アシストは2013年8月7日、業務システムに対する特権IDのパスワードを利用申請ベースで払い出すことで業務システムを安全に運用できるようにするソフトウエアパッケージ「特権ID管理ソリューション」を強化した。新たに、特権IDの払い出しログと業務システムのアクセスログを突き合わせて利用状況を分析できるようにした。
前提となる特権ID管理ソリューションとは、「特権IDを適切に管理する」という目的の下に、アシストが販売している各種のソフトウエアを組み合わせた、提案ベースの仮想的なパッケージである。単一のSKU(Stock Keeping Unit)として新規のライセンス体系を設けたパッケージ製品ではなく、実際には個々のソフトを個別に購入するスタイルとなる。
特権ID管理ソリューションを構成するソフトは、以下の通り。(1)「CA ControlMinder Shared Account Management」(SAM、関連記事)は、ID/パスワードの利用申請/割り当てソフトである。(2)「Logstorage」(関連記事)は、統合ログ収集管理ソフトである。(3)「監査れポータル」(関連記事)は、内部統制向けのログ可視化ソフトである。
今回の強化では、SAMのログ(特権IDの払い出しログ)とLogstorageが収集したログ(業務システムのアクセスログ)を突き合わせて利用状況を詳しく把握する使い方「ログ突合機能」を新規に提案している。これにより、申請外のログインや申請時間外のシステム利用を検知してアラートとしてレポート出力できるようにした。
利用期限が過ぎたIDのパスワードを直接変更する
(1)のSAMが、特権ID管理の中核となる。このソフトを使うと、利用申請ごとに、業務システムの特権IDにワンタイムパスワードを払い出す運用ができる。特権IDの利用が完了し次第、SAMが業務システムの特権IDのパスワードをリモートから変更してしまう仕組みである。
SAMによる利用イメージはこうだ。まず、ユーザーは利用申請ワークフローのサーバーにWebブラウザーでアクセスする。申請が承認されると、特権IDによるリモートログインが自動的に始まる。Windows標準の画面情報端末の仕組みであるRDP(Remote Desktop Protocol)を使って、業務システムに接続する。自動ログインスクリプトが配布されるので、ユーザーは特権IDのパスワードを手動で入力することなくログインできる。
オプションの「CA Session Recording」を利用すると、ゲートウエイを介して業務システムに代理アクセスする形態となるが、特権IDによる操作内容を録画して保存する運用もできる。
