Oracle Privileged Account Manager 機密リソースへのアクセスの保護と監査

Oracle Privileged Account Manager

機密リソースへのアクセスの保護と監査

ORACLEホワイト・ペーパー | 2015年4月

免責事項

下記事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯 一の目的とするものであり、いかなる契約にも組み込むことはできません。マテリアルやコード、 機能の提供をコミットメント（確約）するものではないため、購買を決定する際の判断材料にはな さらないでください。オラクル社の製品に関して記載されている機能の開発、リリース、および時 期については、弊社の裁量により決定されます。

目次

免責事項 ... 1

はじめに ... 2

Oracle Privileged Account Managerについて ... 3

Oracle Privileged Account Managerのアーキテクチャ ... 3

Oracle Privileged Account Managerのプロセス・フロー ... 4

Oracle Privileged Account Managerのパスワード・

チェックアウト・プロセス ... 5

Oracle Privileged Account Managerアプリケーション・

アカウントの管理 ... 6

Oracle Privileged Account Managerのセッション管理 ... 6

セッション開始 ... 7

セッション制御およびコマンド制御 ... 7

セッションの監視と監査 ... 7

Windowsセッションの録画と監査 ... 8

Oracle Privileged Account Managerの監査とレポート ... 8

Oracle Privileged Account Managerのリソース・グループおよび

委任管理 ... 9

Oracle Privileged Account Managerの拡張性とカスタマイズ・

フレームワーク ... 10

Oracle Privileged Account ManagerおよびOracle Identity Governance ... 10

Oracle Privileged Account Managerおよび補完的なセキュリティ・

テクノロジー ... 12

Oracle Privileged Account ManagerおよびOracle Database

Enterprise User Security ... 12

Oracle Privileged Account ManagerおよびOracle Database Vault ... 13

Oracle Privileged Account ManagerおよびUNIX/Linuxユーザー管理 ... 13

はじめに

大手組織と企業では、セキュリティ侵害や機密情報の暴露が絶え間なく発生しており、特権ユーザーの管理 に関わる既存の問題が目立つ形で露呈されました。 特権ユーザーは、企業や連邦政府の戦略的資産へのアクセスを伴う機密性の高いアクティビティを実行しま す。大半の組織では、特権アカウントは明確に定義されておらず、複数のユーザーによって共有されている ことがほとんどです。 オペレーティング・システム（UNIX、Windowsなど）、データベース・サーバー（Oracle Database、 Microsoft SQL Server、IBM DB2など）、ユーザー・ディレクトリ（Oracle Directory ServicesやMicrosoft Windows Active Directory Servicesなど）、ネットワーク・デバイス（ルーター、ロードバランサ、ファイア ウォール）、ハイパーバイザ、およびエンタープライズ・アプリケーション（人材管理、サプライ・チェー ン・マネジメントなど）といった多数の重要な情報テクノロジー（IT）で特権アカウントが使用されている ことは明白です。特権ユーザーには、システム、データベース、ネットワークの管理者、サポート・スタッ フ（ヘルプ・デスクなど）、およびアプリケーション所有者などが含まれます。 これらのアカウントへの不適切なアクセスを検出し、不正アクティビティに加わっている管理者チーム内の 特定の個人を判別することは極めて困難です。なぜから、特権アカウントは必ずしも個々のエンドユーザー に関連付けられてはいないからです。管理対象のサーバー、デバイス、アプリケーションの数とともに、特 権アカウントの数も増えています。ほとんどの大組織には、数百個（場合によっては数千個）もの特権アカ ウントがあり、複数の人がその資格証明を知っているにも関わらず、特定の時間にそのアカウントを実際に 使用した人を追跡する方法がありません。特権アカウントの増加は管理が難しいため、パスワードはめった に変更されず、結果的に全体的なセキュリティの低下と、企業コンプライアンスの遵守違反を招いています。 このドキュメントでは、Oracle Privileged Account Managerで上記の課題に対処する方法について説明しま す。Oracle Privileged Account Managerは、権限の分離を可能にし、特権アカウントに対するセルフサービ ス式のリクエストを管理し、パスワードの使用に関する監査とレポート作成機能を提供するように設計され ています。Oracle Identity Governance Suiteに不可欠なコンポーネントであるOracle Privileged Account Managerは、Global Trade Management（GTM）戦略の強化に役立ちます（特に、米国サーベンス・オクス リー法などの規制への準拠に関連する場合）。

