統合ID管理とは
企業内でばらばらに管理されている複数の業務システムやサービスのID情報、
あるいはアクセス権限の申請・承認プロセスを一元的に管理することを「統合ID管理」といいます。
統合ID管理では、クラウドサービスのIDをはじめ、Active DirectoryのユーザーIDや特権ID、アクセス権など、IDにまつわる管理を統合的に行うことが出来ます。
一括りに統合ID管理と言っても、管理の仕方はさまざまになります。
ManageEngineでは、豊富な製品の中からお客様のビジネスモデルに最適なID管理方法をご提供いたします。
課題とソリューション
一括りに統合ID管理と言っても様々な悩みとソリューションがございます。
例えば、「Active DirectoryのIDの運用を効率良くしたい」や「重要機器の特権IDを安全に管理、貸出を行いたい」、「ユーザーからのパスワードリセット・アカウントロックの問い合わせが多い」など様々です。
統合ID管理を行わない場合、大きく分けて6つの特権IDに関する課題発生が考えられます。
課題
(A)Windows ADアカウント管理が属人化している管理者
多くのADユーザーが存在し、権限の割り振りが把握できず、不必要に高い権限を与えている可能性があり、内部不正などの温床となりかねない。
入退社に伴うアカウント作成、削除に時間が割かれる Active Directoryのドメイン管理者アカウントに対してセキュリティ意識の低い状態が続いたことから、現在においても、不適切な、弱い設定のままとなっており万が一外部からの侵入があった場合に被害が甚大化する。
ADの管理が属人化しているがために、使用されていないアカウントの棚卸に手が、回らないため、不正アクセスの温床を放置してしまっており、セキュリティ上好ましくない状態が続いている
ソリューション
①ADの特権ID管理ソリューション:Password Manager Pro + Log360 + ADManager Plus
Password Manager Proをインストールしたサーバーを踏み台として使用することで、 特権IDを使ったITリソースへのアクセス経路を集約し、外部からの不正アクセスを検知することが出来ます。
ユーザーは、ITリソースのパスワードを直接入力する事なく、Password Manager Proを介してITリソースへログインできます。
またLog360と連携することで、 Password Manager Proを経由してサーバーへ接続中のイベント内容をわかりやすく可視化、ログを収集することが出来ます。
不正なアクセスを感知するためにPassword Manager Proを経由していないアクセスに関して、アラートを挙げることが可能になります。
上記の対策は大変重要で有効ですが、アカウントの棚卸を怠ってしまうと、そこが弱点になってしまう場合があります。
より詳しい「ADの特権IDソリューション」はこちら
課題
簡単なパスワードを使いまわしていてセキュリティが弱い ユーザーがIDやパスワードを忘れる事が多く業務の生産性に影響がある サーバーの特権IDを委託先に貸し出しているが証跡が残っておらず有事の際に参照できるものが無い 内部/外部監査によって、特権ID管理に関する指摘があったが対応できない 貸し出したパスワードをユーザーが変更してしまったら対策できない 特権IDなどをExcel管理している。Excelへの記入内容の改ざんが簡単にできてしまう。Excelがクラッシュしてしまうと重要機器にアクセスできなくなる。
ソリューション
②特権IDソリューション:Password Manager Pro + Log360
特権IDを複数人で管理している場合、内部不正があった場合に誰が不正を行ったか特定できなかったり、
Excel管理で管理している場合。Excelへの記入内容の改ざんが簡単にできたり、
Excelがクラッシュしてしまうと重要機器にアクセスできなくなってしまうリスクがあります。
課題
(C)AD/M365の運用効率化やファイルサーバーの管理が行えていない管理者
1.Active Directoryに関するお悩み
- 多くのADユーザーが存在する場合、権限の割り振りが把握できず、不必要に高い権限を与えている可能性があり、内部不正などの温床となる場合がある。
- 入退社に伴うアカウント作成、削除に時間が割かれる
