ペンティオオリジナル記事 2025.07.23

PAM Essentialsで実現する安全なLinux SSHアクセス

〜クラウドを活用した特権IDの一元管理と操作履歴の記録・可視化〜

Linux Serverでの資産管理にこんな課題はありませんか？

サーバーへのアクセス履歴の記録や追跡作業が煩雑で、特権アカウントの利用状況を正確に把握しづらい
削除漏れ等の問題により残存している特権アカウントでの不正アクセスが不安
操作ログの収集体制が不十分で、特権操作の証跡管理や監査対応において不安が残る

クラウドサービス、たとえば Google Workspace や Slack へのログイン管理は、IDaaSとの連携によって整備が進んでいます。一方で、Linuxサーバーに対する特権IDのアクセス管理は依然として別の仕組みや手動運用に依存しているケースが多く、管理の一貫性に課題が残されています。このような環境では、SSHアクセスの履歴や操作内容が記録されないまま運用されることもあり、万が一の操作ミスや不正行為の兆候を見逃すリスクが高まります。

これらの課題をOneLogin PAM Essentialsの導入でどう解決できるかをご紹介します。

本記事は、クラウドサービス（SaaS）の認証・認可だけでなくサーバー資産に対するアクセスコントロールを一元化したい方をはじめ、Linux Serverでサーバーを多数運用しており開発環境や本番環境のアクセスを内部統制したい開発部門の責任者の方に最適なソリューションをご紹介しています。ぜひ最後までご覧ください。

OneLoginとは

6,000以上のサービスに対応するSSO基盤として、柔軟なプロビジョニングやMFA連携、ロールベースのアクセス制御に対応しているIDaaS（Identity as a Service）です。ユーザーごとのサービス利用権限をクラウド上で一元管理でき、手間のかかる運用負荷を大幅に軽減します。

国内外の多数のSaaSに対応したカスタム可能なSSOコネクターと多言語対応ポータルを備え、数分で導入できます
スマートフォンOTP・生体認証・証明書認証など18種のMFA方式に対応し、柔軟なセキュリティ対策が可能です
Active DirectoryやGoogle Workspaceなど11種のディレクトリとリアルタイムに連携し、ユーザー情報の自動同期やプロビジョニングによりアカウント管理を効率化できます

PAM Essentialsとは

OneLoginが提供するクラウドネイティブなSaaS型特権アクセス管理（PAM）ソリューションです。特権アカウントへのアクセスを必要な時だけ許可し、セッションの録画や監査機能により不正操作を抑制します。簡単かつ短期間で導入でき、クラウド環境との親和性も高いのが特長です。

OneLoginで設定したMFAやロール、アクセスポリシーを活用することで、特権アカウントへのアクセス管理をOneLoginに一元化し、SaaSとサーバーの両方に対する高度なアクセス制御を実現します
特権アカウントのパスワードを定期的にローテーションすることで、攻撃者が資格情報を取得しても、使用可能な期間が限定され、リスクを最小限に抑えられます
Windows・Macどちらの環境でも、WebブラウザやSSHクライアントを使って、Linux OSへリモートデスクトップ接続が行えます

用語解説

今回PAM Essentialsの検証を行うにあたっていくつか固有名詞が登場します。

Asset

特権ID管理の対象となる資産のことです。Windows (RDP) , Linux (SSH)を搭載したPC・サーバー等を指します。

Agent

ユーザーがAssetにアクセスする際、PAM Essentialsがクラウドからオンプレミス環境（LAN）に対してリモート接続・制御を行うために配置されるネットワークエージェントです。

Account

PAM が管理する特権アカウントを指します。これらのアカウントはすべて PAM を経由してのみ操作可能であり、アクセス操作は自動的に記録されます。パスワードも PAM によって一元管理されており、定期的に自動で変更されるため、利用者がパスワードを知ることはありません。

検証概要

今回は以下の2つのテーマで検証を行いました。

OneLoginからLinux ServerのシステムにSSH接続し、特権IDとしてLinux Serverへログイン及び操作を行う
アクセスログおよび操作ログを監査用ファイルとして動画形式で記録し、キーボード入力を含む操作内容を可視化・確認する