Oracle Privileged Account Managerについて

Oracle Privileged Account Manager（OPAM）は、特定のリソースにアクセスする特権ユーザーのパスワー ドとセッションを生成および管理するように設計された、サーバーベースのパスワード・リポジトリです。 OPAMは、セキュアなセッション管理、制御、およびレポートにより、裁判分析と監査をサポートする履歴 レコードを実現します。

OPAMは、Oracle WebLogic Server上で稼働するOracle Fusion Middlewareアプリケーションです。Oracle WebLogic Serverは、Oracle Platform Security Servicesフレームワークをセキュリティ基盤として、Oracle Databaseをバックエンド・データ・ストレージとして利用しています。Oracle Privileged Account Manager は、Oracle Identity Governance Suiteに不可欠なコンポーネントで、ユーザー・プロビジョニングとプロビ ジョニング解除、ユーザー・セルフサービス（委任、アクセス・リクエスト、パスワード・リセットなど）、 承認ワークフロー、リスクベースのビジネス・ユーザー・フレンドリーなID認定、および高度なロール・ラ イフ・サイクル管理を行うことができます。Oracle Identity Governanceでは、コンプライアンス制御を継続 的に監視して効果的に実施するため、ユーザーのアクセス権を自動的かつ定期的にレビューし（これらのア クセス権のクローズドループ修正も実施）、企業の監査ポリシーの例外を監視します。

また、Oracle Identity Governanceプラットフォームには豊富な監査機能とレポート機能があるため、各業務分 野、IT管理者、監査者は、アクセス権の所有者とアクセス対象だけでなく、ユーザーによるアクセス権の取得 方法や排他的特権アカウントの使用時期も確認できます。さらに、Oracle Privileged Account Managerのダッ シュボードには、現在行われているユーザー・アクティビティのリアルタイムのステータスが表示されます。 Oracle Identity Governanceでは、管理対象アプリケーションとターゲット・システムが自動的にプロビジョ ニングされます。これは、Oracle Privileged Account Manager、管理対象システム、およびリソース間で堅 牢なコネクタのセットを使用して、標準アクセスと特権アクセスの両方において権限を付与する際に実行さ れます。監視制御の結果、これらの権限付与の取消しが必要な場合は、同じコネクタを使ってプロビジョニ ングを自動的に解除し、包括的な監査証跡を実行できます。

Oracle Privileged Account Managerは、特権アカウントを積極的に管理するだけでなく、“ロックボックス” の概念も提供します。アカウントが、Oracle Privileged Account Managerからアクセスできないネットワー ク・サブネット内のターゲット・システムに関連付けられている場合、OPAMのセキュリティ管理者は、 OPAM“ロックボックス”を作成することで、特権アカウント・パスワードを一元的に保存し、パスワードへ のアクセス権をセキュアに付与できるため、これらのアカウントをメモする必要がなくなります。

Oracle Privileged Account Manager

のアーキテクチャ

OPAMサーバー（Java EEアプリケーション）は、管理対象パスワード（およびメタデータ）をOracleデータ ベース内にセキュアに保存します（図1）。Oracle Privileged Account Managerはチェックアウトやチェック イン・プロセス中、ターゲット・システム上のパスワードを必要に応じてコネクタでリセットします。共通 のOracle Identity Governanceコネクタを利用するので、管理オーバーヘッドと総所有コストが軽減します。 コネクタはOracle Integrated Connector Frameworkに基づいて、Oracle Privileged Account Managerをターゲッ ト・エンタープライズ・アプリケーション、ユーザー・ディレクトリ、データベース・サーバー、オペレー ティング・システム、ハイパーバイザ、およびネットワーク・デバイスの外部ストアにリンクし、Oracle Privileged Account Managerによる特権アカウントの検出およびパスワード管理機能の使用を可能にします。 Oracle Privileged Account Managerは、UNIX、LDAP、データベース、Windows、SSHベースのターゲット、 およびSAP用のコネクタのセットに同梱されています。Oracle Privileged Account Managerはこれらのコネ クタにより、UNIX/Linuxサーバー、Oracle Database（Oracle Database 9～Oracle Database 11g）、 Microsoft SQL Server、SAP、Sybase Adaptive Server Enterprise 15.x、IBM DB2、LDAPディレクトリ

（Microsoft Active Directoryなど）、SSH経由でアクセス可能か、RADIUSで管理されるネットワーク・デバイ ス、およびハイパーバイザなど、幅広いターゲット・システムを管理できます。さらに、Oracle Privileged Account ManagerはOracle ExadataとOracle Exalogicのエンジニアド・システムで認定されています。 特権アカウントはコネクタによって検出、識別されます。コネクタはターゲット・システムに対して、これ らのシステムのアカウントのリストを問い合わせます。OPAM管理者は、リスト内のアカウントから特権ア カウントとして管理するアカウント決定します。一般に、Oracle Privileged Account Managerは、ターゲッ ト上で検出可能なアカウントであればどれでも管理できます。

