ツールを用いた現実解！特権IDの監査用履歴を効果的に残す方法

監査で利用するための「特権ID利用履歴」、皆さんはどのように記録していますか？

特権IDとは、システムにおいて最も高い権限をもち、システムの導入や設定変更作業で使用するアカウントです。しかし、不正に利用されたり人為的なミスが発生した場合は、システムへの影響が大きいため、適切な管理を必要とされています。また複数人が同じ特権IDを共有して使用することも多く、誰が、何の目的で、何の作業をしたのかを管理することが重要となります。

企業によって「特権IDの貸出管理」だけを行っているケースもありますが、台帳に記載されている内容が全て真実である保証は、どこにもありません。そのため、企業は「特権IDの貸出管理」に加えて、作業ログの継続的な監査体制を構築することも求められます。その場合、 たとえコンフィグを１行変えるだけの僅かな変更でも、申請、承認、エビデンスの提出など、多くのチェック項目を満たす必要があり、手動で管理しようとすれば膨大な作業量となります。現場作業を行なうエンジニアにとっては、実際に行なう設定変更作業以外にも複雑な手続きを踏む必要が生まれ、エンジニアの監督者にとっては作業内容をエビデンスとして記録・保管していくための負荷が課されます。

本ブログでは、このような特権IDの利用申請、承認、証跡管理を、ツールを用いて効率的に運用する方法を紹介します。

Password Manager Proとサービスデスク運用ツール「Service Desk Plus」の連携で解消できること

特権ID管理ツールである Password Manager Proには、サービスデスク運用ツールとの連携機能「チケットシステム連携」があります。この機能を使うことによって、より安全な特権ID管理・効率的な運用が可能となります。
本ブログでは、弊社製品のサービスデスク運用ツール「 ServiceDesk Plus」を例にして、チケットシステム連携の機能をご紹介します。

Password Manager ProとServiceDesk Plusでどのような運用ができるの？

【Password Manager Pro単体で使用した場合】

• 設定変更を行った理由を管理できない
• 設定に関連する影響を把握できない

Password Manager ProとServiceDesk Plusを連携させて運用した場合は、作業内容と実際の操作内容を結び付けて管理することが可能です。さらに、ITリソースに関する作業申請から作業完了までを一元的に管理できるため、Password Manager Pro単体での運用と比較して、より効率的な特権ID管理の運用が実現します。

２製品を連携した際の全体像を下図でご紹介します。

図：Password Manager ProとServiceDesk Plusの連携図

<連携時の運用>

(1)作業申請
特権IDに関連したインシデントや変更要求が発生した際に、作業担当者はServiceDesk Plusにて一意のIDをもった作業用のチケットを発行します。その後、作業担当者はServiceDesk Plus経由で現場監督者・承認者(管理者)へ作業申請を行います。

(2)作業承認
作業申請はメールで承認者に通知されます。 承認者は、ServiceDesk Plusへログインし承認または却下を行います。

(3)設定変更作業
作業申請が承認されると作業担当者は、自身のPassword Manager Pro用IDを用いてPassword Manager Proにログインし、ServiceDesk Plusで承認されたチケットIDでを用い、設定変更が必要なITリソースにログインします。Password Manager Proを踏み台としてITリソースに接続することで、作業証跡の取得が可能です。

※Password Manager Proでは、作業担当者が入力したチケットIDにおいて、次の項目を確認してアクセスを許可します。

• 作業担当者が入力したチケットIDがチケットシステムに存在し、チケットIDが[完了]ステータスでないこと
• 作業担当者が特権IDのパスワードを使用できる権限であること

(4)作業後
ITリソースへの作業完了後、作業内容をServiceDesk Plus上に記入し、現場監督者・承認者による作業内容・作業証跡の確認を経て作業完了となります。

以上がPassword Manager ProとServiceDesk Plusを連携した際の運用手順です。

今回、ご紹介した「チケットシステム連携」は、ServiceDesk Plus オンプレミス版・オンデマンド版以外に、ServiceNow Japan株式会社が提供する「ServiceNow」とも連携が可能です。

少しでもご興味を持っていただきましたら、2製品とも30日間無料で使用できる評価版がございますので、ダウンロード後、お試しいただければと思います。

【製品情報】
Password Manager Proの情報：
・特権ID管理ソフト「Password Manager Pro」製品サイト
・Password Manager Pro「無料評価版」ダウンロード
・Password Manager Pro「製品紹介資料」ダウンロード
・Password Manager Pro「スタートアップガイド」

ServiceDesk Plusの情報：
・サービスデスク運用ツール「ServiceDesk Plus」製品サイト
・ServiceDesk Plus「無料評価版」ダウンロード
・ServiceDesk Plus「製品紹介資料」ダウンロード
・ServiceDesk Plus「スタートアップガイド」