Password Manager Pro

ManageEngine「Password Manager Pro」(マネージエンジン「パスワード・マネージャー・プロ」)は、ITリソース(サーバー/ネットワーク機器/データベース)の特権ID利用申請ワークフロー、パスワードの自動更新、操作画面の録画機能等を提供し、企業のセキュリティリスク低減に寄与するソフトウェアです。 Visit:

「低コスト/簡単運用」を追求した特権ID管理ソフト| Password Manager Proの実力/総コスト感は?

この記事の所要時間: 約 2分

アカウントやデータベースの管理、ネットワーク機器の設定変更等において高い権限を有する特権IDは、悪用されると甚大な被害につながります。サイバー攻撃が横行する昨今、このような脅威はあらゆる規模の企業/組織が実感しているのではないでしょうか。

しかし、これまでの特権ID管理ツールは、大手金融機関や重要システムを対象とした、高価運用負荷の高いものばかりでした。そのため、ツールによる特権ID管理をあきらめ、セキュリティレベルの低さを看過したり、紙台帳等での不十分な管理にとどめたりする企業も少なくありませんでした。

以下の資料では、このような課題を解決するために開発されたソフトウェア「Password Manager Pro(パスワード マネージャー プロ)」の概要についてご紹介しています。

選ばれる理由は「低コスト」- 特権ID管理ソフト Password Manager Pro製品概要資料

<目次>
■ Password Manager Proとは:導入実績とポジショニング
■ 低コストの理由:総コストの比較や実際の価格
■ 主要機能:申請/承認フロー、操作画面の録画、パスワードの自動変更…他
■ 説明/デモ依頼窓口:訪問やオンライン対応が可能なご相談窓口
■ 参考資料/各種お問い合わせ:関連資料や事例記事等、関連情報まとめ

 

【国内トップクラスの導入実績】

2014年から日本語版を提供し、近年は同分野において国内トップクラスの導入実績を達成しているPassword Manager Pro。…

Password Manager Pro , セキュリティ 1 min read

Password Manager Pro 9.4の新機能をご紹介!

この記事の所要時間: 約 2分

特権ID管理ソフト「ManageEngine Password Manager Pro」は、2017/12/25からビルド9.4を提供開始しました。

とは……

Password Manager Pro 1 min read

【JPCERT/CC提唱】 管理専用端末を用いたセキュアな運用(後編)

この記事の所要時間: 約 2分

 

本投稿の前編では、JPCERT/CCが発行している資料をもとに管理専用端末の必要性についてご説明しましたが、後編では、弊社製品を使用した場合におけるソリューションについてご紹介します。

 

Password Manger ProとADAudit Plusを併用した対策

 
Password Manger Proとは、特権ID利用時の「申請/承認フロー」「操作画面の録画」「パスワードの非表示運用/自動更新」機能などを提供するツールであり、本製品を踏み台としてITリソースへアクセスすることで、特権IDへのアクセス経路を一本化することが可能です。今回の場合、特権IDとは管理者アカウント(例:Administrator)を指しますが、管理者アカウントを使用したドメインコントローラーへのアクセスをPassword Manger Proサーバーに限定し、管理専用端末として位置付けることで、JPCERT/CCが提唱しているような運用を可能とします。また、Password Manger Proを踏み台としてドメインコントローラーへアクセスすることで、操作内容はすべて動画として記録されるため、内部からドメインコントローラーに対して怪しい操作をしていないかということを、後ほど簡単に確認することができます。

▼ Password Manger Proの申請/承認ワークフロー

このように、管理専用端末としてPassword Manger Proサーバを設置することにより、そこからのドメインコントローラーへのアクセスが「本来の挙動」となり、それ以外のサーバーからのドメインコントローラーへのアクセスは「不審な挙動」となります。この「不審な挙動」については、ログ監査ツールのADAudit Plusを使用して検知を行います。

