特権アカウントのパスワード管理を自動化

特権アカウントのパスワード管理を自動化

Password Safe
powered by PowerBroker

(旧製品名:PowerBroker PasswordSafe, PBPS)

統合型パスワード / セッション管理システム

重要なIT資産の管理者用アカウントのパスワードを付箋やファイルで共有していませんか。
共用アカウントのパスワード変更の周知が煩わしく、長期間無変更になっていませんか。

Password Safeは、パスワードを自動で定期変更するだけでなく、特権アカウントでのIT資産へのセッションを安全かつ容易な操作を実現する、統合型ソリューションです。

 変化の激しい時代 …「働き方」が一変した

今までとは違い、「在宅勤務」や「テレワーク」が当たり前になった現在では、従来のセキュリティ対策では対処できません。

  • 今まで

    組織内に侵入を許さない「境界型」
     出社勤務が前提、侵入されない前提
    組織内に侵入を許さない「境界型」e

  • 現在

    場所を問わない多様な働き方
     クラウドの普及、新型コロナ対策
    場所を問わない多様な働き方

  • これから

    ゼロトラストモデルへの移行 … 「侵入されることを前提に、特権アカウントのパスワードは変更すべき」
     アフターコロナ・DX化において必須

 パスワード管理を強化しなければならない4つの理由

パスワード管理を強化することは、ひとりのユーザを守るだけでなく、企業や組織全体の情報セキュリティ確保のために不可欠です。

  • 課題[1]

    個人を特定する必要がある

    管理者用IDのように複数名で使用されがちなアカウントの
    パスワード共有リスクが増加

  • 課題[2]

    「侵入」を前提に、最低限、利用後のパスワード変更は必須

    在宅勤務・テレワークが当たり前になっている現在、
    平時に社内で従事する前提でのセキュリティ対策では不十分

  • 課題[3]

    監視者もリモート対応できる必要がある

    単独作業となるため、
    作業内容が正しいかどうかの監視が困難

  • 課題[4]

    アフターコロナ、DX化推進などを見据えた基盤強化を

    セキュリティ面の不安から、保守運用業務や
    機密情報を取り扱う業務ではテレワークを導入できない

Password Safeを採用いただいたユーザが実際に抱えていた課題

  • 某保険系ユーザ様

    特権アカウントの貸出運用に課題
    • 特権アカウントの貸し出しフローと貸し出し履歴の管理が煩雑になっている。
    • 返却された使用済みパスワードの変更作業が手作業の為、管理工数の増加や人的エラーのリスクがある。

  • 某銀行系ユーザ様

    社内システムの特権アカウントパスワードの定期変更に課題
    • 数百台のサーバ内に存在する全てのアカウントのパスワードを人手で定期的に変更しており工数が膨大。
    • 定期変更後の管理台帳作成や修正も手作業となっており、管理負荷や修正ミスが課題となっている。

Password Safeにお任せください!

特権アカウントのパスワード管理とセッション管理をワンパッケージにしたソリューションです。

概要

Password Safeは、特権アカウントのパスワード自動変更管理システムです。
定められたルールに基づき、自動的にパスワードを生成し、対象のサーバに対して作業の都度や定期的にパスワード変更を行います。数十台、数百台以上のサーバのパスワード変更作業に掛かっている工数の削減、それからパスワード変更というクリティカルな作業を人手で実施することのリスクを軽減できます。

UNIX/Linux(含、z/Linux)、Windowsのサーバだけでなく、ネットワーク機器、データベースのパスワードも管理対象になっておりますので、複数プラットフォームの特権アカウントを一元管理をするのに強力なソリューションです。
また、Password Safe内での動きは全て記録が残されておりログやレポートとして活用できますので、パスワード変更管理に必要なレポート作成の正確性と工数削減が図れます。

Password Safe

特長

仮想アプライアンスとして提供

より強固なセキュリティを提供

  •  Windows Server 2016
  •  ビルトインFirewallで防御
  •  アクセスはHTTPSのみ
[ 参考Blog ]
BeyondTrustの仮想アプライアンス、
2,218製品中8%のみのA+

集中管理

DBに管理システムのアカウントパスワードをセキュアに格納

  •  パスワードはv509v3証明書でサイン済

通信はSMB(NTMLv2)、TLS、SSH、Secure ODBCで暗号化

導入が容易

エージェントレス構成

APIインタフェースを提供

既存システムとの連携が可能

全てのアクティビティをロギング

オンラインやバッチ処理で数々のレポートを作成

多様なシステムをサポート

UNIX / LinuxやWindowsのサーバ、ネットワーク機器、データベース等の特権アカウントのパスワードを管理

セッション管理

 自動ログイン
RDP接続

Password Safe経由でアクセス先のシステムにRDPでログインする方法です。IDとパスワードはPassword Safeにより隠ぺいした状態で自動で投入されるため、特権アカウントのパスワードがユーザーの目に触れることなしに自動でログインされます。

