OSのアクセス管理機能が抱える5つの問題点
同社では、OSの有するアクセス管理機能が抱える問題点として、次のような項目を挙げている。
- rootやAdministratorなどに「万能」の権限が与えられてしまうこと
- リソースに対するアクセス制御が不十分であること
- 管理者権限へのアクセス
- 監査証跡の取得と保存
- OSによりセキュリティのレベルが均一ではないこと
金子氏は「OSの問題が特に重要」として、「各企業はWindowsやさまざまなLinux、UNIXを利用しているが、それらがもっているセキュリティ機能は、それぞれ異なっており、異種のOSを並行して使用している場合、セキュリティのレベルが統一的にならない。CA Access Controlは、このような状況を補完できる」と話す。
OSのアクセス制御機能には限界があるが、CA Access Controlはこれをは補完できるという(画像をクリックすると拡大します)
また、ログインと管理の制限の点では、まず、ユーザーおよびグループのログインについて、省サイン条件指定ができる。端末や時間帯による制限では、たとえば一般的な従業員の場合、就業時間内だけログインできるようにしたり、オペレーション担当者は24時間ログイン可能、あるいはマシンルームではルーム内部の特定マシンからしかログインできないといった設定ができるという。
さらに、10日間ログインがなかったユーザーIDは自動失効させることも可能で、「すでに実際のユーザーがいないのに、IDだけが残っている『幽霊ID』を排除」(金子氏)できる。
金子以澄氏
一方、Active Directoryの普及が進んだことから、同製品では「UNIX Authentication Broker」(UNAB)を搭載した。これは、UNIXユーザーをActive Directoryで認証できるもので、認証およびアカウント情報を企業のActive Directoryで統合整理することができ、システム上に存在するUNIXユーザーの認証を個別に管理する必要がなくなる。
また、効率性をいっそう向上させるため「統合Webユーザ・インタフェース」を導入。集約化されたウェブインターフェースによって、既存機能から新機能までを一元管理することが可能となる。同社では、情報の統合整理とポリシー管理が容易になり、TCOを低減させることができるとしている。
金子氏は、「これまでCA Access Controlは高リスクなサーバ管理のために利用されることが多かったが、最近では中程度のリスクを持つサーバも管理したいといった要求が出てきている。特権ユーザーとパスワード管理を担うPUPMの搭載により、データベース管理システムから、ERPなどにまでカバレージを広げることができる」と述べており、今回の機能拡張でAccess Controlの陣地を拡大させたい考えを示した。
