1. HOME
  2. ID Inspector

ID Inspector

共有IDの実操作者を特定・記録する本人確認ソリューション

システム管理の操作者を特定することの重要性

システム管理業務は管理者権限を持つ特権IDを使用します。特権IDはシステムに対して、設定変更や、データベースへの直接アクセスなど、強力な権限を有します。そのため、特権IDの濫用がシステムトラブルや機密情報の漏えいなどの問題につながるリスクがあります。

実際に特権ID管理の不備を起因とする問題が発生しており、IT統制上、特権IDの統制は重要な取り組みです。統制の原則として、①過剰な権限を付与しない、②使用者が誰かを特定する、③作業内容(操作内容)を記録し、濫用がなかったかを点検するといった取り組みが挙げられます。

これまでのアプローチの課題

一般的にITシステムでは、IDとパスワードによってユーザーを識別し、そのユーザーが使用できる権限に応じて機能やアクセス範囲を設定します。IDはユーザーの設定と権限制御の両方に影響を与えることになります。

この考え方は有効なアクセス統制に思えますが、実現場では以下のような理由により、支障が生じることがあります。

アカウントが切り替えできない

24時間365日稼働する重要システムの保守で、システム運用要員が24時間365日、システム監視業務を行うケースでは、アカウントの切り替え時にシステム監視ができなくなるため、勤務交代の際にログオン、ログオフができません。このような環境では共有のアカウントを使用するケースが多く、システム上、誰が実際の作業者であったかを特定することが困難になります。

管理者権限が固定されている古いアプリケーション

古い設計で開発されたアプリケーションでは特定のアカウントにのみ管理者権限を設定する仕様になっているケースがあります。この場合、複数の管理者が存在していても、同一の管理者アカウントを使用せざるを得ず、作業者の特定が困難になります。

個人に権限を割り当てると、権限管理がかえって煩雑になってしまう

大量のサーバーに対し、多くの作業者が交代で作業が行うケース。このような場合、対象の各サーバーに、作業するユーザーすべてに固有の特権IDを作成すると、管理対象のアカウント数そのものが膨大になってしまい、管理が煩雑になってしまいます。
例えば、150台のサーバーで構成されるシステムを約30人の保守担当者が作業を行う体制の場合、管理対象のアカウント数は4,500アカウントになります。

ID Inspectorのコンセプト

ID Inspector(IDI)は以下のようなコンセプトによって、前項のような課題を解決します。

権限と作業者の特定を分離して別々に管理

OSやアプリケーションの認証とは別に、その時点の作業者を特定する「本人確認」だけを行う機能を提供することで、OSやアプリケーションで行う認証ロジックの仕様や運用上の仕組みで発生してしまう問題点を解決します。

  • OS上の作業者をログオン、再ログオンすることなく特定
  • 古い設計のアプリケーションを改修することなく、IT統制に対応
  • 大勢の作業者の個別IDを作成し管理する煩雑さから解放

常に必要なタイミングで確認

OSやアプリケーションの認証は使用開始時に求められ、認証後は一定の手続きや時間が経過するまで、同一の認証下にあるとみなされる仕様になっています。
IDIは、ユーザー操作の内容を監視し、重要な情報へのアクセスや重要な業務を行う際、本人確認を行うよう設定することが可能です。これにより、重要な操作に対する注意喚起と、成り代わり防止を行うことで、よりセキュアなシステム管理環境を提供します。

常に必要なタイミングで確認

IDIの導入効果

IT統制への対応

IDIは、IT全般統制の要ともいえるシステムの管理者権限(特権ID)の管理を強化します。
アカウント上は、特定のユーザーを識別することができない共有型の特権アカウントは、通常ですと作業者の特定ができず、操作内容のトレースが困難なため、使用を控える必要があります。
IDIを利用すると、共有IDを使用する作業者の特定をし、その記録を蓄積することにより、トレーサビリティを高めることが可能です。
しかも、アプリケーションの認証の仕組みを改修したり、運用方法を大きく変える必要がございません。

情報セキュリティ対策

IDIは、以下のような環境を提供することにより、共有ID使用に伴うセキュリティリスクを低減させることが可能です。

トレーサビリティの向上

IDIは、共有IDを使用しながら、その作業者を特定し、記録として蓄積することで、共有IDの使用の際のトレーサビリティを高めます。これにより問題発生時に誰がその操作を行ったのかを特定し、早期の対策を実施することが可能となります。

注意喚起による
使用者の意識づけによる抑止効果

IDIの提供する条件設定による本人確認要求は、その操作の重要性をオペレーターに知らせる注意喚起の効果を発揮し、結果として意図的な不正操作やケアレスで発生する誤操作の抑止効果が期待できます。

二要素認証と同等の
セキュリティレベル

IDIが持つ、スマートカードによる本人確認を併用することで、二要素認証と同じレベルでの本人確認の精度を保証します。
IDIで本人確認ができなければ、操作ができない状態が保証されますので、結果としてアプリケーションをカスタマイズすることなく、二要素認証と同じセキュリティレベルを提供する解釈にもなります。

管理コストの削減

IDIの共有IDに対する本人確認機能を利用すれば、権限は同一であるにもかかわらず、作業者の特定を行うためだけに、多くのユーザーの個人IDを作成しなければならない大規模なシステムの保守・運用業務に対して、効率化を行う効果を提供します。
IDIによって、本人確認用のディレクトリサービスを一か所に集中させ、管理対象のサーバーには、最小限の共有IDだけを作成し、管理する方法が選択可能となり、管理すべき対象のアカウント数そのものを大幅に減少させることができます。

ID Inspectorをもっと知りたい方へ

IDI製品カタログ

IDI製品カタログ

詳しくはこちら

お問い合わせ

弊社製品・サービスに関するご相談はこちら

お問い合わせはこちら
弊社製品をご検討中のお客様および製品をご提案されるベンダー様向けに製品トライアルを受け付けております。無償でお試しいただけますので、是非お申込ください。
トライアルはこちら