脅威は内部にあり――「特権ユーザー」の不正利用を防ぐには

信頼して業務を任せていたはずのスタッフが、ある日突然不正行為を行う――。最近起きた個人情報流出事件は、そんな悪夢が現実として起こることを如実に示した。一方、自社や関連会社のスタッフがシステム関連の作業をしやすいように、システム管理者権限、いわゆる「特権」を与えているケースも多いだろう。システムの全権を握るこうした特権が、不正行為に悪用されたら――。特権ユーザーの厳密な管理が、大規模な情報流出の有効な防止策になり得る。自社の特権管理の在り方を見直す好機ともいえる今、効果的な解決策を示そう。

内部者による不正アクセスを防ぐ現実解

 昨今、高い権限を有するrootやAdministratorなどの特権IDを不正利用した情報漏えい事件が増加していることを受けて、特権IDの管理に対する注目が集まっている。

 特権ID管理は、IT全般統制の観点で金融当局や監査法人が重視するポイントでもあり、加えてクレジットカード業界のグローバルセキュリティ基準「PCI DSS」でも、必須要件として上げられているが、適切に実施できている企業は多くはないのが実情だ。

 本資料では、企業の重要情報を守るために実現すべき特権ID管理にフォーカスを当て、効果的かつ効率的な特権ID管理のポイントを解説している。

 なぜ特権IDの管理が必要なのか。特権IDの管理を進める上で、注意すべきポイントとは何か。こうした疑問を解消する上で、本資料は有力な情報源となるだろう。

▼関連ホワイトペーパー

「特権ID管理製品」を入れると何ができるのか? 具体例から探る

 特権IDの適切な管理や制御には「特権ID管理製品」が役に立つことを理解している人は多いだろう。だが特権ID管理製品が具体的にどのような機能を持つのか、正しく理解できているだろうか。

 特権ID管理製品と一口に言っても、特権IDのパスワードの発行から削除までのライフサイクルを管理する「特権パスワード管理」、特権であってもできることに制限を加える「特権アクセス制御」といった機能がある。特権ID管理製品によっては、いずれか一方の機能を備えるもの、双方を備えるものがあり、製品によってできることは異なる。

 本資料は、具体的な特権ID管理製品を基に、特権ID管理製品の機能を網羅的に解説している。製品選定を進める上では、まずは製品分野そのものを理解することが大切だ。本資料で特権ID管理製品の全体像をつかんでいただきたい。

▼関連ホワイトペーパー

統合ID管理やSSOの基礎知識と市場動向を学ぶ

 ID/パスワード認証の運用をサポートするID管理製品は、大きく「統合ID管理」「シングルサインオン(SSO)」「特権ID管理製品」の3つに分類することができる。

 管理者にとっては、複数のシステムにまたがってアクセス権を管理できる統合IT管理製品が役に立つ。rootやAdministratorなどのシステム管理者権限(特権ID)も適切に管理できる特権ID管理製品を用いれば、管理者の職務を分掌し、組織的な運用を実現したいときに役立つ。また、従業員にとっては、複数のシステムに1つのID/パスワードで安全にアクセスできるSSOが魅力だ。

 本ホワイトペーパーでは、これら3製品のメリットだけでなく、導入や運用時の注意点・デメリットについても紹介している。適切な製品を選定する際の基本知識を習得することができる。

 後半では、統合ID管理製品やSSO製品の市場動向についても解説しており、ベンダー各社の取り組みや新しいサービスなどについても触れている。クラウドで提供される統合IT管理サービス「IDaaS」は、米国を中心に普及しつつある。オンプレミスだけでなくクラウドサービスを統合管理できる製品も、国内外から登場している。

 SSO製品は、Webアプリケーションの利用を管理する「WAM(Web Access Management)」や、クラウドサービスも安全に利用できる「IDフェデレーション」が主流となりつつあるという。こうした動向を押さえるのに、最適なホワイトペーパーだといえよう。

関連セミナー

事例から学ぶ特権ID・監査ログ管理実践セミナー【東京】

主 催:NRIセキュアテクノロジーズ株式会社
日 時:2015年 1月21日(水)、2月19日(木) 15:00〜17:00(開場・受付開始 14:30)
会 場:NRIセキュアテクノロジーズ株式会社 本社
参加費:無料(事前登録制)

事例から学ぶ特権ID・監査ログ管理実践セミナー【大阪】

主 催:NRIセキュアテクノロジーズ株式会社
日 時:2014年 10月29日(水) 15:00〜17:00(開場・受付開始 14:30)
会 場:野村総合研究所 大阪総合センター
参加費:無料(事前登録制)

猛威を振るうサイバー攻撃への対応とセキュリティ最新情報

主 催:株式会社ディアイティ
日 時:2014年10月30日(木) 14:30〜17:00(受付開始 14:00〜)
会 場:株式会社ディアイティ 本社7Fセミナールーム
参加費:無料

試用版製品/デモンストレーション

NRIセキュアテクノロジーズ

詳しくは info@nri-secure.co.jp までお問い合せ下さい。(上記リンクをクリックするとメールソフトが起動します)

提供:NRIセキュアテクノロジーズ株式会社、株式会社ディアイティ
アイティメディア営業企画/制作:TechTarget編集部/掲載内容有効期限:2014年11月30日

Copyright© 2024 ITmedia, Inc. All Rights Reserved.