はじめに
- 印刷する
はじめに
- 印刷する
記事の要約
この要約は役に立ちましたか?
ご意見ありがとうございます
iDoperation PAM Cloudへようこそ
本トピックでは、iDoperation PAM Cloudの概要や機能について説明します。
iDoperation PAM Cloudの概要
iDoperation PAM Cloudは、組織の特権アクセス管理に関するセキュリティおよびコンプライアンスの課題に対応する統合ソリューションです。特権IDの管理、一時的な特権アクセス許可、特権アクセスの点検の3つの主要機能を提供します。
1. 特権IDの管理
特権IDを安全かつ効率的に管理するために、以下の3つの運用ステップを実施します。
- 把握:組織内の特権ID、ユーザ、アクセス権限を可視化し、現状を把握します。管理対象システムから特権IDを自動で取り込み、一元管理することで、「誰がどのシステムにどの特権IDでアクセスできるか」を明確にします。
- 保護:特権IDのパスワードを暗号化して保管します。設定したルールに基づきパスワードを自動で定期変更し、長期間の放置や手作業によるミスを防止します。
- 点検:特権IDの管理状況を定期的に自動点検し、使われていない特権IDや過剰な権限を検出します。ID管理台帳と実際のアカウントを突き合わせて差分を検出し、不正登録や放置IDのリスクを低減します。アクセス権限の一覧化により過剰権限の見直しを支援します。
2. 一時的な特権アクセスの許可
- ワークフロー承認に基づく一時的な特権アクセス
事前のワークフロー承認を経て、許可された期間および対象にのみ特権アクセスを付与します。期間終了後は、付与したアクセス権限を自動的に剥奪し、貸し出したパスワードを変更します。SSO(シングルサインオン)方式で特権アクセスを行うため、共有型特権IDであっても実際にアクセスした利用者を特定できます。 - 管理者による特権アクセスのセッション管理
許可された特権アクセスについて、管理者は特権アクセス中のセッションを管理できます。管理者は、利用者が特権アクセス先に対してファイルのアップロードおよびダウンロードを行うことを許可するかどうかを設定できます。セッション共有機能により、特権アクセス中の操作を他の利用者がリアルタイムで閲覧できます。不正アクセスが発見された場合は、管理者が特権セッションを即時に強制切断できます。
3. 特権アクセスの点検
- ログの記録と保管
すべてのアクセス経路のログを収集し、安全かつ長期間にわたり保管します。PAM経由以外のローカルアクセスやサーバ間の水平移動も検知可能です。操作内容は動画で記録されます。 - 特権アクセスの点検
収集したアクセスログと承認された申請情報を自動で突合し、不正アクセスを検出します。ゲートウェイを経由しないアクセスも監視します。 - 操作ログの点検
動画記録により操作内容を把握できます。あらかじめ通知したい操作を設定しておくと、該当操作が実施された際に管理者へリアルタイムで通知します。動画共有機能や操作ログ記録の自撮り機能により、ダブルチェック体制の証明も支援します。
iDoperation PAM Cloudの主な機能
iDoperation PAM Cloudは、セキュリティ強化を実現するために以下の機能を備えています。
| No | 大機能 | 中機能 | 説明 |
| 1 | 管理 | 特権IDの可視化 | 組織内の特権ID、ユーザ、アクセス権限を可視化します。 |
| パスワードの保護 | 特権IDのパスワードを強固に暗号化し、安全に保管します。 | ||
| パスワードの自動変更 | 設定したルールに基づき、パスワードを自動で定期的に変更します。 | ||
| 2 | 利用 | 特権利用ワークフロー | ワークフローの承認に基づき、許可された期間・対象にのみ特権アクセスを許可します。緊急申請やまとめ申請にも対応しています。承認者は申請内容を確認の上ワンクリックで一括承認が可能です。 |
| 一時的な特権アクセス | 特権アクセス権限の付与方法には、共有アカウントの一時的な貸出(Shared Account Checkout)と個人アカウントへの一時的な権限付与(Just-In-Time Role Elevation)があります。一時的に特権アクセス権限を付与し、利用終了時に自動で剥奪します。アクセス方法には、ゲートウェイ経由(iDoperation RAG)、エージェント経由(iDoperation PAM Agent)、その他の方法(資格情報の貸出、API経由の資格情報の提供、権限貸出)があります。 | ||