図1：Oracle Privileged Account Managerのアーキテクチャ

OPAMサーバーはRESTful API（RESTは、SOAPベースのWebサービスに代わる軽量なHTTPベースのWebサー ビス）を公開します。RESTful APIは、OPAMコンソールやOPAMコマンドライン・クライアントを含む OPAMクライアント・アプリケーションによって使用されます。Oracle Privileged Account Managerの RESTful APIは、SSLでセキュリティ保護されており、ユーザー名/パスワードによるHTTP認証または証明書 ベースの認証が必要です。お客様とサービス・インテグレータは、Oracle Privileged Account Managerのパ ブリック（および実証済みの）RESTful APIを使って、カスタム・インテグレーションを構築できます。また、 Oracle Privileged Account ManagerではOracle Platform Security Services Trust for Identity Propagationをサ ポートしているため、OPAMコンソールに対して認証を行ったエンドユーザーの代わりに、OPAMコンソー ルがOPAMサーバーへのREST API呼出しを実行できます。

Oracle Privileged Account Managerによって管理されるメタデータ情報とパスワードは、Oracleデータベー ス内で永続化されます。お客様はOracle Database Vaultと透過的なデータ暗号化（TDE）を利用してセキュ リティを強化できます。ベスト・プラクティスとしてTDEを使用することをお勧めします（Oracle Privileged Account Managerには、使用制限付きのTDEライセンスが付属しています）。TDEの詳細については、Oracle Technology Network（OTN）の「Database Advanced Security」を参照してください。

Oracle Privileged Account Manager

のプロセス・フロー

Oracle Privileged Account Managerでは、パスワードまたはセッションを使った特権アカウントの使用をサ ポートしています。Oracle Privileged Account Managerでは、データベース管理者等のユーザーが特定のエ ンタープライズ・アプリケーション、オペレーティング・システム、またはデータベース・サーバーのパス ワードを"チェックアウト"することで特権アカウントを使用できます。Oracle Privileged Account Manager によってアカウント・パスワードがリセットされると、管理者にパスワードが発行されます。管理者はパス ワードを使用し、管理タスクの完了時にパスワードを"チェックイン"します。標準動作（デフォルトの構成 ポリシー）の場合、パスワードはチェックイン時に自動的に変更されるため、管理者は同じパスワードを再 び使用しなくて済みます。

注：セッションをリクエストする場合、フローはやや異なります。以下のOracle Privileged Account Managerのセッション管理を参照してください。

Oracle Privileged Account Manager

のパスワード・チェックアウト・プロセス

パスワードは、OPAMコンソールのOPAMコマンドラインを使用するか、カスタム・クライアント・アプリ ケーションでOPAM RESTful APIを使用してチェックアウトできます（図3を参照）。たとえば、管理者が、 HRアプリケーション・データベースにアクセスするために、“HR_ADMIN”ユーザーのパスワードを要求して います（Oracle Privileged Account Managerが管理する他のどのターゲット・システムにも同じプロセスが 適用されます）。

図2：Oracle Privileged Account Managerのチェックアウト・プロセスの概略図

1. 管理者はOPAMサーバーに対して認証を行って、HR_ADMINパスワードを要求します。 2. OPAMサーバーは、要求元にHR_ADMINアカウントが直接またはグループ・メンバーシップ（HRアプリ ケーション管理者はグループに所属し、HR_ADMINアカウントがそのグループに付与されています）を 介して付与されたかを確認します。 3. エンタープライズLDAPサーバー（IDストア）は、要求元のIDとロールを確認します。 4. OPAMサーバーは、アカウントの特定のパスワード・ポリシーに基づいてパスワードを生成し、データ ベース内のHR_ADMINアカウントのパスワードをリセットします。 注： 複数のパスワード・ポリシーを作成し、使用することができます。 5. OPAMサーバーは、要求元にパスワードを返します。

6. 要求元はOracle Privileged Account Managerによって生成されたHR_ADMINパスワードで、管理者とし てHRアプリケーション・データベースにログインします。

タスクが完了すると、管理者はOracle Privileged Account Managerで再びパスワードを確認します。Oracle Privileged Account Managerは、パスワードを自動的に変更するように構成されているため、パスワードが 再使用される可能性がなくなります（デフォルトの動作）。また、Oracle Privileged Account Managerは構 成可能なパスワード履歴を提供します。たとえば、特定のユーザーとしてバックアップを実行し、その時点 のユーザー・パスワードを取得する必要がある場合、パスワード履歴が必要になります。