図2 Password Manger ProとADAudit Plusを用いた運用ルール

ADAudit Plusは、Active Direcory監査に特化したツールであり、リアルタイムにイベントログを収集、解析して200以上の定義済みレポートから参照することができるため、イベントログの知識がない方でも監査を行うことが可能なツールとなります。本製品を使用して不審な挙動を検知する場合、以下の2つの方法が挙げられます。…

ADAudit Plus , Password Manager Pro 1 min read

【JPCERT/CC提唱】 管理専用端末を用いたセキュアな運用(前編)

この記事の所要時間: 約 2分

ドメイン参加しているコンピューターがドメイン認証を使用してログオンする場合、まずはドメインコントローラーと通信を行い、認証をおこなう必要があります。しかし、外出先などでドメインコントローラーにアクセスできない環境の場合でも、一時的にドメインユーザーを使用して端末にログオンすることができるように、Windowsではログオン資格情報をキャッシュして保持しています。ログオンのキャッシュ機能が有効になっている場合、ログオンに成功したときの資格情報が、デフォルトで10個までキャッシュされます。そして10個を超えた場合、古いものから削除され、常に最新10個の情報が有効となります。

この機能があることにより、ドメインコントローラーと通信ができない環境でも、ドメインユーザーを使用したログオンが可能となります。それは、利用者にとっては便利な機能となりますが、場合によっては危険を伴う可能性があります。例えば、ドメイン参加している端末に不正侵入されてしまった際に、キャッシュ情報から、管理者アカウントの情報まで盗まれてしまうというリスクが考えられます。

そこで、JPCERT/CCでは、管理者アカウントを使用してドメインコントローラーに接続し、管理を行う端末を「管理専用端末」として限定して運用する方法を推奨しています。以下では、JPCERT/CCが提供している資料をもとに管理専用端末設置の必要性についてご説明します。

 

管理者専用端末設置の必要性

管理者アカウントの認証情報が保持されている端末はサイバー攻撃の対象となりやすいため、管理者専用端末を用意し、管理者アカウントを使用したドメインコントローラーやサーバーの管理を、専用端末に限定する方法が推奨されています。さらに、ファイアウォールやルータなどを使用して、管理専用端末の通信先を制限することで、サイバー攻撃のリスクをより軽減することが可能です。以下の図は、Microsoft社が推奨しているセグメント化の例となります。

図1 セグメント化の例

 

● DCセグメント
ドメインコントローラーおよびドメイン管理者権限を使用する端末(管理専用端末)だけを設置
● サーバセグメント
インターネットに公開しない重要なサーバおよび各サーバの管理専用端末だけを設置
● クライアントセグメント
一般ユーザが使用する業務用端末を設置

※ JPCERT/CC 「ログを活用したActive Directoryに対する攻撃の検知と対策」より引用

しかし、セグメントごとにファイアウォールを設置し、それぞれをきちんと管理していくことは、すべての企業にとって容易なことではありません。そこで、JPCERT/CCの資料には、補足として以下の内容が記載されています。

前提条件を満たすのが難しい場合は、運用ルールで制限することによって一定の効果が期待できる
注)前提条件‥ファイアウォールやルータを使用して、管理専用端末からのインターネット接続を必要最小限に制限する

 

弊社では、「運用ルールで制限」という部分について、特権ID管理ツールであるPassword Manger Proと、ログの監査ツールであるADAudit Plus

ADAudit Plus , Password Manager Pro 1 min read

「コスパの良い特権ID管理」その理由|Password Manager Pro

この記事の所要時間: 約 4分

Password Manager Pro(パスワード マネージャー プロ)」は、ManageEngineが提供する特権ID管理ソフトです。

事例取材や製品のヒアリングを行う際、お客様からは「他と比較してコストパフォーマンスが高かったので購入を決めた」というコメントをよく頂きます。本日は、その具体的な理由についてご紹介します。