| セッション管理 | iDoperation RAG経由の特権アクセスではセッションを管理でき、リアルタイム監視や強制切断が可能です。セッションの操作は動画で録画します。 | ||
| 3 | 点検 | 特権アクセス点検 | 申請内容に沿った特権アクセスが行われているか自動で点検します。 |
| 不正アクセス点検 | ターゲットからアクセスログを自動収集し、申請情報やPAM経由の特権アクセスログと突合して不正アクセスを自動で検出します。 | ||
| ユーザ操作点検 | 操作端末にiDoperation SC Agentを導入することで、ユーザの操作を動画形式で記録し、管理者が操作内容を容易に点検できるようにします。 | ||
| 4 | その他 | Shared Services | IAM:ユーザー認証、多要素認証を提供し、IdPとの連携にも対応しています。 APIs:操作ログの転送や、外部システムからの操作を可能にし、監査や運用自動化の統合を支援します。 |
| Network Services | パブリック接続:特権アクセス端末などからポータルへのアクセスをインターネット経由で安全に受け付けます。Private Access 機能を使い接続経路を限定することも可能です。 プライベート接続 :SaaSなどのPublic PAM Targetsにはインターネット経由での接続、オンプレミスなどプライベートネットワーク内のPrivate PAM TargetsにはVPNやTransit Gateway、VPC Peeringを通じたセキュアな接続を提供します。 |
機能と対応エディション
iDoperation PAM Cloud の機能と対応するエディションは次のとおりです。
ご契約時に選択したエディションの機能が利用できます。ご契約後のエディション変更は販売パートナーへお問い合わせください。
本マニュアルでは、B2 Editionを前提として説明しています。
| No | 大機能 | 中機能 | 対応エディション | |||
| A1 Edition | A2 dition | B1 Edition | B2 Edition | |||
| 1 | 管理 | 特権IDの可視化 | 〇 | 〇 | 〇 | 〇 |
| パスワードの保護 | 〇 | 〇 | 〇 | 〇 | ||
| パスワードの自動変更 | 〇 | 〇 | 〇 | 〇 | ||
| 2 | 利用 | 特権利用ワークフロー | 〇 | 〇 | 〇 | 〇 |
| 一時的な特権アクセス | 〇 | 〇(*1) | 〇 | 〇(*1) | ||
| セッション管理 | - | 〇(*1) | - | 〇(*1) | ||
| 3 | 点検 | 特権アクセス点検 | 〇 | 〇 | 〇 | 〇 |
| 不正アクセス点検 | - | - | 〇 | 〇 | ||
| ユーザ操作点検 | - | 〇(*2) | - | 〇(*2) | ||
| 4 | その他 | Shared Services | 〇 | 〇 | 〇 | 〇 |
| Network Services | 〇 | 〇 | 〇 | 〇 | ||
(*1) iDoperation RAGを利用するには、A2 EditionまたはB2 Editionの契約が必要です。
(*2)「ユーザ操作点検」で操作画面の録画機能を利用するには、A2 EditionまたはB2 Editionを選択した上で操作ログ用ストレージの契約が必要です。
ユーザの種類と役割
iDoperation PAM Cloudを利用するユーザは以下に分類されます。
| No | ユーザの種類 | 役割 |
| 1 | 管理者 | iDoperation PAM Cloudを管理するユーザです。ユーザやターゲットの管理、お客様環境とiDoperation PAM Cloudの接続など、さまざまな管理操作を行います。ユーザやロールの設定により、以下の役割を担います。
|
| 2 | 利用者 | ターゲットへの特権アクセスを行うユーザです。ワークフローの設定により、以下の役割を担います。
|
| 3 | 開発者 | APIsを利用して外部システムと連携するための設定を行うユーザです。 |
参考情報
本マニュアル外で説明されている関連情報を示します。
| No | 参照先 | 内容 |
| 1 | WebブラウザおよびOSサポートポリシー | iDoperation PAM Cloudを利用するWebブラウザとOSのサポートポリシーの説明です。 |