Dell One Identity Safeguard for Privileged Passwords 1.0 評価ガイド Copyright© 2016 Dell Inc. All rights reserved. 本製品は、米国その他の著作権および知的所有権に関する法律によって保護されています。Dell™ および Dell のロゴは、 米国その他の管轄区域における Dell Inc. の商標です。IBM®、AIX®、および DB2® は International Business Machines Corporation の登録商標です。Windows® は米国その他における Microsoft Corporation の登録商標です。UNIX® は The Open Group の登録商標です。Linux® は米国その他における Linus Torvalds の登録商標です。SPARC は米国その他における SPARC International, Inc. の登録商標です。SPARC 商標を冠した製品は、Oracle Corporation が開発したアーキテクチャに基づい ています。Oracle®、Sun、Java®、および Solaris は Oracle またはその関連会社の登録商標です。その他、ここに掲載され ている商標および商標名は、それぞれ各社の商標および商標名または製品です。Dell は、自社以外の商標および商標名に 関する所有権を一切有しません。 凡例 注:注のアイコンは、手順に従わなかった場合、ハードウェアの損傷またはデータの損失につながる恐 れがあることを示しています。 警告:警告のアイコンは、物的損害、身体傷害、または死につながる恐れがあることを示しています。 重要、メモ、ヒント、モバイル、またはビデオ:情報アイコンは補足情報を示しています。 Dell One Identity Safeguard for Privileged Passwords 評価ガイド 更新 - 2016 年 1 月 ソフトウェアバージョン - 1.0 コンテンツ このガイドについて 1 Dell One Identity Safeguard for Privileged Passwords について 1 ソフトウェア評価の主要な機能 1 Safeguard for Privileged Passwords のセットアップ 3 初期インストール 3 ローカル管理者ユーザーの作成 6 通知のセットアップ 7 ローカルユーザーの作成 9 資産およびアカウントの追加 9 パスワードリクエストポリシーの作成 10 パスワードリクエストポリシーのテスト 13 エクササイズ 1:パスワードリクエストワークフローのテスト 13 エクササイズ 2:時間制限のテスト 15 エクササイズ 3:優先度のテスト 16 データの監査 19 監査データの作成 19 パスワードのアーカイブ 20 ログの確認および変更 20 履歴 21 アクティビティセンター 21 パスワードのリクエスト 22 レポート 22 Safeguard for Privileged Passwords の機能 24 管理者アクセス許可 25 パスワードリクエスト管理 27 診断 27 監査ツール 27 通知オプション 28 レポート 28 Active Directory 統合 29 サポートされるプラットフォーム 29 パーティションおよびプロファイル 30 SSH キーの設定 30 依存システムのパスワード管理 31 Safeguard for Privileged Passwords 1.0 評価ガイド i Dell Software について 32 Dell Software へのお問い合わせ 32 テクニカルサポート用リソース 32 インデックス 33 Safeguard for Privileged Passwords 1.0 評価ガイド ii 1 このガイドについて Dell One Identity Safeguard for Privileged Passwords 『評価ガイド』では、Safeguard for Privileged Passwords の主要な機能の自主的かつ実践的なデモが段階的に説明されています。また、独自のテストラボで特 権パスワード管理機能の POC (概念実証) を実行できます。 Dell One Identity Safeguard for Privileged Passwords について Dell One Identity Safeguard for Privileged Passwords は、ユーザーに各自の業務に必要な資格情報を付与 するプロセス全体の自動化、制御および保護を行うエンタープライズセキュリティ管理ソフトウェアです。 Safeguard for Privileged Passwords は、安全かつ堅牢なアプライアンスに展開されます。 最も攻撃を受けやすいが、見落とされがちな情報セキュリティの側面として、アプリケーションが相互にまたは データベースと通信するために必要な組み込みパスワードが挙げられます。Safeguard for Privileged Passwords では、ハードコードされたパスワードの代わりに、動的にアカウント資格情報を取得するプログラム 呼び出しが使用されるため、このセキュリティの脅威にさらされる可能性が減少します。 Safeguard for Privileged Passwords では、管理者が高いアクセス権限を要求すると (通常、UNIX® root パス ワードなどの共通資格情報を通じて行われる)、適切な承認により、確立されたポリシーに従ってアクセスが付 与され、必要に応じて返却直後にパスワードが変更されます。これは、古くからある「王国への鍵」問題に対す る、規則に準拠した安全かつ効率的なソリューションです。 ソフトウェア評価の主要な機能 次の機能についての詳細は、Safeguard for Privileged Passwords の機能を参照してください。 機能 説明 管理者アクセス許可 Safeguard for Privileged Passwords は、管理者アクセス許可セットを使用して ロールに基づいたアクセス制御階層を使用します。 パスワードリクエスト管 理 Safeguard for Privileged Passwords は、各管理対象アカウントを制御するパス ワードリクエストポリシーを実行することでアカウントパスワードへのアクセス を制御します。 診断 Safeguard for Privileged Passwords には、Safeguard for Privileged Passwords を展開して使用するときに発生する可能性のある問題を分析して診断 するのに役立つ優れたツールキットが用意されています。 Safeguard for Privileged Passwords 1.0 評価ガイド このガイドについて 1 機能 説明 監査ツール Safeguard for Privileged Passwords では、疑わしいアクティビティや悪意のあ るアクティビティを調べられるように、ユーザートランザクションを容易に分析 できます。 通知オプション Safeguard for Privileged Passwords では、イベント通知をメール、Syslog、 SNMP などの外部システムに送信するようにアプライアンスを設定できます。 レポート 選択したユーザーがアクセスできる資産およびアカウントを示す資格レポートを 表示してエクスポートします。 Active Directory 統合 Safeguard for Privileged Passwords では、Microsoft Active Directory など の外部 ID プロバイダをセットアップして管理できます。 サポートされるプラット フォーム Safeguard for Privileged Passwords は、さまざまなプラットフォームをサポー トしています。 パーティションおよびプ ロファイル Safeguard for Privileged Passwords では、管理対象システムを安全な作業領域 にグループ化して、管理を委任するように指定できます。 SSH キーの設定 Safeguard for Privileged Passwords では、SSH 認証をサポートする資産につい て、いくつかの SSH キーの生成および展開のオプションが用意されています。 依存システムのパスワー ド管理 Safeguard for Privileged Passwords は依存システムの更新を実行し、使用する すべてのシステムで依存アカウントのパスワードを保守します。 Safeguard for Privileged Passwords 1.0 評価ガイド このガイドについて 2 2 Safeguard for Privileged Passwords のセットアップ 次の手順に従って管理者の階層をセットアップし、会社で確実にロールベースのアクセス制御に準拠できるよう にします。この手順では、基本的なポリシーを作成するプロセスが段階的に説明されています。 l 初期インストール l ローカル管理者ユーザーの作成 l 通知のセットアップ l ローカルユーザーの作成 l 資産およびアカウントの追加 l パスワードリクエストポリシーの作成 メモ:ソフトウェア評価を簡素化するために、これらの詳細な手順は記載されていません。各機能の詳細 は、『Safeguard for Privileged Passwords』を参照してください。 管理者ガイド。 初期インストール ブートストラップ管理者は初期セットアップを実行します。 メモ:開始する前に、Microsoft .NET Framework© 4.6 (以降) が管理ホストにインストールされている ことを確認してください。 手順 1:インストールの準備 アプライアンスのインストールプロセスを開始する前に、次の項目を収集します。 1. ラップトップ 2. IPv4 アドレス 3. IPv4 サブネットマスク 4. IPv4 ゲートウェイ 5. DNS サーバーのアドレス 6. NTP サーバーのアドレス 7. Safeguard for Privileged Passwords ライセンス メモ:すでに Safeguard for Privileged Passwords を購入している場合、ライセンスファイルがメール で送信されています。メールを受信していない場合やメールの再送が必要な場合は、メッセージを Safeguard for Privileged Passwords 1.0 評価ガイド Safeguard for Privileged Passwords のセットアップ 3 [email protected] に送信してください。トライアルキーをリクエストする必要がある 場合は、リクエストを [email protected] に送信するか、(949) 754-8000 に電話してください。 手順 2:ラックへのアプライアンスの取り付け ハードウェア機器に付属する『ラックへの取り付け手順』のガイドを参照してください。 