日本CA、アクセス管理ソフト新版-特権パスワードの一時貸し出しが可能に


CA Access Controlの概要。カーネルインターセプション技術でアクセス制御を行う

 日本CA株式会社は11月10日、アクセス管理ソフトの新版「CA Access Control r12.5 Premium Edition」を発表した。新版では新たな「特権ユーザーのパスワード貸し出し」機能を実装したのが特長。同日より販売を開始する。

 CA Access Controlは、サーバーOSにアクセスするユーザーが、どのシステムリソースにアクセスでき、特定の状況下でどのような操作を行えるかを制御する製品。ログも取得することで、企業のコンプライアンス強化を実現する。

 具体的には、「リソースアクセスの制限」「特権ユーザーIDの管理」「ログイン、経路の制限」「ログ管理とレポーティング」「Web UI」などの機能が提供される。

マーケティング部 プロダクトマーケティングマネージャーの金子以澄氏

 「リソースアクセスの制限」や「ログイン、経路の制限」で、ユーザー・グループごとにアクセスできるリソースや時間帯などをきめ細かく制御可能。加えて、「特権ユーザーIDの管理」で、「一般ユーザーが業務に使うリソースに、一般ユーザーはアクセス可、rootはアクセス不可といった制御も行える」(マーケティング部 プロダクトマーケティングマネージャーの金子以澄氏)。通常、全権限を持ってしまう管理者権限についても、不要な操作を制御できるのが1つの特長だ。

 「特権ユーザーIDの管理」ではこのほか、suコマンドの制御も実現。最初からrootでログインするより安全なsuコマンドにも、管理者パスワードを一般ユーザーに公開するリスクがつきまとう。そこでCA Access Controlでは、特定のコマンド実行時のみ別ユーザーの権限を与えて実行可能にする「sesuコマンド」を搭載。「suコマンドでユーザーを成り代わる必要がないため、パスワードを公開するリスクを低減できる」(金子氏)という。

 このほかレポーティングでは、suコマンド後の操作についても、rootとしてだけではなく、元のログインユーザーにひも付けてログを記録してくれるなど、特権ユーザーIDに関する統制を追求しているのがCA Access Controlの特長だ。

CA Access Controlの機能概要特権ユーザーのアクセス制御が可能なほか、sesuコマンドも搭載su後もログインユーザーIDでアクセスログを記録可能
PUPM利用の流れ
UNABの概要
UNABの構成イメージ

 新版では、これらに加え、特権ユーザーや共有ユーザーのパスワード貸し出し管理機能「PUPM(Privileged User Password Management)」を追加した。

 例えば、ユーザーがあるUNIXで特権IDを使用したい場合、PUPMサーバーにWeb GUIでアクセスし、パスワード発行申請を出す。承認者が承認すると、PUPMサーバーがワンタイムパスワードを自動生成。ユーザーは発行されたパスワードでUNIXにアクセスし、作業が終わった時点で、PUPMサーバーに特権IDを使い終わったことを登録する。この間、承認プロセスすべてをログに記録。特権IDパスワードを一時的な利用に限り、承認ベースで必要な時に発行することで、特権ユーザーの不正行為を防ぐことができるというわけだ。

 同機能は、管理対象先にCA Access Controlモジュールを入れないエージェントレスで利用が可能。だが、上の例でUNIXマシンに従来のCA Access Controlモジュールを入れておけば、承認プロセスから操作内容まで一貫したログを記録することも可能となる。管理対象はOSだけでなく、DBMS、ERPなどを含む。「今後はルータ・スイッチ、ストレージなど対象範囲を順次拡充していく予定」(金子氏)という。

 このほか、Active Directory(AD)に登録されているユーザー名とパスワードでUNIXホストにログインできるようにする新機能「UNAB(UNIX Authentication Broker)」も追加。ユーザーの管理はADのみで可能で、パスワードポリシーもAD上のイベントログとして残せる。同機能も、CA Access Controlモジュールなしで利用が可能となっている。

 さらにCA Access Control、PUPM、UNABを統合的に管理できるWebインターフェイスも用意。PUPM・UNABの新機能はいずれも、CA Access Controlモジュールを前提としない独立したコンポーネントとして利用できるが、併用した際にも一貫した管理体系でコントロールすることが可能となっている。

 なお、CA Access Controlによるアクセス制御では、広範なOS、広範な仮想化技術をサポートしている。さらにPUPMでDBMSやアプリケーション、ルータ・スイッチ、ストレージなどのカバレージを広げることで、物理・仮想化環境も含めてトータルな管理を実現する製品へと強化していく方針。

 参考価格は、250万円(5ライセンス)。




(川島 弘之)

2009/11/10 14:48