  •  接続開始画面
    接続開始画面
  •  ログイン後画面
    ログイン後画面
  • 1

    ブラウザより
    Password SafeへHTTPS接続

  • 2

    「Open RDP Session」を
    押下

  • 3

    申請が承認されていればパスワード入力不要で、
    対象サーバに自動ログイン。以後ログが取得されます。

SSH接続

Password Safe経由でアクセス先のシステムにSSHでログインする方法です。IDとパスワードはPassword Safeにより隠ぺいした状態で自動で投入されるため、特権アカウントのパスワードがユーザーの目に触れることなしに自動でログインされます。

  •  接続開始画面
    接続開始画面
  •  ログイン後画面
    ログイン後画面
  • 1

    ブラウザより
    Password SafeへHTTPS接続

  • 2

    「Open SSH Session」を
    押下

  • 3

    申請が承認されていればパスワード入力不要で、
    対象サーバに自動ログイン。以後ログが取得されます。

 操作ログ

Password Safe経由でアクセスしたセッションのログを取得します。

  • 1. 操作ログの選択
    1.操作ログの選択
  • 2. 選択した操作ログを動画で確認ことができます
    2.選択した操作ログを動画で確認ことができます
 リモート監視

Password Safeのセッション管理を経由した操作は管理者がコンソールでリアルタイムで閲覧でき、また禁止するコマンドなどを実行したしようとした場合に自動でセッションをロックして操作を中断、またはセッションそのものを切断させることができます。

リモート監視

アカウントのパスワード管理

  •  Password Safeで保持するパスワードとの差異を定期的に確認
  •  定期的にパスワードの更新が可能
  •  暗号化:パスワードはv509v3証明書でサイン済
ワークフロー機能
  •  承認された申請者のみアカウント貸出機能を実装
  •  申請された作業期間が過ぎればパスワードを自動更新して使用不可に
アプリケーションのパスワード管理
  •  psrunコマンドにより最新のパスワードをPassword Safeから取得し、アプリケーションを実行=パスワードをハードコーディングする必要なし
役割、組織に準じた権限の分離を実現

ログ収集とレポート機能

 ログ

コンプライアンスサポートのためにユーザ/パスワードに関する一連のアクティビティ記録

Password Safe自身の動作を含めて、Password Safe上で起こった動作は全てログとして記録

  •  パスワード変更だけでなく管理者によるパスワード閲覧行為でも記録
  •  パスワードのようなセンシティブなデータは記録せず

 レポート

18種類のレポートを提供
  •  管理者と監査人以外は役割に応じたレポートのみ閲覧可能
バッチレポート
  •  定期的にメール配信が可能
  •  レポートはHTMLとCSV形式を用意

特権アカウントのタイプ

共有管理者用アカウント

  •  Windows上でのadministrator
  •  Linux / UNIX上でのroot
  •  Cisco上でのenable
  •  SQL Server上でのsa
  •  ローカル管理者アカウント

共有一般ユーザアカウント

アプリケーションアカウント

  •  アプリケーション-アプリケーション(A2A)
  •  アプリケーション-データベース(A2DB)
  •  Windowsのサービスアカウント

Password Safe 仮想アプライアンス推奨稼働環境

項目 内容
VMware推奨値
(PasswordSafe インスタンス割り当て)		 CPU数:4vCPU
HDD容量:300GB(Install)以上
メモリ容量:32GB
必要なソフトウェア ESXi Server V5.5以上

主な管理対象デバイス一覧

Assets Cloud Directories Database
AIX Amazon(Manageable) Active Directory MongoDB
BIG-IP(F5) Azure(Manageable) LDAP MS SQL Server
Checkpoint Box MySQL
Cisco Dropbox Oracle
Cisco Secret Facebook PostgreSQL
DRAC GoGrid Sybase ASE
Fortinet Google Teradata
Generic Platform Instagram
HP Comware LinkedIn
HP iLO Office 365(Manageable)
HP-UX Pinterest
IBM i(AS400) Rackspace
Juniper Salesforce
Linux Twitter
Mac OSX Website(Generic)
Palo Alto Networks Workday(Manageable)
RACF XING
Solaris
SonicOS
vSphere SSH
vSphere Web API
Windows SSH
Windows

 各製品ベンダーが現在サポートしているすべてのプラットフォーム・バージョンをサポートしますが、記載以外のものについてもお気軽にお問い合わせください。