手順 3:アプライアンスの電源投入 Dell One Identity Safeguard for Privileged Passwords 1000 アプライアンスには、冗長 AC 電源を実現する ための二重電源装置が備わっており、高い信頼性が確保されています。 1. アプライアンスの背面にある電源ソケットに電源コードを差して、そのコードを AC コンセントに接続 します。 ヒント:信頼性を最大限に高めるために、2 つの電源コードを別々の回路のコンセントに接続し ます。 2. アプライアンスの前面パネルにある電源ボタンを押します。 手順 4:管理ホストとアプライアンスの接続 重要:アプライアンスが起動するまで 10 分ほどかかります。完全に起動するまで、このセキュアアプラ イアンスに ping したり、設定プロセスを完了したりすることはできません。 1. Ethernet ケーブルをラップトップからアプライアンスの背面にある MGMT ポートに接続します。 2. ラップトップの IP アドレスを 192.168.1.100、サブネットマスクを 255.255.255.0 に設定します。デ フォルトゲートウェイは設定しません。 MGMT:アプライアンスの初回設定を安全に行うために使用されます。 この IP アドレスは固定アドレスで、変更することはできません。これは、プライマリイ ンターフェイスが利用できなくなった場合に備えて常に利用できるようになります。 MGMT IP アドレス:192.168.1.105 X0:アプライアンスをインターネットに接続する「プライマリインターフェイス」。 プライマリインターフェイスの IP は、ネットワーク設定に合わせて変更する必要があり ます。 デフォルトの X0 IP:192.168.0.105 手順 5:Safeguard for Privileged Passwords へのログイン 1. ラップトップでブラウザを開き、MGMT ポートの IP アドレス https://192.168.1.105 に接続します。 メモ:設定インターフェイスへのアクセスに問題がある場合、ブラウザのセキュリティ設定を確 認するか、別のブラウザを使用してみてください。 2. 証明書を確認して続行します。 3. ブートストラップ管理者アカウントを使用して、Safeguard for Privileged Passwords Web クライアン トにログインします。 l ユーザー名:admin l パスワード:Admin123 4. プライマリインターフェイス (X0) を設定します。 a. [アプリケーション設定] ページで、次の設定を行います。 メモ: [編集] アイコンを選択して、これらのフィールドを変更します。 l [ネットワーク]:アプライアンスの IPv4/IPv6 アドレス情報を入力します。 l [DNS]:DNS サーバーのアドレス情報を入力します。 Safeguard for Privileged Passwords 1.0 評価ガイド Safeguard for Privileged Passwords のセットアップ 4 l [時間]:NTP を有効にしてプライマリを設定します。必要に応じてセカンダリ NTP サーバーも設定します。 手順 6:アプライアンスとネットワークの接続 1. Ethernet ケーブルをアプライアンスのプライマリインターフェイス (X0) からネットワークに接続し ます。 手順 7:Safeguard for Privileged Passwords の設定 1. Safeguard for Privileged Passwords Windows デスクトップクライアントアプリケーションをダウ ンロードします。 a. 画面の右上隅で、設定アイコンを選択します。 b. [アプリケーション設定] から、[Windows クライアントのダウンロード] を選択します。 c. [ファイルの保存] を選択します。 d. Client.Desktop.Setup.msi を[実行] します。 e. [ようこそ] ダイアログボックスで、[次へ] を選択します。 f. [使用許諾契約書] に同意し、[次へ] を選択します。 g. [をインストールする準備ができました] ダイアログボックスで、[インストール] を選択しま す。 h. [終了] を選択すると、ブラウザが閉じてデスクトップに戻ります。 2. Safeguard for Privileged Passwords を開始します。 a. Windows® のスタートメニューを開き、デスクトップクライアントを開始します。 b. サーバー選択画面で、ネットワーク経由でアプライアンスに接続するためのサーバーのネット ワーク DNS 名または IP アドレスを入力し、[接続] を選択します。 メモ:IPv6 アドレスは角括弧で囲む必要があります。 c. 証明書を確認して続行します。 d. ユーザーのログイン画面で、ブートストラップ管理者アカウントの資格情報を使用して [ログイ ン] を選択します。 3. デスクトップクライアントにライセンスを付与します。 デスクトップクライアントに初めてログインする場合、ブートストラップ管理者はライセンスを追加する ように求められます。 a. [ライセンス] ダイアログで、[ライセンスの追加] を選択します。 b. ライセンスファイルを参照して選択します。 手順 8:Safeguard for Privileged Passwords の更新 Safeguard for Privileged Passwords を初めてインストールする場合、 https://support.software.dell.com/ja-jp/one-identity-safeguard/1.0 から更新ファイルをダウンロードし て、最新の更新をインストールできます。 1. Safeguard for Privileged Passwords デスクトップの [ホーム] ページから、 [管理ツール] を 選択します。 2. [設定] を選択します。 3. [更新] を選択し、[更新] を 開きます。 Safeguard for Privileged Passwords 1.0 評価ガイド Safeguard for Privileged Passwords のセットアップ 5 4. [ファイルのアップロード] を選択し、更新ファイルを参照して選択します。 メモ:ファイルを選択すると、Safeguard for Privileged Passwords によって、そのファイルが サーバーにアップロードされますが、インストールはされません。 5. 更新ファイルをすぐにインストールするには、[今すぐインストール] を選択します。 6. 更新ファイルをインストールしたら、[更新履歴] で更新ファイルの詳細をレビューできます。 手順 9:管理者への「アクセス許可」の追加 1. Safeguard for Privileged Passwords デスクトップの [ホーム] ページから、 [管理ツール] を 選択します。 メモ:これは、パスワードリクエストポリシーを作成する必要のあるすべてのオブジェクト (ユーザー、 アカウント、および資産など) を追加する場所です。 2. [管理ツール] で、[ユーザー] を選択します。 3. アクションバーから [ユーザーの追加] を選択し、「ローカル」認証プロバイダおよび権限許可者 管理者アクセス許可が設定された Safeguard for Privileged Passwords ユーザーを作成します。 ユーザー名 パスワード アクセス許可 説明 AuthAdmin Test123 権限許可者 この管理者が Safeguard for Privileged Passwords へのすべての管理アクセスを付与し ます。 メモ:[権限許可者] アクセス許可を選択すると、Safeguard for Privileged Passwords[ユーザー] およ び [ヘルプデスク] アクセス許可も選択されます。これらの追加の設定は選択解除しないでください。 4. ログアウトします。 a. 画面の右上隅で、ユーザー画像のアイコンを選択します。 b. [ログアウト] を選択します。 手順 10:ローカルセキュリティポリシーの変更 Safeguard for Privileged Passwords で Windows システムのローカルアカウントパスワードをリセットできる ようにするには、ローカルセキュリティポリシーを変更する必要があります。 1. Windows のスタートメニューから、[ローカル セキュリティ ポリシー] を開きます。 2. [ローカル ポリシー] | [セキュリティ オプション] に移動します。 3. [ユーザー アカウント制御:管理者承認モードですべての管理者を実行する] オプションを無効にしま す。 4. コンピュータを再起動します。 ローカル管理者ユーザーの作成 デスクトップクライアントアプリケーションを正常にインストールしたら、パスワードリクエストポリシーを作 成する必要のあるオブジェクト (ユーザー、アカウント、および資産など) を追加する必要があります。職務 の分離 (SoD) の原則に従っている会社の場合、権限許可者管理者は、次の追加の管理者を作成する必要があり ます。 ローカル管理者ユーザーを追加するには Safeguard for Privileged Passwords 1.0 評価ガイド Safeguard for Privileged Passwords のセットアップ 6 1. AuthAdmin として Windows デスクトップクライアントアプリケーションにログインします。 2. [ホーム] ページから、 [管理ツール] に移動し、[ユーザー] を選択します。 3. 次のローカル管理者ユーザーを追加します。 ユーザー名 パスワード アクセス許可 説明 UserAdmin Test123 ユーザー この管理者がユーザーアカウントを管理 します。 AssetAdmin Test123 資産 この管理者が資産の追加、管理、および 削除を行います。 PolicyAdmin Test123 セキュリティポリ シー この管理者が、ユーザーがアクセスでき る資産やアカウントを制御するロールお よびポリシーを設計します。 ApplianceAdmin Test123 アプライアンス この管理者が、イベント通知を外部シス テムに送信するようにアプライアンスを 設定します。 監査人 Test123 監査人 この管理者がすべてのパスワードリクエ ストアクティビティをレビューします。 ログアウトする前に、Safeguard for Privileged Passwords でこれらのユーザーが追加されていることを確 認しましょう。 Safeguard for Privileged Passwords の監査ログを表示するには 1. [ホーム] ページから、 [アクティビティセンター] に移動します。 2. [ユーザー] として特定のユーザーを選択しないでください。 特定のユーザーを選択しなければ、Safeguard for Privileged Passwords によってすべてのユーザーア クティビティがレポートされます。 