※記事の最後には、特権ID管理ツールのシステム要件比較シート(DL資料)を掲載しています。


【シンプルだけど必要な機能がそろっている(やりたい事ができるから購入する)】

「安かろう、悪かろう」という言葉がありますが、この言葉はケースバイケースです。

例えば、いくら高性能でも、普通の人はF1レースカーに大金を払おうとは思わないでしょう。乗りこなせないばかりか、日々のメンテナンスも大変で、コストばかりに圧倒されてしまうからです。

近所のスーパーに買い出しに行ったり、たまのレジャーを楽しむくらいであれば、小型の乗用車で十分です。この場合「自分にとって扱い易いか」を確かめた後は、ひたすら価格・燃費・耐久性の良さを追求するはずです。

Password Manager Proの場合は、後者の「小型乗用車」だと思えば理解し易いかもしれません。シンプルだけれど本当に必要な機能が標準搭載されているからこそ、「やりたいことができる」「この価格なら購入する」という評価を頂くことができています。


【特権ID管理、3つのマスト機能】

では、実際に特権ID管理を始める企業にとって、どのような機能が必要とされているのでしょうか。以下に、人気の高いPassword Manager Proの機能をご紹介します。

(1)特権ID利用時の「申請/承認」フロー機能 
(2)操作画面の録画機能
(3)パスワードの非表示運用/自動変更機能

特権IDを複数人で共有したり、外部委託者へ貸し出したりする場合、「いつ/誰が/何を」するか分からない事が、とても大きな問題となります。こっそり不正を行っても誰の仕業か分からないため、内部犯行や外部攻撃者の温床となるばかりか、いざ障害が起きた際の原因究明も困難になるからです。

上記の機能「1:申請/承認フロー」を活用することで、特権ID利用ユーザーはシステム部長やセキュリティ責任者等の承認を得るまでITリソースへログオンができない制度を導入できます(※誰が申請し、だれが承認したかの履歴は、あとから一覧で見られます)。

▼特権IDの申請/承認ワークフローをご紹介▼

また、機能「3:パスワードの非表示運用」により、申請者には「パスワードを見せずに」ITリソースへログインさせられるので、パスワードを暗記して後からこっそり使うという事もできません。

▼※パスワード欄を「******」という非表示の状態で固定して運用できます▼

最後に、お客様から最もご好評いただいているのが機能「2:操作画面の録画」です。Password …

Password Manager Pro , セキュリティ 1 min read

9/29締切!サイバーセキュリティ対策促進助成金:知りたいポイントまとめ

この記事の所要時間: 約 3分

2017年7月末、東京都および東京都中小企業振興公社は、都内の中小企業サイバーセキュリティ対策を行う際の支援の一環として、必要な設備等の導入経費の一部を助成する旨を発表しました。

報道発表:サイバーセキュリティ対策促進助成金

当助成金制度は、本日(2017年9月1日)より申請の受付が開始されました。受付締切は9月29日に設定されており、スケジュールとしてはタイトです。

弊社の確認では、助成金の財源は東京都で、このような実施は今年度(2018年3月末まで)では今回限りとのこと。また、来年度以降については、検討予定だが未定だそうです。セキュリティ対策を実施したくとも予算面に限りがある企業にとっては大きなチャンスですが、一方で、申請期限や財源枠について考えると狭き門でもあります。ご検討中の方は、ぜひ迅速な申請をお勧めいたします。

以下で、助成金を申請するにあたって知っておきたいポイントをまとめます。

【助成対象「中小企業」とは?】

助成金の対象となっている「中小企業」とは、中小企業基本法(昭和38年法律第154号)第2条に規定する中小企業者のことで、業種によって定義が異なります。これについては、下記をご参照ください。


