CA Access Control から CA Privileged Identity

CA Access Control から CA Privileged Identity
Manager 12.8 へのアップデート
CA Privileged Identity Manager ( 旧 CA ControlMinder ™ ) では、特権ユーザを強力に制御して、コンプライアンス違反のリスクやコ
ストのかかるセキュリティ違反のリスクを低減できます。 CA Privileged Identity Manager は幅広い機能を備えた包括的で成熟したソ
リューションです。 詳細設定可能なユーザ・アクセス制御、特権ユーザ・パスワード向けの共有アカウントのパスワード管理、 UNIX か
ら Active Directory への認証のブリッジング、ユーザ・アクティビティのレポート作成などが行えます。
CA Access Control のメリットは、詳細設定可能な特権ユーザ制御からリモート構成管理まで多数ありますが、 CA Technologies は、
CA ControlMinder 12.8 で特権 ID 管理を新たなレベルへと引き上げました。 CA の最新ソリューションがリスクを低減するだけでなく
セキュリティ管理を容易にする方法について、以下をご参照ください。
機能比較表
CA Access Control r8
特長
CA Access Control r12
CA Privileged Identity
Manager r12.8
共有アカウント管理
共有アカウント管理
アプリケーション間アカウント管理
詳細設定可能なアクセス制御
ポリシーの変数サポート
高度なポリシー管理
エンドポイント管理 Web ベース・インタフェース
UNIX カーネル・モジュールのセキュアなロード / アンロード
Windows でのサービス保護
Windows でのレジストリ値保護
クラス別の警告モード
監査
制限付き使用 CA
User Activity Reporting ライセンス
エンタープライズ・レポート(標準レポート 60 未満)
Unix 認証ブリッジング
Unix 認証ブリッジング
UNIX/Windows SSO
一般
Amazon AWS のサポート(IaaS)
CA Advanced Authentication 統合(二要素認証)
エンタープライズ管理 Web ベース・インタフェース
外部ユーザ・ストアのサポート
コンポーネント間通信の SSL サポート
リモート構成管理
CA Session Recording Shared Account Management との統合
✓
2 | CA PRIVILEGED IDENTITY MANAGER 12.8 へのアップグレード
ca.com/jp
主なアップデート
共有アカウント管理(特権ユーザのパスワード管理)
共有アカウント管理は、特権アカウントにセキュア・アクセスを提供します。また、パスワードの複雑度を管理し、一時的なワンタイム・
パスワードの発行や共有アカウント・アクセスのセキュアな監査により特権アクセスの責任の明確化も行います。また、共有アカウント
管理は、緊急の「非常時」アクセスを可能にするだけでなく、アプリケーションがプログラム的にシステム・パスワードにアクセスし、
スクリプトからハード・コードのパスワードを削除できるようにします。物理および仮想環境で、幅広いサーバ、アプリケーション(デー
タベースを含む)、およびデバイスがサポートされています。
共有アカウント管理(特権ユーザのパスワード管理)
Windows Services では手動で行うサービス・アカウント・パスワードの管理を自動化し、システムへのログインを要求する Windows
でスケジュールされたタスク(Windows Scheduled Task)によって使用されるパスワードを管理し、 Windows Run-As メカニズムと
統合して共有アカウント管理から該当する特権ユーザのパスワードを抽出します。
ポリシーの変数サポート
カスタマイズ可能な変数に基づいて、ジェネリックで動的なポリシーを作成し、管理をパワフルかつシンプルにします。
高度なポリシー管理
詳細ポリシー管理機能では、最初にポリシーを設定すれば、以降はボタンを 1 度押すだけで、世界中どこのサーバにもポリシーを送信
できます。
エンドポイント管理 Web ベース・インタフェース
Web ベースのインタフェースをエンドポイント管理に使用して、管理を簡単にし、使いやすさを改善します。
UNIX カーネル・モジュールの安全なロードとアンロード
カーネル・モジュールをロード / アンロードする権限を実行します。カーネル・モジュールのロード / アンロード許可を実行するときに使
用する新しいデータベース・クラスは KMODULE です。
Windows でのサービス保護
未承認の管理者による終了や変更から、 Windows Services を保護します。
Windows でのレジストリ値保護
管理者であっても不正なアクセスからは、 Windows レジストリを保護します。
クラス別の警告モード
CA Privileged Identity Manager は、個別のレコードを警告モードにするのではなく、あるクラスのすべてのレコードを警告モードにし
ます。警告モードは、アクセス・ルールを実行せずにこれらのルールの影響を監視するときに使用します。これにより、ポリシーのプロ
ファイリングが簡単になり、ポリシー導入が容易になります。
Unix 認証ブリッジング
CA Privileged Identity Manager の UNIX Authentication Bridging(認証ブリッジ)機能を使用すると、Microsoft Active Directory