3. [タイミング] として [今日] を選択します。 4. [実行] を選択します。 5. 結果を調べます。 権限許可者管理者として、ユーザーに関する監査イベントのユーザー認証およびオブジェクト履歴を表示 できます(詳細は、25 ページの 管理者アクセス許可 を参照してください。を参照してください)。 6. ログアウトします。 通知のセットアップ Safeguard for Privileged Passwords からどのようにイベント通知が送信されるのかを実演するには、特定の イベントが発生したときに自動的にメール通知を送信するように Safeguard for Privileged Passwords を設定 する必要があります。このソフトウェア評価の目的を達成するために、パスワードリクエストを自動的に承認す るテンプレートをセットアップします。 メール通知をセットアップするには 1. ApplianceAdmin としてログインします。 2. [ホーム] ページから、 [管理ツール] に移動し、[設定] を選択します。 Safeguard for Privileged Passwords 1.0 評価ガイド Safeguard for Privileged Passwords のセットアップ 7 3. [設定] で、[外部統合] を選択し、[メール] を 開きます。 4. [メール] 通知を設定するには、すべての Safeguard for Privileged Passwords メールに対して次 の設定を入力します。 SMTP サーバーのアドレ ス メールサーバーの IP アドレスまたは FQDN を入力します。 SMTP ポート メールサービスの TCP ポート番号を入力します。 送信者のメール メールアドレスを入力します。 トランスポート層セ キュリティを必須とす る インターネット経由の通信の安全性を提供するために TLS を使用するよう に Safeguard for Privileged Passwords に求めるには、このオプションを 選択します。 メモ:メールエクスチェンジャレコード (MX レコード) を使用して いる場合、メールサーバーのドメイン名を指定する必要があります。 セットアップを検証するには 1. [メール設定のテスト] リンクを選択します。 2. [送信先] メールアドレスとして自分のメールアドレスを入力し、[送信] を クリック (またはタップ)。 Safeguard for Privileged Passwords では、この設定を使用してメールが送信されます。 メールテンプレートを設定するには グローバルメール設定を確認したら、メールテンプレートを作成できます。各テンプレートは、1 つのイベント タイプに対応します。イベントにより、テンプレートを使用するメール通知がトリガーされます。 1. [新規] を選択し、[メールテンプレート] 設定ダイアログボックスを開きます。 2. [パスワードリクエストが自動承認されました] イベントを選択し、次の情報を指定します。 件名 メールメッセージの件名行を入力します。 たとえば、次のような件名行を作成できます。 パスワードリクエストが自動承認されました 返信先 メールアドレスを入力します。 本文 メッセージの本文を入力します。 入力時に [イベントプロパティマクロの挿入] を選択して、事前定義済み のテキストを本文に挿入できます。たとえば、次のようなメールテンプレー トの本文を作成できます。 {{Requester}} が {{AssetName}} の {{AccountName}} のパスワード をリクエストしました。 Safeguard for Privileged Passwords により、二重中括弧内のマクロで定 義されたデータが生成されます。 メモ:事前定義済みのメールテンプレートを表示して、この機能の仕 組みを確認できます。 メールのプレビュー メールメッセージがどのように表示されるのかを確認するには、このリンク を選択します。 Safeguard for Privileged Passwords 1.0 評価ガイド Safeguard for Privileged Passwords のセットアップ 8 メモ: 各イベントタイプでは、そのイベントタイプに適した特定のマクロがサポートされていま す。マクロを挿入する代わりに、二重中括弧で囲まれたキーワードを使用して、件名行のテキス トにマクロを入力できます。ただし、イベントタイプでサポートされていないマクロは、 Safeguard for Privileged Passwords で無視されます。メールプレビューでは、サポートされて いないマクロが空白で表示されます。 3. ログアウトします。 ローカルユーザーの作成 ローカルユーザーには、管理者アクセス許可はありません。これらのユーザーには、パスワードをリクエストし たり、パスワードリクエストを承認したり、完了したパスワードリクエストをレビューしたりする権限を付与で きます。 メモ: このガイドのエクササイズは、ローカルユーザーだけでなく Active Directory ユーザーでも実 行できます。これを行うには、ディレクトリ、関連するディレクトリアカウント、およびディレクトリ ユーザーを追加する必要があります。(詳細は、29 ページの Active Directory 統合 を参照してくださ い。) ソフトウェア評価を簡素化するために、ローカルユーザーを使用することをお勧めします。パスワードリ リースワークフローは、実行するユーザーに関係なく同じですより現実的なユーザーエクスペリエンスを 得るために、テストラボの他のローカルユーザーを「要求者」、「承認者」、「レビュー担当者」にセッ トアップしたり、作成することが推奨される下記のテストユーザーを使用したりできます。 ローカルユーザーを作成するには 1. UserAdmin としてログインし、 [管理ツール] に移動します。 2. [ホーム] ページから、 [管理ツール] に移動し、[ユーザー] を選択します。 3. [ユーザー] で、アクションバーから [ユーザーの追加] を選択し、次の Safeguard for Privileged Passwords 非管理ユーザーを追加します。 ユーザー名 パスワード アクセス許可 説明 Joe Test123 なし パスワードをリクエストできる「要求者ユー ザー」。 Abe Test123 なし パスワードリクエストを承認できる「承認者 ユーザー」。 Ralph Test123 なし 過去の (完了した) パスワードリクエストをレ ビューできる「レビュー担当者ユーザー」。 Pete Test123 なし 委任されたパーティション所有者。 4. ログアウトします。 資産およびアカウントの追加 Safeguard for Privileged Passwords でシステムがどのように管理されるのかを確認できるように、システ ムを追加しましょう。 パーティション、資産、およびアカウントを Safeguard for Privileged Passwords に追加するには Safeguard for Privileged Passwords 1.0 評価ガイド Safeguard for Privileged Passwords のセットアップ 9 1. AssetAdmin としてログインし、 [管理ツール] に移動します。 2. [パーティション] で、アクションバーから ションを追加します。 [パーティションの追加] を選択し、次のパーティ パーティション 説明 委任された所有者 Linux サーバー Linux 管理者のワークスペース。 Pete Windows サーバー Windows 管理者のワークスペース。 なし a. 両方のパーティションの [プロファイル] タブで、パスワードチェックおよび変更の日次スケ ジュールを実行するようにデフォルトのプロファイルを設定します。 3. [資産] で、Linux および Windows サーバーを追加します。必ず適切なパーティションに配置してく ださい。 メモ:この概念実証 (POC) では、Safeguard for Privileged Passwords でどのように自動的に パスワードが変更されるのかを確認するために、実際のネットワークアドレス、サービスアカウ ント、およびパスワードを使用してテストラボの資産をセットアップします。 a. 資産を追加したら、[アカウント] タブに移動し、資産ごとに 1 つ以上のアカウントを追加し ます。 b. アカウントを追加したら、新しいアカウントを押したままにして (または右クリックして)、パ スワードを設定します。 4. ログアウトします。 パスワードリクエストポリシーの作成 Safeguard for Privileged Passwords によるアカウントパスワードの実際の管理を実演したので、パスワード をチェックアウトするためのルール (最大期間や必要な承認数など) を定義しましょう。 パスワードリクエストを制御するポリシーを作成するには 1. PolicyAdmin としてログインし、 [管理ツール] に移動します。 2. [設定] で、[グローバル] を選択し、次のパスワードリクエストの理由コードを追加します。 理由 説明 SU ソフトウェア更新 Sys Maint システムメンテナンス 3. [ユーザーグループ] で、次のユーザーグループを追加します。 ユーザーグループ 説明 ユーザー 承認者 パスワードリクエストを承認できるユーザー。 Abe 要求者 パスワードをリクエストできるユーザー。 Joe レビュー担当者 パスワードリクエストをレビューできるユー ザー。 Ralph Safeguard for Privileged Passwords 1.0 評価ガイド Safeguard for Privileged Passwords のセットアップ 10 a. [ユーザー] タブで、次のユーザーグループにユーザーを追加します。 4. [アカウントグループ] で、次のアカウントグループを追加します。 アカウントグループ 説明 Linux サーバーアカウント Linux マシンのアカウント。 Windows サーバーアカウント Windows マシンのアカウント。 a. [アカウント] タブで、各アカウントグループに適切なアカウントを追加します。 5. [ロール] で、次のロールを追加します。 メモ:ロールの時間制限は設定しないでください。 ロール 説明 Linux パスワードリクエスト Linux サーバーのパスワードリクエストを制御す るルール。 Windows パスワードリクエスト Windows サーバーのパスワードリクエストを制御 するルール。 a. [ユーザー] タブで、要求者ユーザーグループを両方のロールの「ユーザー」として追加します。 ロール「ユーザー」は、ロールのポリシーで制御されているアカウントに対してパスワードをリ クエストできるユーザーです。 b. [ポリシー] タブで、これらのロールの次のパスワードリクエストポリシーを作成します。 a. Linux パスワードリクエスト ロール: [全般] タブ: l l ポリシー名:Linux サーバーパスワードリクエストポリシー。 