AccessMatrix

特権ID管理ソリューション:AccessMatrix™ UCM

Overview

特権ユーザIDは非常に強い権限を持つにも関わらず、システム管理者の性善説により、セキュリティリスクの考慮から外されるケースがあります。ユーザ管理、アクセス管理に関していくら強固なセキュリティ対策を実現していたとしても、この特権ユーザIDが全てのセキュリティホールにつながってしまいます。

AccessMatrixUCMは、多種多様なシステムの特権IDのパスワードを一元的に保護・管理し、セキュリティと利便性の向上をはかるソリューションです。既存のシステム変更も一切不要ですので、短納期でのスムーズな導入が可能です。

 

製品特長

 

特権IDのパスワードを保護・管理

UnixやLinux、NonStopサーバなど各種OSやDB、各種アプリケーションの特権IDパスワードを保護し、セキュリティポリシーに則った適切な運用を実現します。

自動パスワード変更機能

特権IDの返却時、または申請された利用期間が過ぎると、パスワードを自動的に変更します。

管理対象サーバへの影響ゼロ

エージェントレスの製品であるため、特権ID管理の対象となるサーバへの影響が全く無く、短期間での導入が可能です。

スモールスタートでコストを抑える

一部の特権IDから始めるスモールスタートが可能です。コスト効率に優れ、管理対象IDの追加も短期間で行えます。

申請/承認ワークフローの提供

特権IDのパスワードは、Webで提供される申請/承認ワークフローを経てユーザに公開されます。

監査レポートの提供

申請/承認の履歴はすべてログとして保存され、監査レポートとして提供されます。

自動ログイン機能

承認された特権IDを使った自動接続制御を行うことが可能。パスワードをユーザに知らせない運用が可能です(オプション)。

特権IDの操作を動画で記録

特権IDによるオペレーションを動画で記録することが可能です。マウスの動きやGUIの遷移まで視覚的に確認できます(オプション)。

 

AccessMatrixUCMによる特権ID管理フロー

ucm-image

クリックすると拡大表示します

 

基本ワークフロー

 

1. 申請

申請からID払出しまで全てWebアプリケーション上で行われます。
利用者から承認者への申請通知、承認者から利用者への利用許可通知などの各イベントは設定によりメールで通知することができます。

ucm-flow1

クリックすると拡大表示します

 

2. 承認

承認者も利用者と同様にWebアプリケーションから承認を行います。

ucm-flow2

クリックすると拡大表示します

 

3. クレデンシャル情報の確認

承認者の承認により、利用申請していたIDとパスワードが利用者の画面に表示されます。

ucm-flow3

クリックすると拡大表示します

4. 返却と利用延長申請

目的の業務が終了したら、利用者はクレデンシャル(ユーザID/パスワード)の返却を行います。

ucm-flow4

クリックすると拡大表示します

5. パスワード自動リセット

クレデンシャルの返却が完了したら、パスワードのリセットを行います。
UCMサーバと対象サーバのネットワーク繋がっている場合はパスワードリセットを自動で行うことができます。
パスワードリセットが完了すると、再びクレデンシャルの申請が可能になります。

 

ucm-flow5-2

■自動パスワード変更対応OS/ミドルウェア

種別 名称

データベース

Oracle Database
Microsoft SQLServer
IBM DB2
PostgreSQL
※JDBC接続可能な環境が必要です

ディレクトリサービス

Microsoft Active Directory
Open LDAP 2.0/3.0

OS

HP HP-UX
HP NonStop server
IBM AIX
Sun Solaris
Windows Local Account
各種Linux系OS

※上表にないOS/データベース/アプリケーションは別途ご相談下さい

 

その他の機能

承認者の複数人設定・多段階設定

利用申請に対する承認者は複数人設定することが可能です。設定された承認者のいずれか1名が承認することで、利用申請が承認されます。
また承認をマネージャレベル、部長レベルの承認が必要であるというような多段階承認の設定も可能です。

万一の場合でもパスワード発行が可能に

万一サーバダウンやネットワーク障害が発生した場合でもUCMを使わずにパスワードを知ることが可能です。パスワードを知るためには、別のパスフレーズが必要となりますが、パスフレーズは通常、セキュリティ最高責任者や社長などによって管理されます。


時間外ワークフローによる承認

平日深夜帯や土日休日などの時間外の申請に対して、通常の承認者とは別の時間外承認者を設定することができます。時間外の申請は時間外承認者に通知されます。
時間外設定は、“毎週月曜日0:00〜9:00/18:00〜24:00” の様な設定が可能です。

対象サーバへの自動接続機能

別途USOライセンスをご購入いただきますと、パスワードの払い出し時に、リンクをクリックするだけで対象サーバに接続することが可能です(ユーザはパスワードを知らないで接続できますのでセキュリティレベルの向上に繋がります)。


承認を省略したパスワード払い出しを可能に

承認行為を必要としない設定も可能です(管理ID毎に設定可能)。申請できる権限をもっていれば、申請後承認なしでもパスワードの払い出しを受けることを可能にする運用ができます。申請履歴は残され、パスワードは自動変更されますので、申請時以外は使えないという状況を作ることができます。

監査ログ出力機能

IDの払出し状況を、いろいろな条件(時間、クレデンシャルの種類、承認・申請などのイベントタイプ)で検索、画面表示します。

 

このページのTOPへ>>