から UNIX ユーザを管理できます。これにより、各システムでローカルに UNIX クレデンシャルを管理するのではなく、認証と Active
Directory のアカウント情報の統合が可能になります。ユーザおよびグループを、 NIS(Network Information Service)またはローカ
ルの /etc/passwd ファイルで定義する必要はありません。ホーム・ディレクトリ、シェル、 UID、 GECOS などのユーザ属性とパスワード・
ポリシーは、 Active Directory から抽出されます。主な機能には、ネイティブ Windows イベント・ログとの統合、動的 LDAP 属性マッ
ピング、キャッシュ機能、 Kerberos によるシングル・サインオン、および集中ログイン・ポリシーなどがあります。
3 | CA PRIVILEGED IDENTITY MANAGER 12.8 へのアップグレード
ca.com/jp
UNIX/Windows シングル・サインオン
Active Directory が発行する Kerberos チケットを使用して、ドメインに接続された Windows および UNIX システム間でシングル・サ
インオンを確立します。たとえば、ユーザが、 Kerberos 対応 SSH クライアントを使用して、 Windows システムから Linux システムへ
の SSH セッションをオープンした場合、 Linux システムは、 SSH クライアントから受け取った Kerberos チケットを使用して、パスワード
を要求することなく、ユーザのアイデンティティを確立します。
Amazon AWS のサポート(IaaS)
Amazon AWS 向けの完璧な基準アーキテクチャと、 Amazon プラットフォームで一般的に使用されている低コスト Linux オペレーティ
ング・システム Ubuntu および Debian のサポート。
エンドポイントでの CA Advanced Authentication 統合(二要素認証)
特権アカウントへのアクセスを要求するユーザは、 CA Advanced Authentication が発行するワンタイム・パスワードの入力が必要にな
りました。これにより、最も機密性の高いアイデンティティを、二要素認証を使用して、組織内外からの悪意のある攻撃者の違反行為
か ら 保 護 し ま す。 注 :CA Privileged Identity Manager Enterprise Management Console へ の ア ク セ ス も、 CA Advanced
Authentication で保護されています。
エンタープライズ管理 Web ベース・インタフェース
今日のサーバリソースに要求される拡張性とリソースの複雑さを考慮すると、局所的な例外事項やビジネスニーズに対応しつつ、世界
規模に拡大した企業のアクセス制御ポリシーを一元管理できることはきわめて重要です。 CA Privileged Identity Manager には、アク
セス管理を促進し効率化する機能や、信頼性があり明白な方法で例外処理を行える高度な機能が数多く備わっています。
外部ユーザ・ストアのサポート
エンタープライズ・ユーザ・ストア、すなわち、オペレーティング・システムにネイティブのユーザとグループのストアをサポートします。
たとえば、 UNIX の LDAP ディレクトリと Windows のアクティブディレクトリがサポートされます。このサポートとは、 CA Privileged
Identity Manager データベースにユーザやグループを同期したりインポートする必要なく、エンタープライズ・ユーザおよびグループ
のアクセス・ルールを定義できることを意味します。
コンポーネント間通信の SSL サポート
異なる CA Privileged Identity Manager のコンポーネント間および異なるサーバ上のサービス間の通信を、クライアント / サーバ認証
で標準 SSL 接続を使用して暗号化できます。 SSL 通信は、標準のデジタル証明書(X.509)を使用します。
リモート構成管理
CA Privileged Identity Manager 管理者が、集中管理コンソールからエンドポイントの構成を変更できるようにします。
4 | CA PRIVILEGED IDENTITY MANAGER 12.8 へのアップグレード
ca.com/JP/でCA Technologiesにアクセスしてください
CA Technologies (NASDAQ:CA)は、企業の変革を推進するソフトウェアを作成し、ア
プリケーション・エコノミーにおけるビジネス・チャンスをつかめるようお手伝いします。
ソフトウェアはあらゆる業界であらゆるビジネスの中核を担っています。プランニングか
ら開発、管理、セキュリティまで CA は世界中の企業と協力し、モバイル、プライベート
およびパブリック・クラウド、分散およびメインフレーム環境にまたがり、人々の暮らしや
ビジネス、コミュニケーションの方法を変化させています。詳細については ca.com/jp/
をご覧ください。
Copyright ©2014 CA. All rights reserved. UNIX は The Open Group の 登 録 商 標 で す。 Microsoft、 Windows、 Active Directory は、 米 国
Microsoft Corporation の米国およびその他の国における登録商標または商標です。 Linux® は、米国およびその他の国における Linus Torvalds の登
録商標です。本書に記載されているすべての商標、商号、サービス・マーク、ロゴは、該当する各社に帰属しています。
CS200-93680_0914