説明:Linux サーバーアカウントのパスワードリクエストのリクエスト、承認、お よびレビューを定義するルール。 [時間制限] タブ: l ポリシーの時間制限は設定しないでください。 [スコープ] タブ: l Linux サーバーアカウントグループ。 [要求者] タブ: l すべての理由を選択します。 l 理由を必須とします。 l コメントを必須とします。 l [リリース後にパスワードを変更] オプションを選択します。 l [要求者に期間の変更を許可] オプションを選択します。 [承認者] タブ: Safeguard for Privileged Passwords 1.0 評価ガイド Safeguard for Privileged Passwords のセットアップ 11 l 承認者ユーザーグループの 1 人のユーザーがパスワードリクエストを承認する ことを必須とします。 レビュー担当者: l レビュー担当者ユーザーグループの 1 人のユーザーが過去のパスワードリリース をレビューすることを必須とします。 緊急: l 緊急アクセスを有効にします。 b. Windows パスワードリクエスト ロール: [全般] タブ: l l ポリシー名:平日メンテナンスポリシー。 説明:平日の Windows サーバーアカウントのパスワードリクエストのリクエス ト、承認、およびレビューを定義するルール。 [時間制限] タブ: l ユーザーがこのポリシーのスコープ内で月曜日から金曜日のいつでもパスワードに アクセスできるようにします。 [スコープ] タブ: l Windows サーバーアカウントグループ。 [要求者] タブ: l 理由を選択したり、理由を必須としたりしないでください。 l コメントを必須としないでください。 l [リリース後にパスワードを変更] オプションを選択します。 l [要求者に期間の変更を許可] オプションを選択します。 承認者: l 承認者ユーザーグループの 1 人のユーザーがパスワードリクエストを承認する ことを必須とします。 [レビュー担当者] タブ: l レビュー担当者ユーザーグループの 1 人のユーザーが過去のパスワードリリース をレビューすることを必須とします。 [緊急] タブ: l 緊急アクセスを有効にしないでください。 6. セキュリティポリシー管理者としてデスクトップクライアントセッションにログインしたままで、次のエ クササイズに進みます。 Safeguard for Privileged Passwords 1.0 評価ガイド Safeguard for Privileged Passwords のセットアップ 12 3 パスワードリクエストポリシーのテス ト これで Safeguard for Privileged Passwords のセットアップが完了したので、作成したパスワードリクエスト ポリシーを確認します。 l エクササイズ 1:パスワードリクエストワークフローのテスト l エクササイズ 2:時間制限のテスト l エクササイズ 3:優先度のテスト エクササイズ 1:パスワードリクエスト ワークフローのテスト このエクササイズでは、レビューのリクエストから承認までのパスワードリリースワークフローを実演します。 メモ:テストラボから「要求者」、「承認者」、「レビュー担当者」としてユーザーをセットアップする 場合、各ユーザーはモバイルデバイスを使用して Web クライアントにログインします。モバイルデバイ スを利用できない場合、ユーザーは各自のワークステーションで Safeguard for Privileged Passwords デスクトップクライアントにログインします。 Active Directory ユーザーでこれらのエクササイズを実行することもできます。これを行うには、ディ レクトリおよび関連するディレクトリアカウントを追加するディレクトリ管理者を追加する必要がありま す。パスワードリリースワークフローは、実行するユーザーに関係なく同じです(詳細は、29 ページの Active Directory 統合 を参照してください。) Web アプリケーションを開始するには 1. ブラウザを開き、HTTPS://<アプライアンスの IP アドレス> に移動します。 2. それぞれ Joe、Abe、および Ralph としてログインし、Web クライアントの 3 つのインスタンスを 開始します。 メモ:または、1 つのデスクトップで 3 つのブラウザウィンドウを開いて並べて表示し、モバイルデバ イスをシミュレートすることもできます。「要求者」、「承認者」、「レビュー担当者」ユーザーとして として各インスタンスにログインします。 Safeguard for Privileged Passwords 1.0 評価ガイド パスワードリクエストポリシーのテスト 13 パスワードリリースプロセスをテストするには パスワードのリクエスト 1. 「要求者」ユーザーの Joe としてログインします。 2. [ホーム] ページで、[新しいリクエスト] を選択します。 l Linux アカウントと Windows アカウントをセットアップしている場合、それぞれからパスワー ドをリクエストします。 3. デフォルトのアクセスオプションを使用します。 l ポリシー設定でユーザー環境がどのように変化するのかに注目してください。 4. [リクエスト] を 開き、保留中のリクエストをレビューします。 パスワードリクエストの承認 1. 「承認者」ユーザーの Abe としてログインします。 2. [承認] を 開き、承認を待機しているリクエストをレビューします。 3. [承認/拒否] を選択し、Joe のパスワードリクエストを承認します。 パスワードのテストとチェックイン 1. Joe としてログインします。 2. パスワードが [利用可能] になったら、パスワードリクエストを開いて [パスワードの表示] を選択し、 画面でパスワードを確認します。 l 使用されたパスワードが Safeguard for Privileged Passwords によって変更されていることを 確認できるようにパスワードをメモします。 3. パスワードをコピーします。 4. コピーバッファのパスワードを使用して、テストサーバーにログインします。 5. テストサーバーからログアウトし、Safeguard for Privileged Passwords デスクトップに戻ります。 6. [チェックイン] を選択し、利用可能なすべてのパスワードリクエストのパスワードチェックアウト プロセスを完了します。 パスワードリリースのレビュー 1. 「レビュー担当者」ユーザーの Ralph としてログインします。 2. [レビュー] を 開き、レビューを待機しているリクエストをレビューします。 3. [レビュー] を選択し、Joe の最近のパスワードリクエストをレビューします。 4. [詳細] を開き、コメントを作成して、レビュープロセスを完了します。 緊急アクセスのリクエスト 1. Joe としてログインします。 2. Linux 資産のパスワードを再度リクエストします。今度は [緊急アクセス] オプションを使用します。 l パスワードがすぐに利用可能になります。これは、[緊急アクセス] では、承認がバイパスされ るためです。 Safeguard for Privileged Passwords 1.0 評価ガイド パスワードリクエストポリシーのテスト 14 3. パスワードが [利用可能] になったら、パスワードリクエストを開いて [パスワードの表示] を選択 します。 l 今回のパスワードは異なっていませんか?ポリシーで [リリース後にパスワードを変更] オプ ションが選択されていると、パスワードが使用されるたびに Safeguard for Privileged Passwords によって自動的に変更されます。 4. リモート資産\アカウントへの手動ログインに使用できるようにパスワードを[コピー]します。 5. リモート資産\アカウントに正常にログインしたら、テストサーバーからログアウトし、Safeguard for Privileged Passwords デスクトップに戻ります。 6. パスワードを [チェックイン] します。 パスワードリリースのレビュー 1. Ralph としてログインします。 2. [レビュー] を 開き、レビューを待機しているリクエストをレビューします。 エクササイズ 2:時間制限のテスト レビューのリクエストから承認までのパスワードリリースプロセス全体を確認したので、ロールおよびポリシー の時間制限がどのようにパスワードリクエストに影響するのかを実演しましょう。 メモ: ロールの時間制限によって Safeguard for Privileged Passwords がいつポリシーを使用するかが決ま り、ポリシーの時間制限によってユーザーがいつアカウントパスワードにアクセスできるかが決まりま す。ロールとポリシーの両方で時間制限がある場合、ユーザーは重複している期間のパスワードをチェッ クアウトすることしかできません。 時間制限は、ユーザーのタイムゾーンに関してロールまたはポリシーがいつ有効になるかを制御します。 Safeguard for Privileged Passwords アプライアンスは協定世界時 (UTC) で実行されますが、ユーザー のタイムゾーンによってロールまたはポリシーの時間制限セットが決まります。つまり、アプライアンス とユーザーのタイムゾーンが異なる場合、Safeguard for Privileged Passwords はポリシーをユーザー のアカウントプロファイル内のタイムゾーンセットで実施します。 時間制限をテストするには ロールの時間制限 1. PolicyAdmin として、[ロール] に移動します。 2. Linux パスワードリクエストロールの [全般] タブに移動します。 3. 月曜日から金曜日の昼食時間にのみユーザーがパスワードにアクセスできるように、ロールの [時間制 限] を設定します。 4. 昼食時間以外に Joe として、5 分間の Linux アカウントのパスワードをリクエストします。 a. Safeguard for Privileged Passwords でこのパスワードをチェックアウトできましたか?現時点 では、ロールの時間制限により、パスワードをリクエストできません。 5. リクエストを[キャンセル] します (または [ホーム] ページに戻ります)。 Safeguard for Privileged Passwords 1.0 評価ガイド パスワードリクエストポリシーのテスト 15 ロールの有効期限 1. PolicyAdmin として、Linux パスワードリクエストロールの [時間制限] を月曜日から金曜日の 8:00 a.m. ~ 5:00 p.m. に設定します。 2. [時間制限] で、このロールが現時点から 1 分後に失効するように設定します。 3. ロールが失効するまで待機します。 l Safeguard for Privileged Passwords の通知が表示されましたか? 4. Joe として、Linux アカウントのパスワードをリクエストします。 