エンドポイントの管理

統合 PAM SC は、オープン システム向けのアクティブで統合的なセキュリティ ソフトウェア ソリューションで、オペレーティング システムと動的に連携します。ファイルのオープン、ユーザ ID の変更、ネットワーク サービスの取得など、セキュリティ保護が必要な操作をユーザが要求するたびに、イベントをリアルタイムでインターセプトできます。製品は操作の妥当性を検証してから、オペレーティング システム(OS)標準機能に制御を渡すことができます。
capamsc141
Privileged Access Manager
は、オペレーティング システムと動的に連携し、アクティブで統合的なセキュリティ ソリューションをオープン システムに提供するソフトウェアです。ファイルのオープン、ユーザ ID の変更、ネットワーク サービスの取得など、セキュリティ保護が必要な操作をユーザが要求するたびに、イベントをリアルタイムでインターセプトできます。製品は操作の妥当性を検証してから、オペレーティング システム(OS)標準機能に制御を渡すことができます。
Privileged Access Manager
では 2 つの方法で企業内のリソースを管理し、リソースにアクセスするユーザを制御することができます。
  • selang:
    Privileged Access Manager
    コマンド言語。
    selang コマンド言語を使用すると、
    Privileged Access Manager
    データベースで定義を行うことができます。selang コマンド言語は、コマンド定義言語です。
    注:
    selang の使用法の詳細については、「selang リファレンス」のセクションを参照してください。
  • Privileged Access Manager
    エンドポイント管理:
    エンドポイント管理のインターフェースです。
    この Web ベースのインターフェースでは、中央の管理サーバからリモートのエンドポイントを管理することができます。
    注:
    Privileged Access Manager
    エンドポイント管理のインストールの詳細については、「実装」のセクションを参照してください。
この記事には以下のセクションが含まれます。

