Cyber-Ark PIM Enterprise Suite

セキュリティの要となる特権ID管理

世界トップ銀行の70%、Fortune50 の企業30%以上で採用

情報資産をセキュリティ脅威から防御するうえで、要となるのが特権IDの管理です。「標的型サイバー攻撃」の多くの事例では、攻撃者が情報システム管理者の使用する特権IDとパスワードを盗み、情報資産にアクセスしています。

Cyber-Ark PIM Enterprise Suiteは、管理対象のサーバ・機器類に分散している特権IDをエージェントレスで一元管理します。特権IDとその利用者、管理対象デバイスを一元管理することで、特権ID利用者の識別、操作の正当性評価が可能となります。
また、管理対象デバイスの管理作業も一元的に行えるため、管理負荷と運用・管理コストを削減できます。
パスワードを自動変更する機能や利用申請/承認機能に加え、特権ID利用者の操作を動画及びテキストで記録する機能（オプション）により、特権IDの不正利用の防止や安全な管理を実現するだけではなく、インシデント発生時の迅速な調査が可能となります。

PIM Enterprise Suiteの特徴

• 幅広いデバイスに対応
  サーバ, データベース, ネットワーク機器等に加え、アプリケーション、スクリプト、パラメータにハードコーディングされた特権IDを効率的に管理
• パスワードの自動変更
  ウイルス感染等でパスワード漏洩が発生した場合でも不正アクセスから特権IDを防御
• 申請/承認ワークフロー
  事前に許可されていない利用者の不正なアクセスを排除
• 特権ID利用者の操作内容を記録
  動画及びテキストで記録、インシデント発生時に迅速に対応可能
  Cyber-Ark管理対象外デバイスへのリモートログイン操作内容を記録（v7.1新機能）
  SCP, SFTP用IDの管理と操作内容の記録に対応、不正アクセスを排除（v7.1新機能）
  
• エージェントレス
  管理対象デバイスに追加ソフトウェアのインストールが必要ないため、展開が容易
• Webサービスのアカウント管理（v7.1新機能）
  SNS, クラウドサービス等で使用する管理アカウントへの安全なアクセスを実現
• ログを複数のSyslogサーバへ転送（v7.1新機能）
  ログサーバ障害時におけるCyber-Arkのログ消滅を防止

PIM Enterprise Suite製品群

Cyber-Ark Enterprise Suiteは、基本構成と3つのオプション製品で構成されます。

●Enterprise Password Vault（EPV）ー 基本構成
以下の3つのモジュールで構成

• Vault Server
  特権ID, パスワード, 特権ID利用者等の重要なデータを保管するデータベース
• Central Policy Manager（CPM）
  パスワードポリシーの管理とパスワードの変更
• Password Vault Web Access（PVWA）
  各管理対象デバイスへのシングルサインオンのためのWebポータルサイト

●Application Identity Manager（AIM）ー オプション製品
スクリプトやアプリケーション等にハードコーディングされた認証情報(アカウント及びパスワード)の管理

●Privileged Session Manager（PSM）ー オプション製品
動画及びテキストによる特権ID利用者の操作内容の記録

●On-Demand Privileges Manager（OPM）ー オプション製品
各特権ID及びスーパーユーザが利用できるコマンドの制御

特権ID管理の問題点とPIM Enterprise Suite

特権ID管理の問題点		PIM Enterprise Suite
企業ポリシーが徹底されていない ⇒ システムに対して、フルアクセスが可能な特権IDが脆弱な状態にある		パスワードポリシーの一元管理及管理デバイスへの適用の強制
特権IDを複数のユーザで共有している ⇒ 実際に特権IDを利用したユーザが不明になり、責任が不明確になる		Webポータルサイトを経由したアクセスにより、特権IDを利用したユーザの特定が可能
企業ネットワークには、多くのサーバ及びネットワークデバイスが存在し、それぞれ特権IDが設定されている ⇒人手による特権IDの変更（パスワード変更等）には、多大な時間が必要となる		特権IDを一元管理することにより、各デバイスに分散した特権IDを効率的に管理・運用
サーバ及びネットワークデバイスには、デフォルトの特権IDが設定されている ⇒ ブルートフォース等の危険にさらされる可能性が高くなる		パスワードポリシーに従って、特権IDのパスワードを定期的に変更することが可能
ハードコーディングされた特権IDは企業ポリシーの管理下から漏れる可能性がある ⇒ 企業ポリシーの管理下から漏れることにより、特権IDが脆弱なまま利用される危険性がある		ハードコーディングされた特権ID及びパスワードを取り除き、Enterprise Password Vaultと連携することで、ハードコーディングされていた特権IDの一元管理及び企業ポリシーの適用が可能
ハードコーディングされたパスワードは、長期間変更されない可能性がある ⇒ システムに対して、フルアクセスが可能な特権IDが脆弱な状態にある		特権ID及びパスワード管理をEnterprise Password Vaultで行うことで、パスワードポリシーに従い、パスワードが自動的、かつ定期的に変更することが可能
外部委託業者が特権IDを利用する際、特権IDの管理及び運用状況を把握することが難しい ⇒ 外部委託業者の不適切な特権ID管理及び運用により、特権IDが不正に利用されsる危険性がある		特権IDに関するすべてのアクティビティを記録することで、外部委託業者の特権ID利用状況を把握することが可能
スーパーユーザ権限を所有するユーザのコマンドに対するアクセス制御ができない ⇒ 不要なコマンドの実行権を所有しており、コマンドの不正利用等、内部脅威になる危険性がある		スーパーユーザであっても、コマンドに対するアクセス制御が可能であり、不要なコマンドの実行を拒否することが可能