図3：OPAMコンソールを使用した、HR_ADMINパスワードのチェックアウト

Oracle Privileged Account Manager

アプリケーション・アカウントの管理

Oracle Privileged Account Managerで管理できるアカウント・タイプには、サービスまたはアプリケーショ ン・アカウントも含まれます。アプリケーションは実行時にこれらのアカウントを使って、ターゲット・シ ステムに接続します。従来、管理者はインストール中にこれらのアカウントをセットアップした後で再び使 用することはありません。その結果、アプリケーション・アカウントが原因で、環境内に隠れた脆弱性が生 じることがあります。たとえば、古いポリシーを使って作成されたためにパスワードのセキュリティが脆弱 化したり、共通で使用されるデプロイメント・パスワードが漏えいしたりする可能性があります。 サービスまたはアプリケーション・パスワードの管理はさらに厄介です。パスワードをターゲット・システ ムで変更する必要があるだけでなく、クライアント（アプリケーション）にも通知する必要があるからです。 Oracle Fusion Middleware（Oracle Fusion Applicationsなど）で構築したアプリケーションは、Oracle

Platform Security ServicesのCredential Store Frameworkをデフォルトで使用して、パスワードを外部化しま

す。Oracle Privileged Account Managerは、クライアント・アプリケーションを変更しなくても、資格証明 ストアに保存されたパスワードを更新できます。パスワードは、企業のパスワード・ポリシーに基づいて、 アプリケーションには透過的に変更されます。アプリケーションは常に、パスワードのライフ・サイクル管 理に対処しなくても、パスワードのチェックアウト/アクセスを実行できます。

Oracle Privileged Account Managerの資格証明ストア・フレームワークを利用しないアプリケーションの場 合、Oracle Privileged Account Managerプラグイン・フレームワークを代わりに使用して、パスワードをア プリケーション固有の外部ストレージ・コンテナに対して同期できます。この処理は、アカウント・パス ワードの変更操作を実行し、新しいパスワードをプロパティ・ファイルなどにプッシュするカスタム・ロ ジックのプラグインで対応できます。また、アカウント・パスワードを定期的に循環させるパスワード・ポ リシーを適用できます。パスワードを循環させることで、アプリケーション・アカウントは常に最新の企業 ポリシーに準拠し、セキュアな状態に維持されます。Oracle Privileged Account Managerはサービスを中断 することなく、このタスクを実行します。

アプリケーションのアカウント・パスワードの詳細については、ブログ『Oracle Privileged Account

Manager』を参照してください。

Oracle Privileged Account Manager

のセッション管理

最近のフロントページのセキュリティ侵害から、特権アカウントのアクセス制御と監視が重要であるという 事実が重視されています。場合によっては、特権アカウント・パスワードの管理だけでは十分ではありませ ん。Oracle Privileged Account Managerはさらに、セッション管理と監査機能を提供して、極端なユース ケースに対応します。Oracle Privileged Account ManagerのPrivileged Session Manager（OPSM。図4を参照）

はターゲット・リソースへの単一のアクセス・ポイントを作成することで、特権セッション内のすべてのア クティビティを制御および監視できるように管理者を支援します。

図4：OPAM Privileged Session Manager環境のアーキテクチャ

セッション開始

Oracle Privileged Account Managerにより、エンドユーザーはターゲットへのアクセス権を取得します。 Oracle Privileged Account Managerでアクセス権が付与された場合、Oracle Privileged Session Managerは ゲートウェイのように動作し、ターゲット上でユーザーのアクセス・レベルを上げることができます。たと えば、ユーザー“Joe”は、ユーザー“root”としてLinuxシステムにアクセスできます。セッション開始時、権限 資格証明（“root”パスワードなど）がエンドユーザーに漏れることは絶対にありません。セッション開始前 に、プラグイン・フレームワークを使ってリアルタイムのアクセス承認を行うことができます。たとえば、 管理者がいないときに、システムへの緊急アクセスを実行できます。また、セッション・アクセスが付与さ れると、通知（テキスト・メッセージまたは電子メール）を監査者に送信できます。現在、準拠したサー ド・パーティ・クライアント（Putty、OpenSSHなど）ならいずれもサポートされています。X11、VNC、お よび他のプロトコルは、今後のリリースでサポートされる予定です。 セッション制御およびコマンド制御 セッションは使用ポリシー（セッションが終了するまで開いている時間を定義）によって制御されます。 ユーザーは、終了しないセッション、たとえば、長時間実行のバックアップ・ジョブに対応するためのセッ ションをリクエストできますが、OPAM管理者はいつでもセッションを強制終了できます。 アクセス制御のレベルを上げると、実行できるコマンドに関してユーザーに制限を課すことができます。コ マンドの制限は、Oracle Privileged Session Managerから“ホワイト・リスト”ベースのアプローチで行われま す。つまり、ユーザーは、事前定義されたコマンド・リストからのみコマンドを実行できます。