a. アカウントをチェックアウトできません。Safeguard for Privileged Passwords では、失効した ロールに関連付けられているアカウントをチェックアウトすることはできません。 5. PolicyAdmin として、[時間制限] から有効期限を削除し、ロールの [時間制限] は適用したままにし ます。 6. Joe として、Linux アカウントのパスワードをリクエストします。 l Linux パスワードリクエストアカウントのパスワードをリクエストできるようになっていること を確認します。 7. リクエストを[キャンセル] します (または [ホーム] ページに戻ります)。 ポリシーの時間制限 1. PolicyAdmin として、ユーザーが月曜日から金曜日の 8:00 a.m. ~ 5:00 p.m. にパスワードにアクセス できるように平日メンテナンスポリシーの [時間制限] を設定します。 2. Joe として、日曜日の 2:00 p.m. の Windows アカウントのパスワードをリクエストします。 l 平日メンテナンスポリシーで日曜日のアカウントのチェックアウトが許可されていないため、こ のリクエストは拒否されます。 3. リクエストを[キャンセル] します (または [ホーム] ページに戻ります)。 エクササイズ 3:優先度のテスト Safeguard for Privileged Passwords では、パスワードリリースに使用するポリシーの決定にロールとポリ シーの両方の優先度が考慮されます。Safeguard for Privileged Passwords では、まずロールの優先度が考慮 され、次にそのロール内のポリシーの優先度が考慮されます。 優先度をテストするには ロールの優先度 ロールの優先度をテストするには、アカウントが 2 つの異なるロールで制御されている必要があります。 1. PolicyAdmin として、[ロール] に移動します。 2. Linux パスワードリクエストロールの優先度が #1 になっていることを確認します。 メモ:Safeguard for Privileged Passwords では、ロール名の下に優先度番号が表示されます。 3. [アカウントグループ] で、Windows アカウントを Linux サーバーアカウントグループに追加します。 Safeguard for Privileged Passwords 1.0 評価ガイド パスワードリクエストポリシーのテスト 16 4. Joe として、日曜日の 9:00 a.m. の Windows アカウントのパスワードをリクエストします。 a. [理由] および [コメント] は必須ですか?その場合、Safeguard for Privileged Passwords で は Linux パスワードリクエストロールが使用されます。Windows パスワードリクエストロールで は [理由] または [コメント] は要求されません。 b. [時間制限] により、このパスワードをチェックアウトできませんでしたか?Linux パスワードリ クエストロールでは、月曜日から金曜日の 8:00 a.m. ~ 5:00 p.m. にしかパスワードをチェッ クアウトできません。 5. リクエストを[キャンセル] します。 6. PolicyAdmin として、これらのロールの優先度を変更して (Windows パスワードリクエストの優先度を #1 にする)、このテストを再度実行し、別の結果になるかどうかを確認します。 a. [理由] および [コメント] は必須ですか?そうでない場合、Safeguard for Privileged Passwords では、[理由] または [コメント] を要求しない Windows パスワードリクエスト ロールが使用されます。 b. [時間制限] により、このパスワードをチェックアウトできませんでしたか?平日メンテナンス ポリシーロールでは、月曜日から金曜日の 8:00 a.m. ~ 5:00 p.m. にしかパスワードを チェックアウトできません。 7. このテストを終了する前に、優先度を元に戻し、Linux サーバーアカウントグループから Windows ア カウントを削除します。 ポリシーの優先度 ポリシーの優先度をテストするには、アカウントが、同じロール内の 2 つのポリシーのスコープに含まれてい る必要があります。 1. PolicyAdmin としてログインし、 [管理ツール] に移動します。 2. [ロール] で、この新しいポリシーを Windows パスワードリクエストロールに追加します。 [全般] タブ: l l ポリシー名:日曜メンテナンスポリシー。 説明:日曜日の Windows サーバーアカウントのパスワードリクエストのリクエスト、承認、およ びレビューを定義するルール。 [時間制限] タブ: l ユーザーが日曜日にのみパスワードをチェックアウトできるようにします。 [スコープ] タブ: l Windows サーバーアカウントグループ [要求者] タブ: l すべての理由を選択します。 l 理由を必須とします。 l コメントを必須とします。 l [リリース後にパスワードを変更] オプションを選択します。 l [要求者に期間の変更を許可] オプションを選択します。 [承認者] タブ: Safeguard for Privileged Passwords 1.0 評価ガイド パスワードリクエストポリシーのテスト 17 l 1 人のユーザーがパスワードリクエストを承認することを必須とし、Abe アカウントを選択しま す。 [レビュー担当者] タブ: l 1 人のユーザーが過去のパスワードリリースをレビューすることを必須とし、Ralph アカウント を選択します。 [緊急] タブ: l 緊急アクセスを有効にします。 3. 平日メンテナンスポリシーの優先度が #1 になっていることを確認します。 4. Joe として、日曜日の 9:00 a.m. の Windows アカウントのパスワードをリクエストします。 a. パスワードリクエストの [理由] を追加できますか?追加できない場合、Safeguard for Privileged Passwords では、[理由] または [コメント] が有効になっていない平日メンテナン スポリシーが使用されます。 b. [時間制限] により、このパスワードのチェックアウトができませんでしたか?平日メンテナンス ポリシーでは、日曜日のパスワードのリクエストが許可されていません。 5. リクエストを[キャンセル] します。 6. PolicyAdmin として、これらのポリシーの優先度を変更して (日曜メンテナンスポリシーの優先度を #1 にする)、このテストを再度実行し、別の結果になるかどうかを確認します。 a. パスワードリクエストの [理由] を追加することが必須ですか?その場合、Safeguard for Privileged Passwords では、日曜メンテナンスポリシーが使用されます。平日メンテナンスポリ シーでは、[理由] または [コメント] が有効になっていません。 b. [時間制限] により、このパスワードのチェックアウトができませんでしたか?日曜メンテナンス ポリシーでは、日曜日のパスワードのリクエストが許可されています。 7. このテストを終了する前に、ポリシーの優先度を元に戻します。 8. リクエストをキャンセルし、ログアウトします。 Safeguard for Privileged Passwords 1.0 評価ガイド パスワードリクエストポリシーのテスト 18 4 データの監査 いくつかのパスワードリクエストアクティビティを実行したので、トランザクションデータを監査できます。 アプライアンスは Safeguard for Privileged Passwords 内で実行されるすべてのアクティビティを記録しま す。どの管理者も監査ログ情報にアクセスできますが、管理者アクセス許可セットによってどの監査データにア クセスできるかが決まります。 Safeguard for Privileged Passwords では、トランザクションアクティビティを監査する方法がいくつか用 意されています。 オプション 説明 パスワードのアーカイブ 特定の日付のアカウントの前のパスワードにアクセスします。 ログの確認および変更 アカウントのパスワード確認を表示し、履歴をリセットします。 履歴 選択した項目に影響を与えた各操作の詳細を表示します 。 アクティビティセンター 特定の日付のユーザーのアカウントを検索してレビューします。 パスワードのリクエスト リクエストからパスワードリリースワークフローを監査して、特定のパスワード リクエストをレビューするように承認します。 レポート 選択したユーザーがアクセスできる資産およびアカウントを示す資格レポートを 表示してエクスポートします。 このセクションのエクササイズでは、Safeguard for Privileged Passwords の監査機能を実演します。開始す る前に、パスワードチェックおよび変更アクティビティを作成しましょう。 監査データの作成 次の手順を実行して、パスワードチェックおよび変更履歴を Safeguard for Privileged Passwords の監査ログ に追加し、アカウントパスワードを手動で確認およびリセットする方法について学習します。 パスワードチェックおよび変更アクティビティを実行するには 1. AssetAdmin としてログインし、 [管理ツール] に移動します。 2. [アカウント] で、アカウントを選択します。 3. アクションバーから [アカウントセキュリティ] メニューを開きます。[パスワードの確認]、[パス ワードのリセット]、および [パスワードの設定] の 3 つのオプションが表示されます。 メモ:アカウントのコンテキストメニューでもこれらと同じオプションを利用できます。 Safeguard for Privileged Passwords 1.0 評価ガイド データの監査 19 4. アカウントのパスワードを確認します。 メモ:タスクを開始すると、タスクペインが開きます。タスクペインで管理ツールが見えなくならないよ うに、デスクトップクライアントコンソールのサイズを変更できます。 [パスワードの確認] オプションでは、アカウントパスワードが Safeguard for Privileged Passwords データベースと同期しているかどうかが確認されます。このアクションは成功します。 5. アカウントのパスワードをMypass01に[設定] します。 [パスワードの設定] オプションでは、アプライアンスではなく、Safeguard for Privileged Passwords データベースのアカウントパスワードが手動で設定されるため、現時点では同期しません。 6. アカウントのパスワードを確認します。 アカウントパスワードが Safeguard for Privileged Passwords データベースと同期していないため、 [パスワードの確認] オプションは失敗します。 7. アカウントのパスワードを[リセット] します。 [リセット] オプションでは、新しアカウントパスワードが作成され、Safeguard for Privileged Passwords データベースで同期されます。 8. アカウントのパスワードを再度[確認] します。 このタスクは成功します。 次のエクササイズのために、AssetAdmin としてログインしたままにします。 パスワードのアーカイブ [パスワードのアーカイブ] では、特定の日付のアカウントの以前のパスワードにアクセスできます。 アカウントの以前のパスワードにアクセスするには 1. [アカウント] で、使用していたアカウントを選択します。 2. アクションバーから [パスワードのアーカイブ] を選択します。 3. [パスワードのアーカイブ] ダイアログボックスで、今日の日付を選択します。 4. [表示] 列で、 を選択し、指定した日付のパスワードを表示します。 5. パスワードを [コピー] するか、[OK] を選択してダイアログボックスを閉じます。 6. パスワードのアーカイブを[終了] すると、[アカウント] に戻ります。 次のエクササイズのために、AssetAdmin としてログインしたままにします。 ログの確認および変更 各アカウントには、[ログの確認および変更] タブがあります。このタブでは、アカウントのパスワード確認お よびリセット履歴を表示できます。 アカウントの変更履歴を表示するには 1. [アカウント] で、使用していたアカウントを選択します。 2. [ログの確認および変更] タブを選択し、パスワードの変更履歴を表示します。 Safeguard for Privileged Passwords 1.0 評価ガイド データの監査 20 3. 結果を調べます。[ステータス] または [時間] で項目をソートします。 次のエクササイズのために、AssetAdmin としてログインしたままにします。 履歴 各 管理ツールには [履歴] タブがあります。このタブでは、選択した項目に影響を与えた各操作の詳細を表示 またはエクスポートできます。 アカウントのトランザクション履歴を表示するには 1. [資産] で、管理対象システムを選択します。 2. [履歴] タブを選択し、トランザクション履歴を表示します。 3. トランザクションを選択して、その詳細を表示します。詳細を閉じるには、CTRL キーを押しながらク リックします。 4. 各 管理ツール ([アカウント]、[資産]、[パーティション]、[ユーザー] など) には、[履歴] タブ があります。 5. ログアウトします。 アクティビティセンター [アクティビティセンター] は、問題のトラブルシューティングを行う場所です。アプライアンスは Safeguard for Privileged Passwords 内で実行されるすべてのアクティビティを記録します。どの管理者も 監査ログ情報にアクセスできますが、管理者アクセス許可セットによってどの監査データにアクセスできるかが 決まります。 アクティビティレポートを実行するには 1. 監査人としてログインします。 メモ:監査人は、すべての機能に読み取り専用アクセスできます。 2. [ホーム] ページから、 [アクティビティセンター] に移動します。 3. [ユーザー] の横で、特定のユーザーを選択しないでください。 特定のユーザーを選択しなければ、Safeguard for Privileged Passwords によってすべてのユーザーア クティビティがレポートされます。 4. [タイミング] の横で、[今日] を選択します。 5. [実行] を選択します。 6. 結果を調べます。監査イベントを選択して詳細を表示できます。詳細を閉じるには、CTRL キーを押しな がらクリックします。 列フィルタをテストするには 1. [ユーザー] 列フィルタを開き、[資産管理者] を選択します。 2. 最も遅い時間が先頭に表示されるようにレコードをソートします。 Safeguard for Privileged Passwords 1.0 評価ガイド データの監査 21 3. [パスワード管理] イベントを選択して開きます。 4. [詳細] を 開き、タスクの詳細を表示します。 次のエクササイズのために、監査人としてログインしたままにします。 パスワードのリクエスト [パスワードのリクエスト] では、特定のパスワードリクエストのレビューのリクエストから承認までのパス ワードリリースワークフローを監査できます。 リクエストのパスワードワークフローを表示するには 1. 監査人として、Safeguard for Privileged Passwords デスクトップの スワードのリクエスト] を選択します。 [ホーム] ページから [パ 2. パスワードリクエストを押したままに (または右クリック) し、[ワークフローの表示] を選択して、レ ビューのリクエストから承認までのパスワードリリースワークフロートランザクションを表示します。 3. ロール名を 開き、そのロールに関する詳細情報 ([時間制限] や必要な承認数およびレビュー数な ど) を表示します。 4. [詳細の表示] を選択し、そのパスワードリクエストのリクエスト、承認、およびレビューに関する詳細 情報を表示します。 次のエクササイズのために、監査人としてログインしたままにします。 レポート レポート により、監査人は選択したユーザーがアクセスできる資産およびアカウントを示す資格レポートを 表示してエクスポートできます。 Safeguard for Privileged Passwords は、次のような資格レポートを提供します。 資格提供者 説明 ユーザー 選択したユーザーが要求できるアカウントに関する情報をリストします。 資産 選択した資産に関連付けられたアカウントおよびこうしたアカウントを要求する 権限を持つユーザーに関する情報をリストします。 アカウント 選択したアカウントを要求する権限を持つユーザーに関する情報をリストしま す。 レポートを実行するには 1. 監査人として、Safeguard for Privileged Passwords デスクトップの ポート を選択します。 [ホーム] ページから [レ 2. [資産] ごとに資格を表示するように選択します。 3. すべての資産を[参照] して選択します。 4. 資産を選択して、詳細を表示します。 5. [合計アカウント数] タブと [ユーザー] タブの両方を表示します。 Safeguard for Privileged Passwords 1.0 評価ガイド データの監査 22 6. 結果から項目を選択し、ユーザーおよびアカウントに関する詳細にドリルダウンします。 7. [エクスポート] を選択して、選択した場所に検索結果のファイルを作成します。 8. ログアウトします。 これで、このガイドのエクササイズは完了しました。このソフトウェア評価にご参加頂きありがとうございま す。ご満足頂ければ幸いです。ご自身で Safeguard for Privileged Passwords を試し、フィードバックをご提 供いただきますようお願いいたします。 Safeguard for Privileged Passwords 1.0 評価ガイド データの監査 23 5 Safeguard for Privileged Passwords の機能 評価で使用できる Safeguard for Privileged Passwords の機能を次に示します。 機能 説明 管理者アクセス許可 Safeguard for Privileged Passwords は、管理者アクセス許可セットを使用して ロールに基づいたアクセス制御階層を使用します。 パスワードリクエスト管 理 Safeguard for Privileged Passwords は、各管理対象アカウントを制御するパス ワードリクエストポリシーを実行することでアカウントパスワードへのアクセス を制御します。 診断 Safeguard for Privileged Passwords には、Safeguard for Privileged Passwords を展開して使用するときに発生する可能性のある問題を分析して診断 するのに役立つ優れたツールキットが用意されています。 監査ツール Safeguard for Privileged Passwords では、疑わしいアクティビティや悪意のあ るアクティビティを調べられるように、ユーザートランザクションを容易に分析 できます。 通知オプション Safeguard for Privileged Passwords では、イベント通知をメール、Syslog、 SNMP などの外部システムに送信するようにアプライアンスを設定できます。 レポート 選択したユーザーがアクセスできる資産およびアカウントを示す資格レポートを 表示してエクスポートします。 Active Directory 統合 Safeguard for Privileged Passwords では、Microsoft Active Directory など の外部 ID プロバイダをセットアップして管理できます。 サポートされるプラット フォーム Safeguard for Privileged Passwords は、さまざまなプラットフォームをサポー トしています。 パーティションおよびプ ロファイル Safeguard for Privileged Passwords では、管理対象システムを安全な作業領域 にグループ化して、管理を委任するように指定できます。 SSH キーの設定 Safeguard for Privileged Passwords では、SSH 認証をサポートする資産につい て、いくつかの SSH キーの生成および展開のオプションが用意されています。 依存システムのパスワー ド管理 Safeguard for Privileged Passwords は依存システムの更新を実行し、使用する すべてのシステムで依存アカウントのパスワードを保守します。 Safeguard for Privileged Passwords 1.0 評価ガイド Safeguard for Privileged Passwords の機能 24 管理者アクセス許可 Safeguard for Privileged Passwords では、IT 部門の資産 (管理対象システム) を確実に制御できるよう に、ロールベースのアクセス制御階層が使用されます。これらは、ユーザーに割り当てることができる一連の管 理者アクセス許可です。 Table 1: 管理者アクセス許可セット 管理者 企業におけるロール 権限許可者管理者 これは「アクセス許可」管理者です。 権限許可者管理者アクセス許可を持つ Safeguard for Privileged Passwords ユーザーは、IT 部門の資産に 対するすべての管理アクセスの計画および付与を行い ます。 一般に、企業にはその IT 資産に対するすべての管理 アクセスの計画作成および付与の最終的な責任を負う チームがあります。多くの場合はセキュリティチーム ですが、必ずしもそうとは限りません。 