録された International Business Machines Corporation の商標です 他の製品名およびサービス名等は それぞれ IBM または各社の商標である場合があります 現時点での IBM の商標リストについては www.ibm.com/legal/copytrade.shtml をご覧ください 10 Adobe, Adobeロゴ, PostScript, PostScriptロゴは Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標です IT Infrastructure Libraryは英国 Office of Government Commerceの一部であるthe Central Computer and Telecommunications Agencyの登録商標です インテル, Intel, Intelロゴ, Intel Inside, Intel Insideロゴ, Intel Centrino, Intel Centrinoロゴ, Celeron, Intel Xeon, Intel SpeedStep, Itanium, およびPentium は Intel Corporationまたは子会社の米国およびその他の国における商標または登録商標です Linuxは Linus Torvaldsの米国およびその他の国における登録商標です Microsoft, Windows, Windows NT および Windowsロゴは Microsoft Corporationの米国およびその他の国における商標です ITILは英国 The Minister for the Cabinet Officeの登録商標および共同体登録商標であって 米国特許商標庁にて登録されています UNIXはThe Open Groupの米国およびその他の国における登録商標です Cell Broadband Engineは Sony Computer Entertainment, Inc. の米国およびその他の国における商標であり 同社の許諾を受けて使用しています JavaおよびすべてのJava 関連の商標およびロゴは Oracleやその関連会社の米国およびその他の国における商標または登録商標です Linear Tape-Open, LTO, LTOロゴ, UltriumおよびUltriumロゴは HP, IBM Corp. およびQuantumの米国およびその他の国における商標です