- ADの管理が属人化しているがために、使用されていないアカウントの棚卸に手が、回らない
2.ファイルサーバーに関するお悩み
- どのユーザーがどこまでアクセスできるのか把握できていなかり、非効率な運用が課題になっている
- 多数のアクセス権の変更作業が必要となる人事異動や新入社員の配属への対応などにスクリプトや、手作業で行っている管理者は権限の変更に工数がかかっている
3.M365に関するお悩み
- ADとM365に紐づいているユーザーの作成、削除やライセンスの割り当てを実施したい
ソリューション
③AD/M365/ファイルサーバー運用効率化ソリューション:ADManager Plus
・Active Directory
多くのADユーザーが存在する場合、権限の割り振りが把握できず、不必要に高い権限を与えている可能性があり、内部不正などの温床となる場合があります。また、入退社に伴うアカウント作成、削除に時間が割かれたり、ADの管理が属人化しているがために、使用されていないアカウントの棚卸に手が、回らないため、不正アクセスの温床を放置してしまっており、セキュリティ上好ましくない状態が続いている課題がございます。
・ファイルサーバー
どのユーザーがどこまでアクセスできるのか把握できていない、非効率な運用が課題になっている場面があります。 また、多数のアクセス権の変更作業が必要となる人事異動や新入社員の配属への対応などにスクリプトや、手作業で行っている管理者は権限の変更に工数がかかったりします。
M365
ADとM365に紐づいているユーザーの作成、削除やライセンスの割り当てを実施したいが作業に時間がかかる。
など、AD/M365/ファイルサーバーにそれぞれ課題が挙げられます。
Active Directoryのアカウント管理に関する詳しい詳しいソリューションは「Active Directoryのアカウント管理」をご参照ください
ファイルサーバーに関する詳しいソリューションは「ファイルサーバー管理ソリューション」をご参照ください。
課題
長期の休みの後は、アカウントロックやパスワードを忘れユーザーからの問い合わせが絶えない
休業中にロックや期限切れが発生した場合に社員がPCにログインできずに業務が行えない。
営業時間外のお問い合わせには対応できない
ソリューション
④ADセルフサービス/多要素認証/クラウドSSO:ADSelfService Plus
Active Directoryで有効期限やパスワードの入力間違いの回数でロックをかける設定はセキュリティ強化に非常に有効です。 その反面有効期限切れでロックがかかってしまったり、パスワードを忘れてしまったユーザーのアカウントがロックされたり、管理者が手を動かして解除を行わなければいけない状況が発生します。
課題
簡単なパスワードを使いまわしていてセキュリティが弱い ユーザーがIDやパスワードを忘れる事が多く業務の生産性に影響がある Excelなどの台帳でID/パスワードを管理していてセキュリティ面が不安
ソリューション
④ADセルフサービス/多要素認証/クラウドSSO:ADSelfService Plus
複数のクラウドサービスを使用している場合、各IDやパスワードが必要になるために、
簡単なパスワードを使いまわしていてセキュリティが弱い場合や、
ユーザーがIDやパスワードを忘れる事が多く業務の生産性に影響がある場合があります。
課題
(F)PCログイン時にIDとパスワードのみで認証を許している組織の管理者
IDとパスワードだけで認証を受けており、ハッキングされる可能性がある 退職後にインターネットを通じてクラウドサービスへのアクセスを許してしまう。
ソリューション
統合ID管理ソリューション
ManageEngineでは、豊富な製品の中からお客様のビジネスモデルに最適なID管理方法をご提供いたします。 以下のカテゴリーの中から、お客様のニーズに合わせて最適なソリューションをご選択ください。
- 1. AD特権IDソリューション
- 2. 特権IDソリューション
- 3. AD/M365/ファイルサーバー運用効率化ソリューション
- 4. ADセルフサービス/多要素認証/クラウドSSOソリューション
| 対象 | Active Directory | クラウド | サーバー/DB/NW |
|---|---|---|---|
| 特権アカウント | |||
