ログの取得と監査証跡の勘どころ第1回

3. PIM Enterprise Suite

今回、紹介するのは、米Cyber-Ark Softwareの製品「PIM Enterprise Suite」です（国内総販売代理店は、筆者が所属するディアイティ）。PIM Enterprise Suiteは、ソフトウエア・スイートの総称であり、シンプルに書くと、図1のような製品体系をしています。

図1: PIM Enterprise Suiteの製品体系

基本的に、EPVがベースとなる製品で、ほかはオプションとなります。

本製品の大きな特徴の1つは、いわゆるWindowsやUNIXといったオペレーティング・システム（OS）だけでなく、スイッチやルーター、ファイア・ウォールといったネットワーク機器など、IDとパスワードがあるデバイスをおおむね管理できることです。

仮に、サーバーOSのパスワード管理はほかの製品でできていたとしても、すべてのデバイスがネットワークにつながって緊密な連携を行っている環境が一般的である現在、一部分のみの限定的な対応は、必ずしも安全であるとは言えません。すべてのデバイスを管理対象とすることで、パスワード管理が意味を持ちます。

以下では、スイートを構成する個々の要素について解説します。

4. EPVは、デバイスのパスワードを定期的に自動で変更

EPVは、PIM Enterprise Suiteのベースとなる製品です。いったんデバイスを管理対象に置くと、以降は定期的にパスワードを変更していきます。デバイスにエージェントのようなものをインストールする必要はありません。

図2: EPVの画面（クリックで拡大）

管理者は、デバイスを登録して"Change"ボタンを押すことで、パスワードをその場ですぐに変更できます。内容は、"Show"ボタンで見られます。"Version"タブでは、過去の変更履歴を見ることができます（図2）。

デフォルトでは、30日間隔でパスワードが自動的に変更されていきます。運用次第では、変更間隔を短く設定することで、いわゆるワンタイム・パスワード（OTP）のような使い方も可能です。生成するパスワードのポリシーの例を、以下に示します。

パスワードが長ければ長いほど、特殊な文字が含まれるほど、セキュリティ的に強固です。一方、サーバー管理者による運用に耐えられるレベルは、せいぜい8文字です。しかし、EPVでは、仮に16文字のパスワードを設定したとしても、管理者がそれを覚えておく必要はまったくありません。

表1は、EPVで管理可能なデバイスの例です。

システム	ベンダー	製品
OS	Microsoft	Windows
	IBM	AIX、OS/400、OS/390
	Apple	Mac OS
Windowsアプリケーション	Microsoft	Windowsサービス
		Windowsスケジュールタスク
		COM+
データベース	Oracle	Oracle Database
	Microsoft	SQL Server
	IBM	DB2、Informix
セキュリティ・アプライアンス	Check Point Software Technologies	FW-1、SPLAT
	Cisco Systems	PIX、ACS、IronPort
	Juniper Networks	NetScreen
ネットワーク機器	Cisco Systems	Router、Switch（Catalyst）
	Juniper Networks	Router（JUNOS）
	Hewlett-Packard	ProCurve
リモート制御、監視機器	IBM	HMC
	Hewlett-Packard	HP-iLO
	Sun Microsystems	ALOM