目次 x
      はじめに
        • 印刷する
        目次

        はじめに

          • 印刷する
          記事の要約

          iDoperation PAM Cloud へようこそ

          このトピックでは、iDoperation PAM Cloud の概要、アーキテクチャについて説明し、必要な設定の案内をします。

          概要

          特権IDを使用した特権アクセスは、組織が最優先で取り組むべきセキュリティの脆弱性の一つです。

          特権IDは、オンプレミスまたはクラウドにかかわらず、インフラストラクチャとアプリケーションに広く存在しています。組織のオンプレミスやクラウドに対して、さまざまなユーザ(内部ユーザ、外部の攻撃者、ベンダー、ロボット、スクリプトなど非人間も含む)が特権アクセスを行っています。
          特権アクセスを適切に管理することで、悪意あるアクセスや不正利用を防ぐことができセキュリティが向上し、法規制やガイドラインへの準拠を確保し法的なリスクを軽減することができます。
          しかし、特権IDが悪意のある人の手に渡ると、データ漏洩など、ビジネスに取り返しのつかない損害を与えるために使用される可能性があります。

          特権IDは、ほぼすべてのサイバー攻撃で悪用されています。外部の攻撃者や、悪意のある内部ユーザは、特権アクセスを悪用してセキュリティシステムを無効にし、インフラストラクチャとアプリケーションを制御し、機密情報や個人情報を窃取する可能性があります。

          iDoperation PAM Cloud は、組織内の特権IDを見える化、安全に保護し、特権ユーザ(人間と非人間を含む)に適切な特権アクセスと、セッションを監視を提供することで、不正な特権アクセスを発見できる SaaSソリューションです。

          iDoperation PAM Cloud は、組織内の特権ID管理と、特権アクセス管理(特権ユーザによる特権IDの利用)、セッションの監視、特権アクセスの点検を提供します。

          機能

          iDoperation PAM Cloud の主な機能は次のとおりです。

          機能説明対応エディション
          PAMEPMSC
          A1A2B1B2H1E1E2
          特権ID管理・アカウント管理
          ・資格情報のローテーション
          ・アカウント点検



          特権アクセス管理・特権ユーザ・権限管理
          ・ワークフロー管理
          ・利用申請
          ・貸出実行と回収






          ・貸出実行と回収(RAG)






          セッションの監視・セッションの記録






          ・セッションの検索
          ・検知と通知






          特権アクセスの点検・ログ収集
          ・特権アクセスの点検






          エンドポイント特権管理・特権昇格







          アーキテクチャ

          iDoperation Cloud のアーキテクチャを説明します。

          シングル構成

          マルチテナント構成

          コンポーネントの説明

          アーキテクチャ構成図に登場するコンポーネントについて説明します。

          コンポーネント

          説明

          お客様環境

          ・オフィス:オフィスからiDoperation Cloudを利用しているPCです。(特権IDの利用、SCエージェント、各種管理)

          ・自宅:自宅から在宅でiDoperation Cloudを利用しているPCです。(特権IDの利用、SCエージェント、各種管理)

          ・お客様のAWSクラウド:iDoperation PAM Cloudが管理するAWS上にあるターゲット環境です。

          ・お客様のオンプレミス:iDoperation PAM Cloudが管理するオンプレミスのターゲット環境です。

          ・お客様のクラウド:iDoperation PAM Cloudが管理するクラウド(Azure、Oracle cloud等)のターゲット環境です。

          ・外部アイデンティティプロバイダー:iDoperation Cloudのユーザ認証を行います。

          テナント

          iDoperation Cloudの契約単位です。

          iDoperation IAM

          ユーザのログイン認証機能を提供します。パスワードやTOTPによる認証や外部のアイデンティティプロバイダと連携したセキュアな認証を提供します。

          iDoperation PAM Cloud

          iDoperation PAM Cloudは、組織内の特権ID管理と、特権アクセス管理(特権ユーザによる特権IDの利用)、特権アクセスの点検を提供します。 

          iDoperation SC Cloud

          iDoperation SC Cloudは、セッションの監視を提供します。

          以下のコンポーネントが関連します。

          ・iDoperation SC Cloud SC Agent

          ・iDoperation SC Cloud Web Console

          iDoperation Gateways

          iDoperation Gateways は、iDoperation Cloud と、お客様環境の接続インターフェイスを提供します。接続先に応じた3つのインターフェイスが用意されています。