| 一般アカウント 管理者 一般アカウント | |||
1. AD特権IDソリューション
以下では、ADの特権ソリューションの具体策の概要を「3つのポイント」にまとめました。 対応するManageEngine製品も併せて紹介します。 こちらのソリューションは上記で挙げた(A)の課題である、 「Windows ADアカウント管理が属人化している管理者」が解決できます。
ログ監査
PCERT/CCが公開した解説書では、Active Directoryのイベントログを活用した攻撃の検知方法が記されています。注視すべきイベントIDとその詳細も説明されているため、これらを参考にログ監査を実行すると良いでしょう。
また、日々の認証ログの調査を行い、接続元端末やアカウント名、ログイン成功/失敗の時間帯や回数に不審な点が無いかを調べることも重要です。
解決1.内部不正があった場合に不正を行ったユーザーを特定できる
関連製品 >> 統合ログ管理/ 簡易SIEM「Log360」
特権ID管理
Password Manager Proをインストールしたサーバーを踏み台として使用することで、
特権IDを使ったITリソースへのアクセス経路を集約し、外部からの不正アクセスを検知することが出来ます。
ユーザーは、ITリソースのパスワードを直接入力する事なく、Password Manager Proを介してITリソースへログインできます。
またLog360と連携することで、 Password Manager Proを経由してサーバーへ接続中のイベント内容をわかりやすく可視化、ログを収集することが出来ます。
不正なアクセスを感知するためにPassword Manager Proを経由していないアクセスに関して、アラートを挙げることが可能になります。
解決1.内部不正があった場合に不正を行ったユーザーを特定できる
解決2.安全にパスワードを貸し出すことができる
解決3.パスワードの一元管理が可能になるので、Excelがクラッシュしても問題ない
特権IDを活用する場合のルールを定義し、運用に乗せることで、どのようなログの状態が「正常」なのかを明確に定義できるという効果を発揮します。特権IDの適切な管理は、ひいては異常ログの速やかな検知につながります。
■管理専用端末の分離
※例えばManageEngineで提供している特権ID管理ソフト「Password Manager Pro」を導入したサーバーを踏み台とし、Active Directoryへのアクセス元を固定すれば、「特権ID管理」と「端末分離」を効率的に実施できます。
関連製品 >> 特権ID管理ソフト「Password Manager Pro」
アカウント/権限の洗い出し
ADManager Plusを使用することで、Active Directoryアカウントの棚卸が可能になります。
加えて、特権を付与するアカウントを最小化することも重要です。 高権限グループに所属するアカウントがどれなのかを定期的に洗い出し、 不要なアカウントが含まれていないことを確認する必要があります。
また、入退職や異動に伴い使われなくなったアカウントを放置せず、定期的な棚卸しを行うことで攻撃者からの悪用を未然に防げます。
解決1.入退社に伴うアカウント作成、削除に時間が割かれることがなくなる
解決2.多くのADユーザーが存在、権限の割り振りを把握できる
解決3.外部からの侵入があった場合に対応できる
2. 特権IDソリューション
以下では、特権ID管理ソリューションの具体策の概要を「2つのポイント」にまとめました。 対応するManageEngine製品も併せて紹介します。
こちらのソリューションは上記で挙げた(B)重要な特権IDを複数人で共有している組織の管理者の課題が解決できます。
ログ監査
JPCERT/CCが公開した解説書では、 Active Directoryのイベントログを活用した攻撃の検知方法が記されています。
注視すべきイベントIDとその詳細も説明されているため、 これらを参考にログ監査を実行すると良いでしょう。
また、日々の認証ログの調査を行い、接続元端末やアカウント名、 ログイン成功/失敗の時間帯や回数に不審な点が無いかを調べることも重要です。
解決1.内部不正があった場合に不正を行ったユーザーを特定できる
関連製品 >>統合ログ管理/ 簡易SIEM「Log360」
特権ID管理