Oracle Privileged Session Managerを使用する場合、ターゲット・システム上で“agent”は必要ないため、 ターゲット・システム上でさらにソフトウェア・コンポーネントのライフ・サイクル管理を行う必要がなく なります。

セッションの監視と監査

セッションが確立されると、Oracle Privileged Session Managerはキーストロークを介してSSHセッション・ アクティビティを監視し、各セッションの入力/出力を検索可能な履歴レコード（記録）に記録して、裁判 分析や監査データをサポートします（図5を参照）。

図5：Oracle Privileged Account Managerのチェックアウト履歴

SSHセッションの録画は、たとえば、共有アカウントが複数のユーザーによって同時に使用される場合でも、 ユーザーが開始したすべてのアクションに関する個別のアカウンタビリティになります。

Windowsセッションの録画と監査

Windowsベースのターゲット・システムの場合、Oracle Privileged Account Managerはターゲット上の OPAMエージェントを利用して、ユーザー・アクティビティをキャプチャし、MPEG-4エンコード・ビデオに 録画されます（図6）。このビデオは標準HTML5ブラウザで表示できます。DVDやDVRと同様に、巻き戻し や先送りをしたり、特定のイベントの発生時点に直接ジャンプしたりすることができます。

図6：WindowsでのOracle Privileged Account Managerによる録画

Oracle Privileged Account Manager

の監査とレポート

Oracle Privileged Account Managerで実施する監査では、特権アカウント・パスワードやセッションを チェックアウトしたユーザーを判別できます（図5を参照）。パスワードのチェックアウトに加えて、すべ ての操作を監査および記録し、独自の組込みの監査レポートを提供します。実際、Oracle Privileged Account Managerの操作はすべて、監査データベースに保存されます。Oracle Privileged Account Manager のダッシュボード（図7）は、現在使用中のアカウントとアクティブなセッションをリアルタイムで表示し ます。

図7：Oracle Privileged Account Managerのダッシュボード

Oracle Privileged Account Managerの監査とレポートは、Oracle Fusion Middleware監査サービスやOracle Business Intelligence（BI）Publisherなど、他のOracle Fusion Middlewareと組み合わせて、カスタマイズし たレポートを生成できます（図8）。

図8：Oracle Privileged Account ManagerとOracle BI Publisher Enterpriseを併用した監査とレポート

Oracle Privileged Account Manager

のリソース・グループおよび委任管理

Oracle Privileged Account Managerでは、すべてのターゲットとアカウントがリソースと見なされます。リ ソース・グループは、ターゲット、アカウント、その他のリソース・グループを含めることができるリソー スの集まりです（図9）。リソース・グループは、環境内におけるより容易で優れたリソース管理を促進し、 さまざまな地域またはクラウド環境の数千ものシステムを管理する場合に特に威力を発揮します。

リソース・グループは、データをグループに編成し、管理を特定のユーザーまたはユーザー・グループに委 任することで、管理を簡素化します。Oracle Privileged Account Managerでは、セキュリティ管理者ロール など、グローバル管理ロールを持つユーザーには、すべてのリソース、つまり、すべてのターゲットとアカ ウントへの管理アクセス権があります。デプロイメントのニーズにより、グローバル・アクセス権ではなく、 リソースのサブセットに対する管理アクセス権をユーザーに付与する必要が生じます。たとえば、地域の管 理者は地域内のリソースのみを管理するためのアクセス権が必要な場合があります。リソース・グループは、 そのようなリソースのサブセットを作成し、そのリソース・グループの管理権限を特定のユーザー、ユー ザー・グループ、または両方に委任するためのメカニズムを実現します。

図9：Oracle Privileged Account Managerのリソース・グループ・ビューア

Oracle Privileged Account Manager

の拡張性とカスタマイズ・フレームワーク

Oracle Privileged Account Managerは、Javaベースのプラグイン・フレームワークを提供することで、 Oracle Privileged Account Managerの管理と操作を拡張およびカスタマイズして、特定の要件をより的確に 満たすことを可能にします。このフレームワークにより、次のことが可能になります。