これらの仕組みを導入することで、以下の項目の実現が可能になります。

アクセス元のOSに依存せずSSH接続可能
パスワード自動ローテーション機能により、特権操作用のID貸与をパスワード共有なしで実施可能
接続後の操作はすべて動画形式で記録・監査可能
SaaSとサーバー資産の両方のアクセス権をOneLoginで一元的に管理可能

検証で使用した端末・サービス情報

今回の検証で使用した端末やサービス情報を以下の表に示します。

製品名	メーカー	役割・機能	バージョン
MacBook Pro	Apple	Assetアクセス端末	Sequoia 15.4.1
OneLogin PAM Essentials	OneLogin by One Identity	Identity Provider	-
Linux Ubuntu 22.04 LTS（Desktop）	Ubuntu	Agent・Asset	Ubuntu 22.04.2 LTS
ThinkPad E15	Lenovo	ログ動画確認用	Windows 11 Pro（24H2）

事前に作成したもの

OneLogin
- Assetへのアクセスを許可するためのロール
Assetのシステム要件
- 2つの管理者アカウントを用意しました。それぞれの用途は以下のとおりです
  - Asset登録用管理者アカウント：Assetの登録時に使用するアカウントで、パスワードローテーションを実施する役割を担います
  - アクセス用管理者アカウント：ユーザーがPAM EssentialsからAssetへアクセスする際に使用します。パスワードは毎週自動で変更されます

動作概要

Assetへのログインの流れは以下の通りです。

ユーザーがOneLoginのPAM Essentialsポータル画面にログインします
ユーザーがポータルからAssetにアクセスを試みます
ユーザーは、PAM Essentialsを経由してAgentを中継し、Assetへのアクセスと操作が可能になります

本記事でご紹介する構成を導入する前後で、Linux Server管理にどのような違いが生まれるのかを、具体的なユースケースでご紹介します。

シナリオ	従来の運用（Before）	導入後の運用（After）
監査対応が求められる急成長中のSaaS企業	本番サーバーのrootアカウントを複数人で共有しており、操作内容や責任の所在が不明確だった。アクセス制御や記録は手作業に頼っていた。	特権アクセスをOneLogin経由に統一し、ユーザー単位で操作ログを取得。監査要件を満たす運用ができるようになり、証跡管理の負担も軽減された。
外部委託のアクセス管理に困っていたWebサービス運営企業	外部業者に一時的にアカウントを発行し、終了後も削除漏れが発生していた。	OneLogin上でアクセス権を付与し、終了と同時にアカウント無効化。誰が何をしたかの証跡も個別に取得できる。
大学の研究用Linux Server環境を管理する情報基盤担当者	学内の研究チームが各自でSSH接続し、パスワードや公開鍵の使い回しが発生していた。情報漏洩や不正利用の懸念が強まり、MFAを導入したいがSSHでの実現に困っていた。	OneLoginへのログイン時にユーザーに対してMFAを要求することで、SSHのリスクを大幅に低減。端末や場所を問わず、安全にアクセス制御が可能になった。

シナリオ

従来の運用（Before）

導入後の運用（After）

監査対応が求められる急成長中のSaaS企業

本番サーバーのrootアカウントを複数人で共有しており、操作内容や責任の所在が不明確だった。アクセス制御や記録は手作業に頼っていた。

特権アクセスをOneLogin経由に統一し、ユーザー単位で操作ログを取得。監査要件を満たす運用ができるようになり、証跡管理の負担も軽減された。

外部委託のアクセス管理に困っていたWebサービス運営企業

外部業者に一時的にアカウントを発行し、終了後も削除漏れが発生していた。

OneLogin上でアクセス権を付与し、終了と同時にアカウント無効化。誰が何をしたかの証跡も個別に取得できる。

大学の研究用Linux Server環境を管理する情報基盤担当者

学内の研究チームが各自でSSH接続し、パスワードや公開鍵の使い回しが発生していた。情報漏洩や不正利用の懸念が強まり、MFAを導入したいがSSHでの実現に困っていた。