Password Manager Proをインストールしたサーバーを踏み台として使用することで、 特権IDを使ったITリソースへのアクセス経路を集約し、外部からの不正アクセスを検知することが出来ます。
ユーザーは、ITリソースのパスワードを直接入力する事なく、Password Manager Proを介してITリソースへログインできます。
またLog360と連携することで、 Password Manager Proを経由してサーバーへ接続中のイベント内容をわかりやすく可視化、ログを収集することが出来ます。
不正なアクセスを感知するためにPassword Manager Proを経由していないアクセスに関して、アラートを挙げることが可能になります。
解決1.内部不正があった場合に不正を行ったユーザーを特定できる
解決2.安全にパスワードを貸し出すことができる
解決3.パスワードの一元管理が可能になるので、Excelがクラッシュしても問題ない
特権IDを活用する場合のルールを定義し、運用に乗せることで、どのようなログの状態が「正常」なのかを明確に定義できるという効果を発揮します。特権IDの適切な管理は、ひいては異常ログの速やかな検知につながります。
■管理専用端末の分離
※例えばManageEngineで提供している特権ID管理ソフト「Password Manager Pro」を導入したサーバーを踏み台とし、Active Directoryへのアクセス元を固定すれば、「特権ID管理」と「端末分離」を効率的に実施できます。
関連製品 >> 特権ID管理ソフト「Password Manager Pro」
3. AD/M365/ファイルサーバー管理運用効率化ソリューション
以下では、AD/M365/ファイルサーバーの運用効率化の具体策の概要をまとめました。
対応するManageEngine製品も併せて紹介します。
こちらのソリューションは上記で挙げた(C)AD/M365の運用効率化やファイルサーバー管理者の課題を解決できます。
ADManager Plusを使用することで、Active Directory / Microsoft 365 /ファイルサーバーの効率的な運用が可能になります。
Active Directory
多くのADユーザーが存在する場合でも、権限の割り振りが簡単に把握できます。また、入退社に伴うアカウント作成、削除を行う場合、GUI上から一括で操作を行うことが出来ます。スクリプトを書く必要がありません。
ファイルサーバー
どのユーザーがどこまでアクセスできるのか把握でき、効率な運用が行えます。
また、多数のアクセス権の変更作業が必要となる人事異動や新入社員の配属への対応などもGUI上から一括で操作を行うことが可能です。
ADとM365に紐づいているユーザーの作成、削除やライセンスの割り当てを実施することが出来ます。
4. ADセルフサービス/多要素認証/クラウドSSOソリューション
以下では、ADセルフサービス/多要素認証/クラウドSSOの具体策の概要をまとめました。
対応するManageEngine製品も併せて紹介します。
こちらのソリューションは上記で挙げた(D)パスワード忘れの問い合わせが多く困っている管理者 (E)複数のクラウドサービスの利用している組織の管理者(F)PCログイン時にIDとパスワードのみで 認証を許している組織の管理者の課題を解決することができます。
ADSelfService Plusを使用することで
パスワードを忘れてしまってActive Directoryにアクセスできなくなってしまったユーザーがユーザー自身でパスワードリセット、アカウントロック解除をすることが出来ます。
複数のクラウドサービス間でパスワード同期や同一のIDを使用したシングルサイオンが可能になります。
windowsログインを行う際に二要素認証の設定を行うことでセキュリティの強化が行えます。
解決1.ユーザー自身でリセット、解除を行うことで、アカウントロックやパスワードを忘れユーザーからの問い合わせがなくなる
解決2.簡単なパスワードを使いまわす必要がなくり、複数のクラウドサービスへワンクリックでアクセス可能になる
解決3.IDとパスワード以外の認証基盤を設けることで、セキュリティが強化できる
関連製品 >> Active Directoryアカウント管理セルフサービスソフト「ADSelfService Plus」