Skip to main content

Fujitsu

Japan

CA Privileged Access Manager
機能

販売終了のお知らせ

本製品は、2020年6月29日をもって販売を終了いたしました。

機能説明

認証情報管理

認証情報管理重要なデータにアクセス可能である特権アカウント / 共有アカウントの認証情報を管理します。

様々なシステムの認証情報(パスワード等)を安全に管理

  • アプライアンス内で認証情報を保管
  • 豊富な管理対象
    • OS
    • DB
    • ネットワーク機器
    • Webサービス
    • Cloudベースサービス
    • AWS
    • など

パスワードポリシー

  • 柔軟なパスワードポリシーにより企業に合わせたパスワード管理
  • パスワードの複雑性と変更タイミングの定義
  • パスワード変更タイミングの定義
  • パスワード利用時のワークフロー & メール通知の定義
  • パスワードのチェックイン/チェックアウト(専用貸し出し)

SSH鍵の管理

  • パスワードだけではなく、LinuxやUNIX系のログインに多く使用される「SSH鍵認証」におけるSSH鍵の管理もサポート
  • AWSマネジメントコンソールでも必須

ユーザー認証

ユーザー認証すべてのアクセスの入り口となるCA Privileged Access Managerへのログインにより、特権アカウント / 共有アカウントの利用や重要なサーバへアクセス可能な個人ユーザーを多様な認証方式で厳密に識別・認証します。
以下の認証ストア方式をサポートします。

全てのアクセスの入り口となるCA Privileged Access Managerへのログインに様々な認証方式をサポート

  • CA Privileged Access Manager上のローカルユーザー(ID & パスワード)
  • 標準的なディレクトリ
    • Active Directory / LDAP v3
  • 多要素認証
    • RADIUS / TACACS+
    • CA Advanced Authentication / RSA SecurID
  • IDフェデレーション
    • SAML / ADFS

アクセスポリシー

アクセスポリシー = [ユーザー] + [デバイス] + [その他]

ユーザーのそれぞれの役割に応じて、許可されている管理対象サーバ・特権アカウントのみにアクセスできるようにします。

アクセスポリシーにより、管理対象へのアクセスをユーザーごとに細かく制御

  • アクセスポリシーを構成するコンポーネント
    • ユーザー : "誰が"
    • デバイス : "どのサーバにアクセスして良いか"
    • その他のコンポーネント
      • パスワード : "どのアカウントとパスワードを使って"
      • サービス : "どのようなアクセス / プロトコルで"
      • 録画 : "アクティビティを録画するか"
      • フィルター : "管理対象へのログイン後にアクセス制御を行うか"
  • ユーザー
    • CA Privileged Access Managerにログインするユーザー
      • "ユーザー認証" で認証されたユーザー(管理対象上のアカウントではありません)
  • デバイス
    • 管理対象となるサーバ(ホスト名 or IP)
      • 複数の管理対象アプリケーションが1つのサーバ上にある場合も、デバイスとしては1つ
  • パスワード
    • 管理対象へのログインに使用するアカウントとそのパスワード
      • パスワードを指定しない場合には手動で入力
  • サービス
    • 管理対象へのログイン方法
      • Access Method:
        CA Privileged Access Managerが用意しているログインアプリケーション(SSH / RDP / Telnetなど)
      • Services:
        CA Privileged Access Managerで提供されていないログインアプリケーションを使用するための定義
  • 録画
    • セッション録画の指定
      • Graphical : WindowsのRDP接続の録画
      • Command : UNIXやLinux系のSSH / Telnet接続におけるキーボードロギング
      • Web Portal : Webアクセスの画面録画
  • フィルター
    • 対象へのログイン後のアクセス制御
      • コマンドフィルター : コマンド実行のホワイトリスト / ブラックリスト
      • ソケットフィルター : 対象サーバからの踏み台アクセス防止(要エージェント)

ID連携(シングルサインオン)

CA Privileged Access Managerを経由して特権IDでの管理対象へのシングルサインオンができます。これにより、セキュリティに加え、ユーザーの利便性も向上します。

管理対象サーバ / アプリケーションへのアクセス

  • Access Method
    • Access Methodはビルトインのログインアプリケーション
    • 以下のプロトコルを使用した管理対象へのアクセスをサポート
      • SSH / Telnet
      • RDP など・・・
    • 以下を行いたい場合には基本的にAccess Methodが前提となる(例外あり)
      • シングルサインオン / 自動ログイン
      • セッション録画

