特権IDとパスワードの効果的な運用
3. PIM Enterprise Suite
今回、紹介するのは、米Cyber-Ark Softwareの製品「PIM Enterprise Suite」です(国内総販売代理店は、筆者が所属するディアイティ)。PIM Enterprise Suiteは、ソフトウエア・スイートの総称であり、シンプルに書くと、図1のような製品体系をしています。
|
|
|
| 図1: PIM Enterprise Suiteの製品体系 |
基本的に、EPVがベースとなる製品で、ほかはオプションとなります。
本製品の大きな特徴の1つは、いわゆるWindowsやUNIXといったオペレーティング・システム(OS)だけでなく、スイッチやルーター、ファイア・ウォールといったネットワーク機器など、IDとパスワードがあるデバイスをおおむね管理できることです。
仮に、サーバーOSのパスワード管理はほかの製品でできていたとしても、すべてのデバイスがネットワークにつながって緊密な連携を行っている環境が一般的である現在、一部分のみの限定的な対応は、必ずしも安全であるとは言えません。すべてのデバイスを管理対象とすることで、パスワード管理が意味を持ちます。
以下では、スイートを構成する個々の要素について解説します。
4. EPVは、デバイスのパスワードを定期的に自動で変更
EPVは、PIM Enterprise Suiteのベースとなる製品です。いったんデバイスを管理対象に置くと、以降は定期的にパスワードを変更していきます。デバイスにエージェントのようなものをインストールする必要はありません。
|
|
| 図2: EPVの画面(クリックで拡大) |
管理者は、デバイスを登録して"Change"ボタンを押すことで、パスワードをその場ですぐに変更できます。内容は、"Show"ボタンで見られます。"Version"タブでは、過去の変更履歴を見ることができます(図2)。
デフォルトでは、30日間隔でパスワードが自動的に変更されていきます。運用次第では、変更間隔を短く設定することで、いわゆるワンタイム・パスワード(OTP)のような使い方も可能です。生成するパスワードのポリシーの例を、以下に示します。
- パスワードの長さ
- 大文字/小文字
- 数字/特殊文字
パスワードが長ければ長いほど、特殊な文字が含まれるほど、セキュリティ的に強固です。一方、サーバー管理者による運用に耐えられるレベルは、せいぜい8文字です。しかし、EPVでは、仮に16文字のパスワードを設定したとしても、管理者がそれを覚えておく必要はまったくありません。
表1は、EPVで管理可能なデバイスの例です。
表1: EPVで管理可能なデバイスの例
| システム | ベンダー | 製品 |
|---|---|---|
| OS | Microsoft | Windows |
| IBM | AIX、OS/400、OS/390 | |
| Apple | Mac OS | |
| Windowsアプリケーション | Microsoft | Windowsサービス |
| Windowsスケジュールタスク | ||
| COM+ | ||
| データベース | Oracle | Oracle Database |
| Microsoft | SQL Server | |
| IBM | DB2、Informix | |
| セキュリティ・アプライアンス | Check Point Software Technologies | FW-1、SPLAT |
| Cisco Systems | PIX、ACS、IronPort | |
| Juniper Networks | NetScreen | |
| ネットワーク機器 | Cisco Systems | Router、Switch(Catalyst) |
| Juniper Networks | Router(JUNOS) | |
| Hewlett-Packard | ProCurve | |
| リモート制御、監視機器 | IBM | HMC |
| Hewlett-Packard | HP-iLO | |
| Sun Microsystems | ALOM |
サーバー機器には、管理用の専用インタフェースが装備されている場合が多いですが、これについても、EPVで管理できます。例えば、サーバー・システム一式をデータ・センターにハウジングし、24時間365日の保守をメンテナンス会社に委託しているケースでも本製品は有効です。