Privileged Access Manager
について

Privileged Access Manager
は、ネイティブ プラットフォームのセキュリティ管理を行うための強力なツールを提供します。企業のセキュリティ要件に合わせてカスタマイズできるセキュリティ ポリシーの実装を可能にします。
Privileged Access Manager
を使用すると、ネイティブのオペレーティング システムでは実現できない強力なセキュリティをユーザ、グループ、およびリソースに対して提供できます。また、組織全体のセキュリティを集中管理し、マルチプラットフォーム環境において Windows と UNIX のセキュリティ ポリシーを統合できます。
UNIX に保護が必要な理由
多くのオペレーティング システムには、さまざまな技術を使用したアクセス制御機能が組み込まれています。定評のあるメインフレーム オペレーティング システムである IBM z/OS には、SAF (System Authorization Facility、システム許可機能)が組み込まれています。SAF は、ユーザの権限を確認するためにオペレーティング システム自体が発行する一連のコールです。
z/OS 環境では、アクセス制御ソフトウェアによって SAF コールのリターン コードが設定されます。z/OS はこのコードに従ってアクセスを許可または拒否します。設定されるリターン コードは、セキュリティ管理者がセキュリティ データベースに定義したアクセス ルールおよびアクセス ポリシーに基づいて決定されます。
OS/2 などの他のオペレーティング システムでも、アクセス制御のために同様の技術が使用されています。OS/2 の SES(Security Enabling Services)というアクセス制御モジュールは、z/OS の SAF と同じ概念に基づいています。
しかし、残念ながら、UNIX ベースのオペレーティング システムはこのように設計されていません。許可の決定は、主にファイル アクセスに対して行われます。これらの決定は、ファイルの
inode
エントリの 9 ビット(rwx-rwx-rwx)を使用して、オペレーティング システムによって行われます。SAF とは異なり、イベント インターセプトの exit ポイントは用意されていません。したがって、メインフレーム タイプのセキュリティ パッケージの機能より複雑なセキュリティ機能を実行するには、さらに高度なセキュリティが必要です。
保護の対象
UNIX で該当
Privileged Access Manager
には、アクセス ルール データベース、監査ログ、管理ツールなどの一般的なセキュリティ機能に加えて、保護の対象となるオペレーティング システム イベントをインターセプトする機能が用意されています。
Privileged Access Manager
は、さまざまなオペレーティング システムで動作する必要があるため、メモリ内のイベントをインターセプトします。システム ファイルは変更されないので、オペレーティング システムに対する変更はありません。
Privileged Access Manager
は、以下のエンティティを保護します。
  • ファイル
    特定のファイルにアクセスする権限があるか?
    Privileged Access Manager
    はファイルにアクセスするユーザの機能を制限します。ユーザに対して、READ、WRITE、EXECUTE、DELETE、RENAME などのアクセス権限を 1 種類以上与えることができます。個々のファイルに対して、または類似した名前を持つファイルの集合に対して、アクセス権限を指定できます。
  • 端末
    特定の端末を使用する権限があるか?
    このチェックは、ログイン プロセスで行われます。アクセス ルールを使用して、
    Privileged Access Manager
    データベースに個々の端末または端末グループを定義します。これらのルールにより、その端末または端末グループの使用を許可されているユーザまたはユーザ グループを指定できます。端末を保護することによって、強力な権限を持つユーザ アカウントのログインに未許可の端末が使用されることを確実に防止します。
  • サインオン時間
    ユーザには、特定の曜日の特定の時間にログインする権限があるか?
    通常、エンド ユーザは平日の勤務時間帯にのみ端末を使用します。そのため、平日の曜日と時間帯によるログイン制限、および休日のアクセス制限を行うことによって、ハッカーやその他の無許可のアクセサから端末を保護できます。
  • TCP/IP
    別のステーションがローカル コンピュータから TCP/IP サービスを受信するように許可されていますか? 別のステーションがローカル コンピュータに TCP/IP サービスを提供するように許可されていますか? 別のステーションがローカル ステーションのすべてのユーザからサービスを受信できますか?
    オープン システムは、コンピュータとネットワークの両方がオープンであるシステムです。オープン システムの長所は、同時に短所でもあります。コンピュータがいったん外部に接続されると、故意にしろ過失にしろ、外部ユーザがシステムに侵入したり、そのユーザが行った行為が損害をもたらしたりする危険が発生します。
    Privileged Access Manager
    には、「ファイアウォール」が用意されており、ローカルの端末やサーバが不特定の端末へサービスを提供することを防止します。
  • 複数ログイン権限
    ユーザは他の端末からログインできるか?
    同時ログイン
    とは、ユーザが複数の端末からシステムにログインできることを意味します。
    Privileged Access Manager
     では、1 人のユーザが複数の端末から同時にログインすることを防止できます。この保護によって、すでにログインしているユーザのアカウントに侵入者がログインすることを防止できます。
  • ユーザ
    定義エンティティ
    標準エンティティ(TCP/IP サービスや端末など)および機能エンティティの両方を定義して保護できます。機能エンティティとは、トランザクションの実行やデータベース内のレコードへのアクセスなどの
    抽象
    オブジェクトのことです。
  • 管理者権限
    Privileged Access Manager
    には、管理者権限をオペレータに委任する方法、および管理者権限自体を制限する方法が用意されています。
  • ユーザ ID
    の置換
    ユーザには、そのユーザ ID を一時変更する権限があるか?
    UNIX の
    setuid
    システム コールは、オペレーティング システムが提供するサービスの中で最も慎重に扱うべきサービスの 1 つです。
    Privileged Access Manager
    はこのシステム コールをインターセプトし、サブアクションの実行権限がユーザにあるかどうかを判断します。ユーザ ID の置換権限のチェックには Program Pathing などが使用されます。Program Pathing では、ユーザが特定のプログラムを使用している場合にのみ、ユーザ ID の置換が許可されます。このチェックは、root ユーザになって root のアクセス権を取得できるユーザを制御する際に特に重要です。
  • グループ ID
    の置換
    ユーザには、newgrp (グループ ID の置換)コマンドを実行する権限があるか?
    グループ ID の置換の保護は、ユーザ ID の置換の保護に似ています。
  • setuid プログラムおよび setgid プログラム
    特定の setuid プログラムまたは setgid プログラムを信頼できますか? ユーザには、このプログラムを実行する権限がありますか?
    セキュリティ管理者は、setuid または setgid 実行可能ファイルとなっているプログラムをテストし、これらのプログラムにアクセス権の不正取得に利用される可能性があるセキュリティ ホールがないことを確認できます。テストで安全とみなされたプログラムは、trusted プログラムとして定義されます。
    Privileged Access Manager
    の自己防衛機能モジュール(
    Privileged Access Manager
    watchdog
    ともいう)は、ある特定の時点で制御の対象になっているプログラムを認識します。モジュールは、そのプログラムが、trusted と分類されると、変更または移動されたかどうかをチェックします。trusted プログラムが変更または移動された場合、その時点で trusted とはみなされなくなり、
    Privileged Access Manager
    はそのプログラムの実行を許可しません。
さらに、
Privileged Access Manager
は、以下のような作為的または偶発的な脅威に対して防御を行います。
  • 強制終了
    重要なサーバやサービス、またはデーモンを強制終了から保護します。
  • パスワード攻撃
    さまざまなタイプのパスワード攻撃からパスワードを保護します。サイトのパスワード定義ポリシーを適用し、パスワードの盗用による侵入を検知します。
  • 不適切なパスワード
    十分な品質のパスワードを作成して使用することをユーザに強制するルールを定義します。ユーザが作成して使用するパスワードが確実に基準に適合した状態にするために、
    Privileged Access Manager
    では、最長および最短のパスワード有効期限の設定、特定の語句の使用制限、文字の繰り返しの禁止、およびその他の制限事項の適用を行うことができます。パスワードを長期間継続して使用することは認められません。
  • アカウント管理
    休止状態のアカウントの適切な処理を保証します。
  • ドメイン管理
    NIS ドメインおよび NIS 以外のドメインの両方にわたってパスワード保護を実装してセキュリティを強化します。