• Oracle Privileged Account Managerが操作（電話を介したリアルタイムの緊急承認など）を実行する前に、データを

検証および操作する

• Oracle Privileged Account Managerが操作を実行した後、特定のアクションを実行する（アカウントがチェックアウ

トされると通知を送信するなど）

• OPAMコンソール、コマンドライン、またはRESTfulインタフェースを介してプラグインを登録および管理する

• Oracle Privileged Account Managerをウォレット、チケット管理システム、監査システムなど、サード・パーティ・

システムと統合する

Oracle Privileged Account Manager

およびOracle Identity Governance

Oracle Privileged Account Managerはスタンドアロン・コンポーネントとして実行できますが、特権アカウ ント管理（PAM）システムの真価は、企業のID管理環境との相乗効果にあります。実際、Oracle Privileged Account Managerのおもな利点の1つには、Oracle Identity Governance Suiteへの統合があります。この統合 により、通常のユーザーと特権ユーザーの両方をサポートする完全なガバナンス・ソリューションが実現さ れ、個々のアカウントや共有アカウントへのユーザーのアクセス権の認定と監査といった、企業のコンプラ イアンス要件を満たします。この独自の利点によって、標準および特権アクセスの両方でシングル・ユー ザー・エクスペリエンスがもたらされ、共通の認定およびレポート・プロセスが実現します。

Oracle Privileged Account ManagerとOracle Identity Governanceプラットフォームの緊密な統合によって得 られる利点を示す典型的なユースケースを以下に紹介します。

• Oracle Identity Governance Suiteのプロビジョニング機能により、ユーザーをOracle Privileged Account Manager

のディレクトリにプロビジョニング：Oracle Identity Governanceのポリシーおよびロールベースのプロビジョニング の利用により、Oracle Privileged Account Managerが承認ワークフローを完全にサポートしながら、特権アカウン ト・アクセス用に使用する特定のLDAPグループにシステム管理者をプロビジョニングできます。

• Oracle Identity Governanceプラットフォームによる特権アカウント・アクセスのリクエストアカウント・アクセス

は通常、LDAPによって制御されます。Oracle Privileged Account Managerを使ったベスト・プラクティスは、特権ア カウント・アクセスをLDAPグループ・メンバーシップに結び付けることです。これにより、プロビジョニングなど、 既存のLDAPグループ・メンバーシップ・プロセスでOracle Privileged Account Managerへのアクセスを管理できるよ うになります。このユースケースの場合、Oracle Privileged Account Managerユーザーは、現在承認を受けていない アカウントへのアクセスをリクエストする必要があります。

• Oracle Identity Governanceプラットフォームがそのリクエスト・カタログで特権アカウントの権限を公開：（図9

を参照）。管理者はOracle Identity Governanceプラットフォームのアクセス・リクエスト・セルフサービスを使用し て、カタログを検索し、必要なグループを選択して、承認を得るためのリクエストを送信します。承認後、ユーザー にはグループ・メンバーシップがプロビジョニングされて、Oracle Privileged Account Managerにアクセス可能にな り、特権パスワードをチェックアウトできます。これは事前統合済みのオプションですが、アクセスをリクエストし、 ユーザーを適切なLDAPに追加するための他のメカニズムも代わりに使用できます。

図9：Oracle Identity Governanceプラットフォームのリクエスト・カタログの識別

• Oracle Identity Governanceプラットフォームによる“break-glass”アクセスのリクエスト管理者はBreak-glassアクセ

スによって、通常は資格のない特権アカウントへの緊急アクセスを要求できます（break-glassメタファは、ガラスを 破って火災警報器を引くという意味から来ています）。このような状況は、重要なサーバーがダウンして、指定した サーバー管理者が使用できない場合に発生する可能性があります。この場合、管理者はbreak-glass緊急リクエストを 示すOracle Identity Governanceプラットフォームのリクエスト・プロセスを使用します。リスエストを送信すると、 顧客のプロセスやポリシーに基づく最小限または自動的な承認により、break-glassワークフローが開始されます。管 理者はOracle Privileged Account ManagerのLDAPグループにプロビジョニングされ、権限資格証明にアクセスできま す。イベントの特別なアラートが生成および監査され、セキュリティ管理者に送信されます。顧客が定義したセキュ リティ・ポリシーに基づいて、アクセスが自動的にプロビジョニング解除されます。