・製造業その他:資本金の額又は出資の総額が3億円以下の会社、常時使用する従業員の数が300人以下の会社及び個人

・卸売業:資本金の額又は出資の総額が1億円以下の会社、常時使用する従業員の数が100人以下の会社及び個人

・小売業:資本金の額又は出資の総額が5千万円以下の会社、常時使用する従業員の数が50人以下の会社及び個人

・サービス業:資本金の額又は出資の総額が5千万円以下の会社、常時使用する従業員の数が100人以下の会社及び個人


ちなみに、大企業が株主となっているような以下のケースは含まれませんので、ご留意ください。

(1)発行済株式総数又は出資価額の総額2分の1以上を同一の大企業が所有または出資している

(2) 発行済株式総数又は出資価額の総額3分の2以上を大企業が所有または出資している

(3) 大企業の役員又は職員を兼ねている者が、役員総数の2分の1以上を占有している

また、東京都内に登記をしていることも重要な条件です。本店だけでなく、登記簿上に支店が含まれている場合も該当するようです。なお、東京都内で開業届または青色申告をしている個人事業主も含まれます。

【対象製品・サービスは?】

助成金の対象となる製品やサービスの情報は以下の通りです。この情報は様々なWebページでも出回っています。

(1) UTM
(2) ファイアウォール
(3) VPN…

ADAudit Plus , ADManager Plus , Desktop Central , EventLog Analyzer , Firewall Analyzer , Password Manager Pro , セキュリティ 1 min read

ManageEngine 特権ID管理ソフト、クラウドID管理を強化!新verの3ポイント

この記事の所要時間: 約 2分

「ManageEngine Password Manager Pro」は、簡単かつリーズナブルに「特権ID管理」のための基本機能を利用できるソフトウェアです。 特権IDを利用する際の「申請/承認フロー」を徹底したり、「操作画面を録画」したりする機能の他、「申請者にパスワードを見せずにITリソースへログイン」させることや、特権IDの利用が終わると「自動でパスワードをリセットする」などの機能を標準搭載しています。

この度、このPassword Manager Proの新バージョン(v9)を2017/8/21に提供開始しました。
本ブログでは、新しいバージョンで追加された新機能についてご紹介します。

是非知っていただきたい 3つのポイント!

1)UIの変更

新バージョンではUIが大幅に改善されて、より分かりやすく、また画面表示速度も向上しています。 UIの一部をご紹介します。

【パスワードダッシュボード画面】

パスワードの使用状況をカラフルな色で、わかりやすく表現しました。グラフをクリックすることでパスワードの詳細を確認できるなど、使い勝手も向上させています。

◆従来表示

◆v9

【管理画面(ITリソースを管理する画面)】

また、従来表示では、画面の上部にメニューバーを表示していましたが、新しいバージョンではメニューバーの位置を画面左に移動させ、代わりに検索ボックスを上部に持ってくるなど、操作効率を重視した設計にこだわりました。

◆従来表示

◆v9

2)パスワード管理対象としてSalesforceを追加

Password Manager Proでは、従来より Amazon Web Service(アマゾン・ドット・コム)や Azure(マイクロソフト) 、G Suite(グーグル)等のクラウドサービスに対応していましたが、新しいバージョンから『Salesforce (セールス・フォース・ドットコム)』をパスワード管理対象として追加し、Salesforceの特権アカウントのパスワードを変更できるようになりました。

Salesforceを登録する詳細な手順について、下記のナレッジに記載してますので、ぜひご参照ください。

【ナレッジ】Salesforceの登録方法

3)チケットシステム連携としてJIRAを追加

Password …

Password Manager Pro 1 min read

今、Active Directoryが危ない!セキュリティ対策のすすめ

この記事の所要時間: 約 3分

標的型攻撃が横行する昨今、企業内ネットワークに侵入した攻撃者によってActive Directoryのドメイン管理者アカウントが狙われるケースが多数報告されています。

例えば、2015年5月に起きた日本年金機構の個人情報流出事件でも、Active Directoryのドメインコントローラーとローカルの管理者権限が奪われました。

Active Directoryのドメイン管理者アカウントは、業務用端末や各種サーバーへの横断的なアクセスが可能なため、攻略できればマルウェアの感染拡大や機密情報の流出が容易に行えます。このため、攻撃者の攻略目標となりやすいのです。