ユーザー管理者 ユーザー管理者は、Safeguard for Privileged Passwords におけるユーザーアカウントの管理を行い ます。 ユーザー管理者は、「ローカル」Safeguard for Privileged Passwords ユーザーを作成したり Safeguard for Privileged Passwords を Microsoft Active Directory などの既存の ID ストアと統合し たりできます。 一般に、企業には IT 部門内に企業内のユーザーアカ ウントの管理を行うチームがあります。このチームは 多くの場合、企業のユーザープロビジョニングワーク フローを設計して管理します。 このチームには多くの場合、ユーザー管理タスクを支 援するヘルプデスクがあります。 ユーザー管理者はヘルプデスク管理者権限を他のユー ザーに付与できますが、資産やセキュリティポリシー の管理はできません。 ヘルプデスク管理者 ヘルプデスク管理者は、ユーザー管理者アクセス許可 の一部を持ちます。この管理者は、非管理アカウント のパスワードをリセットしますが、アカウントの作成 や削除はできません。 ヘルプデスクチームは一般に、ユーザーパスワードの リセットや無効化されたアカウントの有効化などのタ スクでユーザー管理者を支援します。 アプライアンス管理者 アプライアンス管理者は Safeguard for Privileged Passwords ライセンス、更新、バックアップを管理し ます。この管理者は、イベント通知を syslog、メー ルゲートウェイ、SNMP サーバーなどの外部システム に送信するようにアプライアンスも設定します。 アプライアンス管理者は権限を他のユーザーに付与で きません。 一般に、企業にはデータセンター内のアプライアンス を管理し、パフォーマンス、ハードウェア、ネット ワークの問題に対するトラブルシューティングを行う 担当者がいます。 この担当者は企業のセキュリティ組織の一員である場 合もありますが、企業のセキュリティポリシーの所有 や管理はしません。 操作管理者 操作管理者は、アプライアンス管理者アクセス許可の 一部を持ちます。 一般に、企業にはアプライアンス管理者がアプライア ンスステータスを監視するのを支援する操作マネー Safeguard for Privileged Passwords 1.0 評価ガイド Safeguard for Privileged Passwords の機能 25 管理者 企業におけるロール このアクセス許可を持つユーザーはアプライアンスを 再起動してアプライアンス情報を監視できます。 ジャがいます。 このユーザーは単方向ユーザーの場合があります。つ まり、システムパフォーマンスおよびステータス情報 を監視する自動化スクリプトや外部監視システムで す。 監査人 監査人は Safeguard for Privileged Passwords のす べてを読み取り専用で確認できますが、変更を行う権 限は持ちません。 一般に、企業には内部と外部両方の監査に関する需要 を満たすために必要な情報を提供するチームがありま す。 資産管理者 資産管理者は、Safeguard for Privileged Passwords 内で資産の追加、管理、および削除を行います。 資産管理者は、資産やアカウントのグループを作業領 域にパーティション化してこれらのグループの管理を 「パーティション管理者」に委任できます。 資産管理者は資産を管理できますが、セキュリティポ リシーにはアクセスできません。 このロールの管理者は次のような質問に答えられると 考えられます:どのように Safeguard for Privileged Passwords を資産に接続する必要がある か (どのポートおよびプロトコルを使用する必要があ るか)?どのサービスアカウントを使用する必要があ り、どのように認証を行う必要があるか? 一般に、企業には IT 管理を行う多くのチームがあり ます。これらのチームには多くの場合、管理するオペ レーティングシステムによって定義される境界があり ます。 たとえば、UNIX® 管理者、Windows® 管理者、ネット ワーク管理者、ディレクトリ管理者などがいます。こ れらのチームは、ビジネスに不可欠なサービスをホス トする基盤となるオペレーティングシステムの展開お よび保守を行います。 ディレクトリ管理者 ディレクトリ管理者は Microsoft Active Directory などの外部ディレクトリをセットアップして管理しま す。 一部の組織では、Microsoft Active Directory など の外部 ID プロバイダを使用してユーザーを認証して います。 ディレクトリ管理者は、パスワードリクエストポリ シーで使用できるようにディレクトリアカウントを追 加するなど、Microsoft Active Directory の統合お よび同期を設定して管理します。また、この管理者は パスワード確認を制御して各ディレクトリに割り当て られたアカウントの設定および使用するアカウントパ スワードルールの設定をリセットするプロファイルの 管理も行います。 セキュリティポリシー管理者 セキュリティポリシー管理者はユーザーがアクセスで きる資産やアカウントを制御するロールおよびポリ シーの設計を行います。 一般に、企業には価値のある IT 資産を保護するため のソリューションの設計および展開を担当するセキュ リティチームがあります。 たとえば、セキュリティチームは一般に権限が付与さ れたパスワードへのアクセスに事前承認が必要かどう Safeguard for Privileged Passwords 1.0 評価ガイド Safeguard for Privileged Passwords の機能 26 管理者 企業におけるロール か、どれだけの期間パスワードを使用できるか、どの ユーザーがどのパスワードにアクセスできる必要があ るかを定義するポリシーの作成を行います。 パスワードリクエスト管理 Safeguard for Privileged Passwords では、必要になるまでアカウントパスワードを保存することで管理アカ ウントを安全に制御でき、権限を持つユーザーにのみリリースします。その後、Safeguard for Privileged Passwords は設定可能なパラメータに基づいてアカウントパスワードを自動的に更新します。 一般に、パスワードリクエストはこのワークフローに従います。 1. リクエスト:ロールの権限を持つ「ユーザー」として指定されたユーザーは、そのロールのポリシーのス コープでアカウントのパスワードを要求できます。 2. 承認:セキュリティポリシー管理者がポリシーをどのように構成するかによって、パスワードリクエスト では 1 人以上の Safeguard for Privileged Passwords ユーザーによる承認が必要になる場合もあれ ば、自動で承認される場合もあります。このプロセスによってアカウントパスワードのセキュリティが確 保され、アカウンタビリティが得られ、システムアカウントを二重制御できます。 3. レビュー:セキュリティポリシー管理者は、ポリシーのスコープのアカウントの完全なパスワードリクエ ストのレビューを必要とするように、任意でパスワードリクエストポリシーを設定できます。 診断 Safeguard for Privileged Passwords では、アプライアンスを展開して使用するときに発生する一般的な問題 の多くを解決するために次の機能が用意されています。 設定 説明 アプライアンス情報 アプライアンスに関する全般的な情報に加えて、そのパフォーマンス使用率およ びメモリ使用率を表示します。 サーバーの時刻 アプライアンスの時刻をローカルサーバーの時刻と同期し、NTP を有効化して、 プライマリおよびセカンダリの NTP サーバーを設定します。 サーバー DNS DNS サーバーアドレス情報を設定します。 サポートバンドル アプライアンスの問題の分析および診断を行うために、システムおよび設定に関 する情報を含むサポートバンドルを作成し、Dell Software サポートに送信しま す。 診断 アプライアンスで診断テストを実行します。 監査ツール アプライアンスは Safeguard for Privileged Passwords 内で実行されるすべてのアクティビティを記録しま す。どの管理者も監査ログ情報にアクセスできますが、管理者アクセス許可セットによってどの監査データにア クセスできるかが決まります。 Safeguard for Privileged Passwords 1.0 評価ガイド Safeguard for Privileged Passwords の機能 27 Safeguard for Privileged Passwords では、トランザクションアクティビティを監査する方法がいくつか用 意されています。 オプション 説明 パスワードのアーカイブ 特定の日付のアカウントの前のパスワードにアクセスします。 ログの確認および変更 アカウントのパスワード確認を表示し、履歴をリセットします。 履歴 選択した項目に影響を与えた各操作の詳細を表示します 。 アクティビティセンター 特定の日付のユーザーのアカウントを検索してレビューします。 パスワードのリクエスト リクエストからパスワードリリースワークフローを監査して、特定のパスワード リクエストをレビューするように承認します。 レポート 選択したユーザーがアクセスできる資産およびアカウントを示す資格レポートを 表示してエクスポートします。 通知オプション アプライアンス管理者は、イベント通知をこうした外部システムに送信するようにアプライアンスを設定できま す。 設定 説明 メール 特定のイベントが発生したときにメール通知を自動的に送信するように Safeguard for Privileged Passwords を設定します。 SNMP 特定のイベントが発生したときに SNMP トラップを SNMP コンソールに送信する ように Safeguard for Privileged Passwords を設定します。 Syslog イベントに関する詳細を含むイベント通知を syslog サーバーに送信するように Safeguard for Privileged Passwords を設定します。 レポート レポート により、監査人は選択したユーザーがアクセスできる資産およびアカウントを示す資格レポートを 表示してエクスポートできます。 Safeguard for Privileged Passwords は、次のような資格レポートを提供します。 資格提供者 説明 ユーザー 選択したユーザーが要求できるアカウントに関する情報をリストします。 資産 選択した資産に関連付けられたアカウントおよびこうしたアカウントを要求する 権限を持つユーザーに関する情報をリストします。 アカウント 選択したアカウントを要求する権限を持つユーザーに関する情報をリストしま す。 