          ・Internet Gateway:お客様環境とインターネット経由で接続を提供します。
          ・VPN Gateways:お客様環境のVPNルーターとセキュアな接続を提供します。
          ・AWS Gateways:お客様環境のAmazon VPCとセキュアな接続を提供します。

          iDoperation Client

          iDoperation Clientを利用することで、ターゲットに対してのリモートデスクトップ接続などを用いたオートログインが実行可能になります。

          以下のコンポーネントが関連します。

          ・iDoperation PAM Cloud

          iDoperation RAGiDoperation RAGは、ブラウザから直接ターゲットに対してのリモートデスクトップ接続などを用いたオートログインが実行可能になります。
          以下のコンポーネントが関連します。
          ・iDoperation PAM Cloud

          iDoperation App Client

          iDoperation App Clientを利用することで、バッチやスクリプトが特権IDのパスワード等の情報をiDoperationから取得できるようになります。

          以下のコンポーネントが関連します。

          ・iDoperation PAM Cloud

          iDoperation SC Agent

          iDoperation SC Agent は、WindowsとMacのセッションの記録を提供します。

          以下のコンポーネントが関連します。

          ・iDoperation SC Cloud

          iDoperation EPM Agent

          iDoperation EPM Agentは、Windowsの特権アクセスの保護を提供します。

          以下のコンポーネントが関連します。

          ・iDoperation EPM Cloud

          iDoperation Web Console

          iDoperation Web Console は、ユーザインターフェイスで、iDoperation Cloudの管理と特権IDの管理、貸出しと利用の点検を提供します。

          以下のコンポーネントが関連します。

          ・iDoperation PAM Cloud

          ・iDoperation EPM Cloud

          iDoperation SC Web Console

          iDoperation SC Web Console は、ユーザインターフェイスで、iDoperation SC Cloudの管理とセッションの検索、検知と通知を提供します。

          以下のコンポーネントが関連します。

          ・iDoperation SC Cloud

          Internet Gateway

          インターネット経由での接続を提供します。

          アクセス元として許可するIPアドレスまたはネットワークブロック(CIDR表記)を最大30個まで指定することができます。

          VPN Gateways

          VPNルーターとのセキュアな接続を提供します。
          最大10個までのオンプレミス環境とIPsec VPNで接続することができます。通信経路は冗長化されます。

          AWS Gateways

          Amazon VPCやAWS Transit Gatewayとのセキュアな接続を提供します。

          お客様のAWSクラウドとVPCピアリング機能やAWS Transit Gatewayで各最大4個、接続することができます。


          外部ネットワークとの接続

          利用端末(オフィス1、オフィス2、自宅)からiDoperation Cloudに接続する際、インターネットからiDoperation Gatewaysを利用して、iDoperation Cloudに接続しています。
          同様にターゲットの管理において、お客様のオンプレミス環境にあるターゲットに接続する際、VPNとインターネットからiDoperation Gatewaysを利用して、iDoperation Cloudに接続しています。
          上記いずれかでVPNを利用して接続する場合は『オンプレミス環境とのVPN接続』を実施してください。

          「お客様のAWSクラウド(VPC)」について、お客様のAWSターゲットとiDoperation Gateways間でVPCピアリングやAWS Transit Gatewayを利用して、iDoperation Cloudに接続しています。
          VPCピアリングを利用して接続する場合は『AWS環境との接続(VPCピアリング)』を実施してください。
          お客様環境のAWS Transit Gatewayを利用してiDoperation Cloudへ接続する場合は『AWS環境との接続(AWS Transit Gateway)』を実施してください。

          外部アイデンティティプロバイダーの利用

          お客様環境(オフィス、自宅)の端末からiDoperation Cloudに接続する際、外部アイデンティティプロバイダーを利用する場合はiDoperation Cloudで認証を実施します。
          外部アイデンティティプロバイダーを利用される場合は 『外部アイデンティティプロバイダーを利用する』を実施してください。 

          リリースノート

          リリース内容については『リリースノート』を参照してください。 

          マニュアルについて

          本マニュアルの構成についてはマニュアルについて』を参照してください。

          What's Next
          © 2024 NTT TechnoCross Corporation