OneLoginへのログイン時にユーザーに対してMFAを要求することで、SSHのリスクを大幅に低減。端末や場所を問わず、安全にアクセス制御が可能になった。

作業詳細

OneLoginの設定を行い、Agent用のLinux ServerにOneIdentity Network Agent（OINA）のインストールのみで、AssetへのSSH接続が可能になります。

Asset側にはエージェントやソフトウェアの導入は一切不要で、完全にエージェントレスでの運用が実現します。

OneLoginの設定

1. PAM Essentials無料トライアルの開始

PAM EssentialsはOneLoginのオプションなので、手動で有効化する必要があります。

OneLoginに管理者としてログインした後、管理画面からPrivileged Access（PAM）メニューにアクセスし、[ Activate PAM Essentials ]をクリックします

これでPAM Essentials 無料トライアルが開始できました。

2. Agentの登録

Assetへのアクセスを中継させるため、Agentを用意します。

再度OneLoginの管理画面からModules > Privileged Access（PAM）メニューをクリックすると、PAM Essentialsの管理画面にアクセスできます
Networksの管理からNetwork segmentを追加したら、Install network agents > [ Linux Installation ]をクリックします
スクリプトをコピーしてAgent用のLinux Serverで実行します。
Network agent packageがインストールできたら、表示されたURLをブラウザに入力しアクセスします
認証が完了したことを確認します
Agentが登録されたことを確認します

以上でAgentの登録は完了です。

3. Assetの登録

実際に情報資産が保管されているAssetをPAM Essentialsに登録します。

Asset groupを作成し、サーバーを追加するために、[ Add asset ]をクリックします
以下のように設定し、[ Add asset ]をクリックします。Accountには事前に用意したAsset設定用管理者を使用してください
Assetが登録されたことを確認します

以上でAssetの登録は完了です。

4. Accountの追加

Asset内に存在する管理者アカウントをAccountとして登録します。

Account groupを作成し、Accountを追加するために[ Add accounts ]をクリックします
以下のように設定し、[ Add account ]をクリックします
ユーザーが追加されたことを確認します

以上でAccountの追加は完了です。

5. Access Policy作成

OneLoginのRoleにAssetやAccount、または割り当てられたOneLoginユーザーアカウントに対してAssetへのアクセス権を割り当てるために使用するためにAccess Policyを作成します。

Access Policies管理画面にアクセスし、[ New access policy ]をクリックします
以下のように設定し、[ Create policy ]をクリックします
Assign rolesではOneLoginに事前に作成したRoleを使用します
Access Policyが作成されたことを確認します

以上でAccess Policyの作成が完了です。

⁠動作確認

実際にAssetに対してアクセスを行い、ユーザー名、マシン名、マシンの環境情報の確認を行いました。

上記の動画で行ったアクセスをログ動画としてWindows専用ソフトウェアで監査しました。

おわりに

今回は OneLogin の PAM Essentials を活用し、「Webブラウザ上でOneLoginからLinux ServerへSSH接続し、特権IDでログイン・操作する」および「そのアクセス・操作の内容を動画形式で記録し、キーボード入力などの詳細を後から閲覧・監査可能にする」という2つの検証を実施しました。

その結果、Google ChromeなどのブラウザからOneLoginポータル経由でLinux ServerにSSH接続でき、VPNや専用クライアントを使わずに特権操作が可能であることを確認しました。さらに、操作内容がユーザーごとに録画・保存されることで、権限の利用履歴が明確になり、内部統制やインシデント対応にも有効であることが確認できました。

安全で可視性の高いSSHアクセス管理の実現に向け、OneLogin PAM Essentials の導入をご検討ください。以上、「PAM Essentialsで実現する安全なLinux SSHアクセス」検証レポートでした。

PAM Essentialsについての詳細はOneLogin PAM Essentialsをご覧ください。

＊本サイトに掲載されている製品またはサービスなどの名称及びロゴは、各社の商標または登録商標です。