• 特権アカウントへのアクセス権の委任：特定の期間休職する特権ユーザーは、Oracle Identity Governanceプラット

フォームのセルフサービス委任機能を利用することで、休職中、組織のポリシー・ガイドライン内で別のユーザーに 自分の権限を委任し、復帰したら権限を再請求できます。

• リスクベースの認定とクローズドループ修正の利用：Oracle Identity Governanceプラットフォームの標準機能を利

用することで、特権アクセス情報をアクセス認定で使用できます。リスクは、特権アクセスのステータス、プロビ ジョニング方法などのその他のデータに基づいて計算できます。アクセス違反が検出された場合は、Oracle Identity Governanceプラットフォームの中核機能であるクローズドループ修正を利用してアクセスを取り消すことができます。

さらにOracle Privileged Account Managerは、Oracle Access Managementプラットフォームの利点を活用し て、OPAMコンソールへのアクセスと不正検出を簡素化できます。

Oracle Access Managementプラットフォームはサーバーベースのソリューションで、Webアプリケーショ ン認証、Webシングル・サインオン、IDアサーション、およびセッション管理向けに一元的なポリシー駆動 型サービスを提供します。また、Oracle Access Managementプラットフォームは、リアルタイムの不正予防、 ソフトウェアベースの複数ファクタの認証、独自の認証強化機能を通じてリソースの保護を行います。 Oracle Privileged Account ManagerはOracle Access Managementプラットフォームを利用して、OPAMコン ソールのシングル・サインオンおよびレイヤー化されたアクセス制御に対応します。

Oracle Privileged Account Managerおよび補完的なセキュ

リティ・テクノロジー

Oracle Privileged Account Managerは、Oracle Enterprise User Security、Oracle Database Vault、UNIX/Linux ユーザー管理など、他のセキュリティ・コンポーネントと連携して、通常のユーザーと特権ユーザーの両方 をサポートする本格的なセキュリティ・ソリューションを実現します。以下のセクションでは、Oracle Privileged Account Managerでこれらのテクノロジーを補完する方法について説明します。

Oracle Privileged Account Manager

およびOracle Database Enterprise User

Security

Oracle Enterprise User Security（EUS）は、管理者が自社のデータベース・ユーザーを一元的に管理できるよ うにするOracle Databaseの機能です。エンタープライズ・ユーザーはLDAPディレクトリで作成され、1つ以 上のユーザー・ディレクトリに登録された各種エンタープライズ・データベースのロールと権限が割り当て られます。

オラクルのID管理製品の主要な差別化要因の1つに、Oracle Enterprise User SecurityをOracle Unified Directoryに統合することで、より優れた柔軟性とユーザー・ディレクトリの選択肢をお客様に提供できると いうことがあります。Oracle Unified Directoryの仮想化機能により、組織は、Oracle Internet Directory、 Oracle Unified Directory、Oracle Directory Services Enterprise Edition、およびその他のサード・パーティ・ ディレクトリ・サービス（Microsoft Active Directory（AD）など）といった既存の企業ディレクトリを使っ て、データベース・ユーザーのIDを一元的に管理できます。

Oracle Privileged Account Managerは、表1に示すように、Oracle Enterprise User Securityを補完するサービ スを提供します。 機能の説明 以下によりサポート エンドユーザー・パスワード用に既存のエンター プライズLDAPパスワードを使用 EUS データベースのユーザー名をLDAPユーザーに、 デ ー タ ベ ー ス ・ ロ ー ル を LDAP グ ル ー プ に マッピング EUS

SYS/SYSTEMパスワードを管理 Oracle Privileged Account Manager

特権アプリケーション・アカウントのパスワード を管理

Oracle Privileged Account Manager

非Oracleデータベース管理者パスワードを管理 Oracle Privileged Account Manager

Oracle Privileged Account Manager

およびOracle Database Vault

Oracle Database（Oracle DB）Vaultは、Oracle DB管理者の職務分離、最小権限、データ整合性とデータ・プ ライバシを確保するためのその他の予防措置を実施します。Oracle DB Vaultは、Oracle DBに格納されたアプ リケーション・データを、特権データベース・ユーザーによる不適切なアクセスから予防的に保護します。 Oracle Privileged Account Managerは、表2に示すように、Oracle DBを補完するサービスを提供します。

機能の説明 以下によりサポート 特権ユーザー・アクセス制御により、アプリ ケーション・データへのアクセスを制限 Oracle DB Vault 複数ファクタの認可により、エンタープライ ズ・セキュリティ・ポリシーを実施 Oracle DB Vault セキュアなアプリケーション統合 Oracle DB Vault Oracle DB Vaultの特権アカウント・パスワー ド（SEC_ADMINなど）を管理