CA Privileged Access Managerを経由した管理対象へのアクセス

CA PAMを経由した管理対象へのアクセス

モニタリング & フィルタリング

ユーザーのアクセスをモニタリングするだけでなく、不正なアクセスを防止します。

モニタリング

  • ログ出力
    • アクセス履歴の取得
      • 「誰がいつどこで何をしたのか」の履歴を取得
      • セッションの開始 / 終了時間も記録
      • ユーザーが使用したアカウントやそのパスワード変更の履歴を取得
      • フィルター条件の違反を記録
      • CA Privileged Access Managerの管理オペレーションを記録
    • ログ管理
      • ログのアーカイビング & 削除のスケジューリング
      • SyslogサーバやSIEMと連携したログ転送
  • アラート通知
    • 管理者へのメール通知
      • モニタリングサービスの起動時
      • ログのアーカイビング & 削除時
      • フィルター条件の違反があった場合
      • CA Privileged Access Managerへのログイン時(オプション)
      • など

フィルタリング

  • コマンドフィルター
    • CA Privileged Access Managerを介するSSH / Telnetアクセスのコマンド実行制御
      • ホワイトリスト or ブラックリストにより、許可/拒否コマンドを定義
      • 違反(注1)があった場合にはメールによるアラート通知
      • 特定回数以上の違反があった場合にセッションの強制切断が可能
        (注1)ブラックリストに記載されたコマンドがデバイスに対して実行された場合やホワイトリストに記載されていないコマンドが実行された場合

フィルタリング

  • ソケットフィルター(要エージェント)
    • CA Privileged Access Managerを介した管理対象サーバOSへのログインアクセス後、他のサーバへの踏み台アクセス防止
      • ホワイトリスト or ブラックリストにより、特定のネットワーク & ポートへのアクセス許可 / 拒否
      • 違反(注2)があった場合にはメールによるアラート通知可能
      • 特定回数以上の違反があった場合にセッションの強制切断が可能
        (注2)ブラックリストに記載されたアクセスがあった場合やホワイトリストに記載されていないアクセスがあった場合

ソケットフィルター

セッション録画

問題が発生した場合、後からユーザーの実際のアクティビティを追跡できます。

  • セッション録画
    • 以下のアクセスのセッションをビデオ形式で録画
      • Access Methodを使用したアクセス
      • 下記Serviceを使用したアクセス
        • SSH / Telnetを使用したTCP / UDPサービス
        • CA Privileged Access Managerブラウザを使用した Web Portalサービス
        • RDPアプリケーション
      • 違反があったアクセスのセッション録画を強調表示
  • メタデータ検索
    • Access Methodを使用したSSH / Telnetのセッション録画に対してはメタデータ(キーワード)による検索を実現

RDPセッション録画のリプレイ

RDPセッション録画のリプレイ

SSHセッション録画のリプレイ & メタデータ検索

SSHセッション録画のリプレイ&メタデータ検索

特権アカウント / 共有アカウントの識別

作業後、監査対応のため特権 / 共有アカウントを実際には誰が利用していたのかをレポートします。

  • レポート
    • レポートにより、特権アカウント / 共有アカウントを誰が利用したのかを正確に識別
    • ビルトインで様々なレポートを提供
      • View Password Request : 特権アカウント / 共有アカウントパスワード利用アクセス履歴
      • Account Passwords Updates : アカウントのパスワード更新履歴
      • Cluster State : クラスタの状況
      • Privileged Accounts : 特権アカウント一覧
      • など
    • PDFだけでなく、HTMLやCSVなど複数のフォーマットをサポート
    • スケジュールによる定期的なレポート作成

レポートサンプル

レポートサンプル

製品体系

製品別 機能概要 / 対応OS一覧表
製品名 機能概要 対応OS
CA Privileged Access Manager CA Privileged Access Manager(CA PAM)は、特権IDを管理する製品です。多様なシステムを対象に特権IDのアクティビティを一元的に制御/記録/監視して、特権IDの悪用を防ぐことができます。また、高権限である「特権ID」を使って、「誰が」「いつ」「どんな操作」を行ったのか操作ログの記録や操作画面の録画ができるため、調査や監査に利用できます。 VMware ESXiで動作する仮想アプライアンス商品

本製品に関するお問い合わせ

Webでのお問い合わせ

入力フォーム

製品名を入力してください。

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-933-200 富士通コンタクトライン(総合窓口)

製品名をお伝えください。

受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)