攻撃の兆候は、ログを定期的に監査することで事前に検知できると言われています。2017年3月には、 JPCERT/CC( Japan Computer Emergency Response Team Coordination Center )からも対策方法を解説した資料が公開されました。

ログを活用したActive Directoryに対する攻撃の検知と対策


【どんな対策をすればいいか?】

Active Directoryのセキュリティ対策と言っても、具体的にはどのような対策を実施すればいいのでしょう。以下で、その内容を簡単にまとめます。

<ログ監査>

JPCERT/CCが公開した解説書では、Active Directoryのイベントログを活用した攻撃の検知方法が記されています。注視すべきID番号とその詳細も説明されているため、これらを参考にログ監査を実行すると良いでしょう。

また、日々の認証ログの調査を行い、接続元端末やアカウント名、ログイン成功/失敗の時間帯や回数に不審な点が無いかを調べることも重要です。

<特権ID管理>

Active Directoryのドメイン管理者アカウントは、その権限範囲の広さから「特権ID」と言えます。従って、パスワードを不用意に共有し、「いつ/誰が」アクセスしたか分からないという状況を作らず、厳重に管理することが求められます。

なお、特権IDを活用する場合のルールを定義し、運用に乗せることで、どのようなログの状態が「正常」なのかを明確に定義できるため、結果として異常ログの速やかな検知につながるという効果もあります。

また、管理者アカウントの認証情報が保存される端末は攻撃者の標的となりやすいため、JPCERT/CCの解説書では管理者アカウントを使う端末と他の作業を行う端末と分離し、インターネットへのアクセスやアプリケーションの実行を制限する事が望ましいとされています。

※例えばManageEngineで提供している特権ID管理ソフト「Password Manager Pro

ADAudit Plus , ADManager Plus , Password Manager Pro , セキュリティ 1 min read

PCI DSS要件8.3「多要素認証」の落とし穴!?「多段階認証」との違い

この記事の所要時間: 約 4分


PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード会員のカード情報や取引情報を安全に守るために策定された、クレジットカード事業者およびその加盟店向けの国際セキュリティ基準です。

PCI DSSは、2011年以降、日本国内でも準拠が本格化しています。これに加え、2020年の東京オリンピックを控えた現在では、セキュリティ強化を促進する目的で経済産業省から以下の実行計画が公開され、PCI DSS準拠に向けた動きが更に活発化しています。

クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017(2016年版の改定)

PCI DSSの要件8.3では、外部ネットワークからリモートアクセスする際の「二要素認証」が要求されていますが、2016年4月28日に発表されたバージョン3.2ではこれが「多要素認証」と再定義されました。

当記事では、「多要素認証」の説明に加え、準拠者が勘違いし易いと言われている「多段階認証」との違いを解説します。

【”多要素”認証とは?】

重要システムへログインする際、本人であるかどうかを認証するための仕組みとして、「ID」と「パスワード」の組み合わせが良く使われます。このパスワードを突破するために、サイバー攻撃者側では「ブルートフォースアタック」や「辞書攻撃」といった手法が開発されてきました。

しかし実際にはパスワード以外にも認証を行う方式(要素)は多数存在します。PCI DSSは、多要素認証の方式として、以下の3要素を定義しています。

(1) 記憶情報(SYK:Something You know)
「パスワード」はこの「記憶情報」として分類されます。この他にも暗証番号など、ユーザーが頭で記憶している情報を指します。記憶を忘れる可能性がある他、他人に知られると悪用されるリスクがあります。

(2) 所持情報(SYH:Something You Have)
ICカードやトークンデバイスなど、ユーザーが所持しているものを指します。紛失・盗難等のリスクがあります。

(3) 生体情報(SYA:Something You Are)
指紋、声紋、虹彩など、バイオメトリクスを指します。記憶として忘れたり所持物として紛失したりするリスクはありません。