Oracle Privileged Account Manager

データベースの特権アカウント・パスワード （SYSなど）を管理

Oracle Privileged Account Manager

表2：Oracle Database VaultおよびOracle Privileged Account Manager

Oracle Privileged Account Manager

およびUNIX/Linuxユーザー管理

Oracle Authentication Services for Operating Systems（OAS4OS）により、企業はOracle Internet Directoryを 使用して、UNIXとLinuxの認証、ユーザー・アカウント、パスワード・ポリシー、Sudo（UNIX “スーパー ユーザー”）認可ポリシーを一元管理できるようになります。Oracle Authentication Services for Operating Systemsは、オープン標準インタフェースを基にしており、クライアント構成とユーザー移行を完全に自動 化し、ネットワーク情報システム（NIS）ネーミング・サービス（現在廃止）を置き換えるLDAPベースの ネーミング・サーバーとしての役割を果たします（注：Oracle Authentication Services for Operating Systemsをデプロイしない場合でも、Oracle Unified DirectoryやOracle Directory Server Enterprise Editionな ど、他のOracleディレクトリ・サービスを使って、一元化したUNIX/Linux環境を構築できます）。

Oracle Privileged Account Managerは、表3に示すように、Oracle Authentication Services for Operating Systemsを補完するサービスを提供します。 機能の説明 以下によりサポート エンドユーザー・パスワード用に既存のエンター プライズLDAPを使用 OAS4OS UNIXグループとNISマップをLDAPにマッピング OAS4OS

rootパスワードを管理 Oracle Privileged Account Manager

特権アプリケーション・アカウントを管理 Oracle Privileged Account Manager

Microsoft Active Directoryのパスワード（ADドメイ ンで認証を行うMicrosoft Windowsマシン）を管理

Oracle Privileged Account Manager

結論

組織は大量の管理アカウントをセキュアで効率的、スケーラブルな方法で管理しようと頭を悩ませています。 特権アカウントはシステム、企業や国家の機密情報に幅広くアクセスできるため、もっとも重要な管理対象 アカウントです。特権アカウントの管理に失敗すると、データ侵害、盗難、コンプライアンス違反、サービ スの停止が生じる可能性があります。Oracle Privileged Session Managerはターゲット・リソースへの単一の アクセス・ポイントを作成することで、特権セッション内のすべてのアクティビティを容易に制御および監 視できるように管理者を支援します。

Oracle Privileged Account Managerは、組織による特権アカウント・パスワードの管理を可能にする、汎用 性の高い統合ソリューションを実現します。Oracle Privileged Account Managerはスタンドアロン・ソ リューションとして動作できますが、他のOracle Identity Managementコンポーネントと併用するとさらに 高い価値を発揮します。Oracle Identity Governanceプラットフォームの一部であるOracle Privileged Account Managerは全面監査およびレポート機能を搭載して、データベース・サーバー、オペレーティン グ・システム、エンタープライズ・アプリケーション・アカウントへのセキュアなセルフサービス・アクセ スを提供します。

Oracle Privileged Account Managerまたは他のOracle Identity Managementソリューションの詳細について は、オラクルのWebサイト（http://www.oracle.com/identity）を参照してください。

Oracle OAuth Serviceの著者： Kanishk Mahajan、 2015年3月：

Copyright © 2015, Oracle and/or its affiliates.All rights reserved.

本文書は情報提供のみを目的として提供されており、ここに記載されている内容は予告なく変更されることがあります。本文書は一切間違いがな いことを保証するものではなく、さらに、口述による明示または法律による黙示を問わず、特定の目的に対する商品性もしくは適合性についての 黙示的な保証を含み、いかなる他の保証や条件も提供するものではありません。オラクル社は本文書に関するいかなる法的責任も明確に否認し、 本文書によって直接的または間接的に確立される契約義務はないものとします。本文書はオラクル社の書面による許可を前もって得ることなく、 いかなる目的のためにも、電子または印刷を含むいかなる形式や手段によっても再作成または送信することはできません。 OracleおよびJavaはOracleおよびその子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標です。

IntelおよびIntel XeonはIntel Corporationの商標または登録商標です。すべてのSPARC商標はライセンスに基づいて使用されるSPARC International, Inc.の商標または登録商標です。AMD、Opteron、AMDロゴおよびAMD Opteronロゴは、Advanced Micro Devicesの商標または登録商標です。 UNIXは、The Open Groupの登録商標です。

Oracle Privileged Account Manager 機密リソースへのアクセスの保護と監査 2015年4月 著者：Olaf.Stullich@oracle.com 海外からのお問い合わせ窓口： 電話：+1.650.506.7000 ファクシミリ：+1.650.506.7200