製品・サービス一覧

PowerBroker 詳細一覧

UNIX/Linuxサーバ用情報漏洩対策ツール『PowerBroker』のご紹介

PowerBrokerの特長と効果

UNIX、Linuxサーバの情報漏洩対策はPowerBrokerにお任せください。

 必要な人に、必要な権限のみを付与し、詳細なログを取得します! 利便性を損わない、抑止効果による情報漏洩対策を
 実現します。

PowerBrokerの特長
  1. カーネルへの変更が必要ない(安全運用)
  2. 大規模から小規模まで柔軟に対応
  3. 構築から運用まで短期間で実現

PowerBrokerの効果
  1. 最適なアクセスコンとロール
  2. 社内への抑止効果
  3. 監査ログとして活用

UNIX/Linuxの守備範囲

監視すべきは、「非定型作業」


PowerBrokerによるUNIX標準セキュリティ機能の補完

UNIX標準セキュリティ機能の限界 PowerBrokerによるセキュリティ機能の補完
  1. root(オールマイティ権限)でしか行えない作業がある
  • rootパスワードを公開する必要に迫られる。
  • 多くのユーザがroot権限を利用できてしまう。(利用権限が無制限、かつ利用者が特定できない、パスワードが他人に知られてしまうリスク)
  1. 業務にあわせてroot以外の権限を付与
  • 権限を業務に合わせて限定し、最低限必要な権限のみを必要な人に付与できる。
  1. 時間帯ごとのアクセス制御ができない
  • 特定の時間を指定して、特定の権限を与えることができない。
  1. 時間帯ごとの制御が可能
  • 権限を業務に合わせて限定し、最低限必要な権限のみを必要な人に付与できる。
  1. キー操作ログが取得できない
  • 細かいログの収集はできない。(キーストローク)
  1. アクセス履歴・キー操作履歴の取得が可能
  • 大切なファイルへアクセスされた時、キー操作ログまで取得できる。
  1. 禁止キーワード設定が不可能
  • 入力されたキーを元に、セッションを切断することはできない。
  1. 禁止キーストロークの設定が可能
  • ディレクトリやファイルの削除コマンド(rm)やデータベースの更新(update)キーストロークが打ち込まれた時点でセッションを切断することができる。

UNIX環境だと・・・

夜間のroot作業をどのように行うか?

rootユーザで行いたい作業が発生!
rootパスワードをオペレータに伝えざるを得ない!


PowerBrokerを使用すると・・・

 pbrunを使用して、rootパスワードを教えなくても同じことができる

例えば
17:00〜翌朝8:00まで
オペレータAとオペレータBが○○コマンドを使用可能!
○○コマンドを使用した際の操作ログも収集可能!

rootパスワードを教える必要無し!
しかも、オペレータが行った作業のログ収集も可能!


Page Top

抑止のためのログ収集

ログイン・実行結果の履歴(イベントログ)

複数サーバのアカウントの全ログイン・実行結果の情報を一元的に収集します

操作状況の履歴(キーストロークログ)

ログインしログオフするまでのすべてのキーストロークで入力した操作とコマンド発行後画面に表示される情報をすべて記録します

(例)新規アカウント作成時のログ

  1. “accountMaster”というユーザがスイッチユーザでroot権限を得る
  2. パスワード認証
  3. “useradd”コマンドを使用して“testUser1”というユーザを新規登録
  4. "/etc/passwd"ファイルを表示して結果を確認
  5. “usermod”コマンドを使用して“testUser1”のログインシェルを変更
  6. "/etc/passwd"ファイルを表示して結果を確認
  7. “passwd”コマンドを使用して“testUser1”のパスワードを変更
  8. "/etc/passwd"ファイルを表示して結果を確認
  9. rootから"accountMaster"に戻る


一般ユーザでログインし、その後SUコマンドにてDB管理者など
別ユーザにスイッチした場合も記録をとることができます。


Page Top

特定ユーザへの権限付与

UNIX環境だと・・・

夜間のroot作業をどのように行うか?

  • 夜間には、「オペレータA」にリブート作業を実施してもらっている。
  • rootパスワードをオペレータに伝えざるを得ない!

<UNIX環境における操作イメージ>

拡大図

PowerBrokerを使うと・・・

pbrunを使用することでrootパスワードを教えなくても同じことができる!

17:00〜翌朝8:00まで
「オペレータA」に「Shutdown」コマンドを許可
「Shutdown」コマンドを使用した際の操作ログも収集

rootパスワードを教える必要無し!
しかも、オペレータが行った作業のログ収集も可能!

<PowerBroker導入、活用後の操作イメージ>

拡大図

必要なユーザに必要な権限の付与を行うことが可能です

方法1

 一般ユーザ権限に必要なコマンドを付与していく方法(例:アカウント管理者など)

方法2

 root権限から禁止したいコマンドを除去していく方法 (例:DB管理者・AP管理者など)


Page Top

アカウントのスイッチを制御

一般ユーザから別アカウントへのスイッチをPowerBrokerにて制御(許可・禁止)可能です

SUを許可した特権ユーザアカウントにて特定の操作を禁止可能です

設定方法

 特権ユーザアカウントから 特定操作A, B, Cを禁止していく方法になります。

 例:DB(Oracle)管理者に対し、TableAの削除を禁止したい場合

 以下の文字列を定義

  •  「DROPTABLE TableA」
  •  「TRUNCATE TableA」


*

Page Top

リモートログイン制御

OSにてリモートログインを許可している場合、許可ユーザはどの端末からもログイン可能です。 特定の端末からのみリモートログインを許可したいという要望を実現いたしました。

リモートログインを許可するIPアドレス(ホスト名)とユーザ名の組み合わせを設定することで、指定した端末以外からのリモートログインを拒否させることを可能とします。


Page Top

個別アカウントへの権限付与、リモートログイン制御、日付・曜日・時間設定を追加

PowerBrokerは、きめ細やかな権限付与ができることでご好評をいただいておりますが、「夜間のみ使用可能にしたい」、「休日の一時的な作業時に権限付与アカウントを発行したい」など多くのご要望をいただき、さらに日付・曜日・時間による権限付与の期限設定機能を追加いたしました。  


上記の、個別アカウントへの権限付与機能、リモートログイン制御機能に関して、日付・曜日・時間設定を追加します。
制御の例としましては、「昼間のみログインを許可する」という方法が実現可能です。


Page Top

まとめ

  • 導入・運用が容易
  • 管理すべきアカウントの全操作ログ収集を実現
  • きめ細やかなアクセス制御を実現

上記のメリットをご提供させて頂きます。デモをご覧いただくことができますので、御社のご要望に添えることをご確認ください


Page Top