PCI DSSの「多要素認証」要件を満たすには、上記3種類のうち2つ以上を使用することが必要です。この時、例えば「パスワード(記憶情報)」と「暗証番号(記憶情報)」を使用するなど、を同じ種類のものを2回使っても不適合となります。

「パスワード(記憶情報)」と「指紋(生体情報)」の組み合わせのように、異なる種類の情報を2つ以上採用しなければ、多要素認証とは認められません。…

Password Manager Pro , セキュリティ 1 min read

特権ID管理の基本!~申請/承認フローの自動化やパスワード非表示化について~

この記事の所要時間: 約 2分

国内大手企業や政府系機関の大規模なデータ流出が目新しい昨今、サイバーセキュリティー対策はより重要な課題になっており、「特権IDの運用」に注目が集まっています。

本日は、特権IDならびにその管理についてご紹介します!

★そもそも特権IDとは★
特権IDとは、ITリソースの中で非常に多くの操作が可能な特別なアカウント情報のことです。
それゆえに、サイバー攻撃者に特権IDを奪われると、企業は大きな被害を覚悟しなければなりません。
特権IDを使えば、様々な操作ができるので便利な反面、高権限のIDなので、そのセキュリティー強化が欠かせないのです。そして、今その管理方法に注目が集まっています。

現在、特権IDを以下のように管理している企業も多いのではないでしょうか?
・「EXCEL」や「紙の台帳」などで管理をしている
・特権IDを貸し出した後の把握はしていない
この様な管理では、サイバー攻撃や内部犯行の被害を受けるリスクは高まってしまいます。

★特権ID管理で重要な2つの事★
これまで一般的に行われてきた特権IDのセキュリティー運用では、安全とされる場所にIDを保管し、権限を与えられたユーザーだけがこの場所にアクセスできる、という運用が多かったのかと思います。

しかし、サイバー攻撃者はどこに潜んでいるか特定できない昨今、場合によっては「①申請/承認フロー」でユーザーのセキュリティーをより厳密にしたり、「②パスワードの非表示運用」でパスワード自体の機密性を向上させたりすることで、さらなるセキュリティー強化を図る必要があります。

≪①申請/承認フロー≫
サイバー攻撃はネットワークを介してのみ行われるのでしょうか?
社内の人間による情報の持ち出しや漏洩もあります。いわゆる、内部犯行です。

つまり、「信頼できるユーザーが特権IDを使っている」という状況を作らなければ、内部犯行は防げないのです。それでは、具体的に何をすればユーザーを信頼できるのでしょうか?

「申請―認証-貸出」をフローとして確立

上記フローを管理ツールを用いた運用にて行い、ITリソースへのアクセスを「管理ツールを通したアクセス」に統一することで、信頼できるユーザーと攻撃者を切り分けることが可能になります。

≪②パスワードの非表示運用≫
特権ID/パスワードが「目に見える」「いつも同じ」という状態にあると、何が起こるでしょうか?
・パスワードの書かれた付箋が紛失
・PC画面ののぞき見
・業務外での悪用
などが考えられます。

『パスワードの非表示化』とはパスワードの「貸出」はするけれども、申請者の手元にはパスワードが残らない、というイメージの機能です。不特定多数の人間に無作為にパスワードが開示されることも無くなり、上記のようなインシデントを未然に防ぐことが可能になります。

★特権ID管理ツール★
この様に、特権IDを管理しようとする際には、ID/パスワード「そのもの」と「ユーザー」の両方のセキュリティーを考える必要があります。

専用ツール用いた運用では、人手では難しい貸出フローの自動化や、ユーザーの操作画面の録画などが可能になります。
Manage Engineがご提供する特権ID管理ツール「Password Manager Pro」は、特権ID管理に有用な基本機能を備え、リーズナブルな運用管理を実現します。

ご興味を持っていただけましたら、「30日間無料の評価版(サポート付き)」もございますので、是非ご利用ください。
https://www.manageengine.jp/products/Password_Manager_Pro/download.html

Password Manager Pro 1 min read