日本CAは2009年11月10日、サーバーOSを対象にしたアクセス制御ソフトの最新版「CA Access Control r12.5 Premium Edition」を発表、同日より出荷を開始した。Active Directoryとの連携機能を強化したほか、特権ユーザーIDに対するパスワード発行・運用を一元管理する機能などを追加した。
中心となる機能の1つが「カーネルインターセプション」。rootやAdministratorといったシステム全体へのアクセス権限を持つ特権ユーザーIDに対して所定のアクセス制御をかける。具体的にはOS内部に導入するソフトが、ユーザーやプロセスがシステムに送るすべてのコマンドをフック。事前設定したアクセスポリシーに基づいて許可された操作のみを実行可能とする。同様の機能を実現する「セキュアOS」製品があるが、WindowsとLinuxといった複数のOSに共通したポリシーを設定できないなど運用に手間がかかることが多かった。
特権ユーザーIDのパスワードを厳格に管理する「Privileged User Password Management(PUPM)」も追加した。パスワードの申請・承認機能や、パスワードを自動リセットする機能、申請・承認内容のログ管理機能などを用意。サーバーOSに加えてOracleやSQL Server、DB2といったデータベース管理システム(DBMS)などの特権ユーザーIDのパスワードなども管理できる。「特権ユーザーIDのパスワードを共有し、紙やスプレッドシートの台帳で手作業でパスワードの利用状況を管理している企業も少なくない。PUPMではそれらをシステムで管理できるため、手作業にありがちな管理漏れを防げる」(マーケティング部プロダクトマーケティングマネージャーの金子 以澄氏)。
PUPMによるパスワード振り出しの流れは次のようになる。まずエンドユーザーがPUPMの管理サーバーにアクセスし、「システム(A)に特権ユーザーID(B)でログインしたい」旨を申請。管理者が承認すると、サーバーは特権ユーザーID(B)用のパスワード(C)を新たに振り出す。同時にサーバーはシステム(A)に接続して、特権ユーザーID(B)用のパスワードを(C)にリセットすることで、エンドユーザーが特権ユーザーとしてログイン可能になる。作業終了後、エンドユーザーはサーバーにアクセスして作業終了報告をし、パスワード(C)を失効する。パスワードには有効期限を設け、期限経過後にログインを防止することも可能だ。
そのほかの新機能として、Active Directoryに登録したユーザー名とパスワードの組み合わせでUNIXにログインできる「UNIX Authentication Broker(UNAB)」を搭載した。UNIXサーバーに「CA Access Control UNAB Agent」と呼ぶエージェントソフトを導入。これがADと通信し、ユーザー情報を取得する仕組みだ。ユーザー情報はADのみに登録する方法と、ADとUNIX双方に登録する方法の2つから選んで運用できる。
日本CAはPUPMなどの新機能による利便性を訴求し、企業内の幅広いシステムへの適用を促したい考えだ。参考価格は5サーバーライセンスで240万円。
関連記事 ■[製品サーベイ] 特権ユーザーの“野放し”にメスを入れ、安全なサーバー運用体制を築く (修正)「データベース管理システム(DBMS)などの特権ユーザーIDなども管理できる」とありましたが、「データベース管理システム(DBMS)などの特権ユーザーIDのパスワードなども管理できる」の誤りです。お詫びして訂正いたします。またカーネルインターセプションの説明につきまして、一部表現を変更いたしました。上記2点はすでに修正済みです。(2009年11月12日午後5時50分)