Safeguard for Privileged Passwords 1.0 評価ガイド Safeguard for Privileged Passwords の機能 28 Active Directory 統合 既存の Microsoft Active Directory インフラストラクチャを Safeguard for Privileged Passwords に利用で きます。Active Directory ユーザーおよびユーザーグループをインポートすると、Safeguard for Privileged Passwords はデータベース内のオブジェクトを Active Directory スキーマ属性と自動的に同期します。Active Directory でのユーザーおよびグループのメンバーシップの変更は Safeguard for Privileged Passwords で反 映されます。Active Directory ユーザーは Active Directory 資格情報を使用して Safeguard for Privileged Passwords を認証します。 Safeguard for Privileged Passwords は職務の分離の RBAC モデルをサポートしています。Active Directory 統合では、ディレクトリ管理者、ユーザー管理者、セキュリティポリシー管理者の 3 つの個別の ロールがあります。 l l l ディレクトリ管理者は、Safeguard for Privileged Passwords がディレクトリから読み取るために使用 する資格情報を指定することで、Active Directory を Safeguard for Privileged Passwords と統合し ます。また、パスワードリクエストポリシーで使用できるようにディレクトリアカウントも追加します。 ユーザー管理者はディレクトリユーザーおよびディレクトリグループを Safeguard for Privileged Passwords に追加します。 セキュリティポリシー管理者は Active Directory ユーザーおよびグループをパスワードリクエストポリ シーに割り当て、権限が付与されたパスワードにアクセスします。 サポートされるプラットフォーム Safeguard for Privileged Passwords は、さまざまなプラットフォームをサポートしています。 Table 2: サポートされるプラットフォーム プラットフォーム リリース アーキテクチャ AIX 6.1、7.1 PPC CentOS Linux 6 x86、x86_64 7 x86_64 Cisco IOS 12.X、15.x Cisco PIX 7.X、8.X Debian GNU/Linux 6、7 MIPS、PPC、x86、x86_64、 zSeries Fedora 21、22 x86、x86_64 HP-UX 11iv2 (B.11.23)、11iv3 (B.11.31) IA-64、PA-RISC IBM i 7.1、7.2 PPC Oracle Linux (OEL) 6 x86、x86_64 7 x86_64 OS X 10.9、10.10、10.11 x86_64 Red Hat Enterprise Linux (RHEL) 6 PPC、x86、x86_64、zSeries Safeguard for Privileged Passwords 1.0 評価ガイド Safeguard for Privileged Passwords の機能 29 7 Solaris 10、11 SonicOS 5.9、6.1 SUSE Linux Enterprise Server (SLES) 11 PPC、x86_64、zSeries IA-64、PPC、x86、x86_64、 zSeries 12 PPC、x86_64、zSeries Ubuntu 14.04 LTS、15.04 x86、x86_64 Microsoft Active Directory Windows Vista、7、8、8.1、10 Windows Server 2008、2008 R2、2012、2012 R2 パーティションおよびプロファイル 「パーティション」とは、管理を委任するための資産やアカウントのグループです。Safeguard for Privileged Passwords にパーティションを追加するのは資産管理者の役割です。パーティションを使用して、複数の資産マ ネージャをセットアップし、それぞれが独自のワークスペース内で管理されているシステムのパスワードガイド ラインを定義できるようにできます。一般に、資産は地理的な場所、所有者、機能、またはオペレーティングシ ステムごとにパーティション化します。たとえば、Safeguard for Privileged Passwords ではパーティション 内の UNIX® 資産をグループ化して UNIX® 管理者に管理を委任できます。 パーティションの「プロファイル」とは、パーティション内のアカウントのセットのパスワードに関連した構成 設定のセットです。 新しいパーティションを作成すると、Safeguard for Privileged Passwords は対応するデフォルトパスワー ド管理プロファイルを作成します。複数のプロファイルを作成して、パスワードの確認を制御してパーティショ ンに割り当てられたアカウントの設定をリセットできます。資産とアカウントの両方がプロファイルのスコープ に割り当てられます。 たとえば、12 個のアカウントを含む資産があり、60 日ごとにパスワードを確認して変更するようにプロファイ ルを設定するとします。これらのアカウントのうち 1 つは 7 日ごとにパスワードが管理されるようにするた め、別のプロファイルを作成して個々のアカウントを新しいプロファイルに追加できます。こうすると、 Safeguard for Privileged Passwords は 7 日ごとに変更されるこのアカウントを除き、この資産のすべてのパ スワードを 60 日ごとに確認して変更するようになります。 SSH キーの設定 Safeguard for Privileged Passwords には、SSH 認証をサポートする資産について、次の 3 つの SSH キーの 生成および展開のオプションが用意されています。 1. SSH キーを自動的に生成して自動的に展開します。 2. SSH キーを自動的に生成して手動で展開します。 3. SSH キーをインポートして手動で展開します。 Safeguard for Privileged Passwords 1.0 評価ガイド Safeguard for Privileged Passwords の機能 30 依存システムのパスワード管理 ホストされるサービスやタスクを実行するために 1 つ以上の Windows® サーバーが Microsoft Active Directory アカウントを使用する場合、資産管理者はディレクトリアカウントと Windows サーバー間の依存関 係を設定できます。Safeguard for Privileged Passwords は依存システムの更新を実行し、使用するすべての システムで依存アカウントのパスワードを保守します。たとえば、Safeguard for Privileged Passwords がア カウントパスワードを変更する場合、このアカウントを使用するサービスやタスクが中断されないように、 Windows サーバーのすべての依存アカウントで資格情報を更新します。 Safeguard for Privileged Passwords 1.0 評価ガイド Safeguard for Privileged Passwords の機能 31 Dell について Dell Software に つ い て Dell はお客様の声に耳を傾け、お客様に信頼される革新的な技術、ビジネスソリューション、そしてサービス を世界中で提供しています。詳細は、www.software.dell.com/jp-ja を参照してください。 Dell Software へのお問い合わせ セールスその他に関するお問い合わせは、http://software.dell.com/jp-ja/company/contact-us.aspx を参照 するか、1-949-754-8000 までお電話ください。 テクニカルサポート用リソース 有効なメンテナンス契約を含む Dell ソフトウェアを購入したお客様、およびトライアルバージョンをお持ちの お客様はテクニカルサポートをご利用いただけます。サポートポータルにアクセスするには、 http://support.software.dell.com/ja-jp にアクセスしてください。 サポートポータルでは、24 時間 365 日、問題を 1 人で素早く解決するためのツールを提供しています。さ らにポータルでは、オンラインのサービスリクエストシステムを通じて製品サポートエンジニアと直接やり取り できます。 ポータルサイトでできること: l サービスリクエスト (ケース) の作成、更新、および管理 l ナレッジベース記事の確認 l 製品通知の取得 l ソフトウェアのダウンロード。トライアルソフトウェアを入手するには、「Trial Downloads」にアク セスしてください l ハウツービデオの確認 l コミュニティでの話し合いへの参加 l サポートエンジニアとのチャット Safeguard for Privileged Passwords 1.0 評価ガイド Dell Software について 32 インデックス インデックス ト トラブルシューティング なぜメールテンプレートのマクロが空白にな るのですか? 9 S トランザクション履歴 表示 21 ネ Safeguard インストール 3 Safeguard のセットアップ ネットワーク診断ツール 6 パ SSH キー 生成および展開のオプション 30 SSH キーの生成および展開のオプション ア 2, 24 パーティション 情報 30 パスワード アカウントパスワード リセット 20 [パスワードのアーカイブ] の表示 [ログの確認および変更] の表示 確認 20 リセット 設定 20 確認 20 設定 20 アカウント依存関係 情報 表示 25 アクティビティセンター 情報 21 アプライアンスの設定 情報 28 概要 20 13 プロファイル 情報 メ ディレクトリ メール 29 20 プ デ 情報 20 パスワードリリースワークフロー 25 アクセス制御 20 パスワードのアーカイブ 31 アクセス許可 情報 27 30 テンプレートのマクロ 9 Safeguard for Privileged Passwords 1.0 評価ガイド インデックス 33 レ レポート 情報 22, 28 ロ ロールベースのセキュリティ 25 ログの確認および変更 表示 20 依 依存アカウント 情報 31 依存システムの更新 2, 24, 31 時 時間制限 情報 15 職 職務の分離 6 設 設定 トラブルシューティング 27 履 履歴 履歴情報へのアクセス 19, 28 Safeguard for Privileged Passwords 1.0 評価ガイド インデックス 34
© Copyright 2024 Paperzz