PAM Essentialsで実現する安全なLinux SSHアクセス
Windows Serverでの情報資産の管理にこんな課題はありませんか?
- Active Directory管理やファイルサーバ運用がGUIベース中心のため、操作ログ(監査証跡)が不十分
- 多要素認証(MFA)やセッションの可視化・制御機能が未導入のため、RDP(リモートデスクトップ)経由での管理操作を在宅勤務環境に安全に提供できる仕組みがない
- VPNや社内物理端末への依存が高く、近年求められるセキュリティモデルと乖離している
多くの企業で、Google WorkspaceやMicrosoft 365、SlackなどのクラウドサービスはIdPと連携されている一方で、オンプレミスやクラウド上のWindows Server管理は別管理で、監査やアクセス制御の運用が分断されています。
その結果、GUI操作におけるサーバーへのRDPアクセスの履歴や操作内容が記録されず、不正・ミスの追跡が困難で内部統制やセキュリティ監査においてリスクが残っていることも...。
これらの課題を、これらの課題をOneLogin PAM Essentialsの導入でどう解決できるかをご紹介します。
本記事は、クラウドサービス(SaaS)の認証・認可だけでなくサーバー資産に対するアクセスコントロールを一元化したい方をはじめ、社内ヘルプデスクやリモート作業が多くWindows ServerやWindows仮想デスクトップをRDPで運用している企業様に最適なソリューションをご紹介しています。ぜひ最後までご覧ください。
OneLoginとは
6,000以上のサービスに対応するSSO基盤として、柔軟なプロビジョニングやMFA連携、ロールベースのアクセス制御に対応しているIDaaS(Identity as a Service)です。ユーザーごとのサービス利用権限をクラウド上で一元管理でき、手間のかかる運用負荷を大幅に軽減します。
- 国内外の多数のSaaSに対応したカスタム可能なSSOコネクターと多言語対応ポータルを備え、数分で導入できます
- スマートフォンOTP・生体認証・証明書認証など18種のMFA方式に対応し、柔軟なセキュリティ対策が可能です
- Active DirectoryやGoogle Workspaceなど11種のディレクトリとリアルタイムに連携し、ユーザー情報の自動同期やプロビジョニングによりアカウント管理を効率化できます
PAM Essentialsとは
OneLoginが提供するクラウドネイティブなSaaS型特権アクセス管理(PAM)ソリューションです。特権アカウントへのアクセスを必要な時だけ許可し、セッションの録画や監査機能により不正操作を抑制します。簡単かつ短期間で導入でき、クラウド環境との親和性も高いのが特長です。
- OneLoginで設定したMFAやロール、アクセスポリシーを活用することで、特権アカウントへのアクセス管理をOneLoginに一元化し、SaaSとサーバーの両方に対する高度なアクセス制御を実現します
- 特権アカウントのパスワードを定期的にローテーションすることで、攻撃者が資格情報を取得しても、使用可能な期間が限定され、リスクを最小限に抑えられます
- Windows・Macどちらの環境でも、WebブラウザやRDPクライアントを使って、Windows OSへリモートデスクトップ接続が行えます
用語解説
今回PAM Essentialsの検証を行うにあたっていくつか固有名詞が登場します。
Asset
特権ID管理の対象となる資産のことです。Windows (RDP) , Linux (SSH)を搭載したPC・サーバー等を指します。
Agent
ユーザーがAssetにアクセスする際、PAM Essentialsがクラウドからオンプレミス環境(LAN)に対してリモート接続・制御を行うために配置されるネットワークエージェントです。
Account
PAM が管理する 特権アカウントを指します。これらのアカウントはすべて PAM を経由してのみ操作可能であり、アクセス操作は自動的に記録されます。パスワードも PAM によって一元管理されており、定期的に自動で変更されるため、利用者がパスワードを知ることはありません。
検証概要
今回は以下の2つのテーマで検証を行いました。
- OneLoginからWindows ServerのシステムにRDP接続し、特権IDとしてWindows Serverへログイン及び操作を行う
- アクセスログおよび操作ログを監査用ファイルとして動画形式で記録し、キーボード入力を含む操作内容を可視化・確認する
これらの仕組みを導入することで、以下の項目の実現が可能になります。
- OneLoginポータルからブラウザ経由でWindows ServerにRDP接続
- パスワード自動ローテーション機能により、特権操作用のID貸与をパスワード共有なしで実施可能
- GUI操作を動画形式で録画し、後から再生・監査が可能
-
SaaSとサーバー資産の両方のアクセス権をOneLoginで一元的に管理可能
検証で使用した端末・サービス情報
今回の検証で使用した端末やサービス情報を以下の表に示します。
製品名 | メーカー | 役割・機能 | バージョン |
|---|---|---|---|
MacBook Pro | Apple | Assetアクセス端末 | Sequoia 15.4.1 |
OneLogin PAM Essentials | OneLogin |
Identity Provider | - |
Windows Server | Microsoft | Agent・Asset | 1809 |
ThinkPad E15 | Lenovo | ログ動画閲覧 | Windows 11 Pro(24H2) |
事前に作成したもの
-
OneLogin
- Assetへのアクセスを許可するためのロール
-
Assetのシステム要件
-
2つの管理者アカウントを用意しました。それぞれの用途は以下のとおりです
- Asset登録用管理者アカウント:Assetの登録時に使用するアカウントで、パスワードローテーションを実施する役割を担います
- アクセス用管理者アカウント:ユーザーがPAM EssentialsからAssetへアクセスする際に使用します。パスワードは毎週自動で変更されます
-
2つの管理者アカウントを用意しました。それぞれの用途は以下のとおりです
動作概要
Assetへのログインの流れは以下の通りです。
- ユーザーがOneLoginのPAM Essentialsポータル画面にログインします
- ユーザーがポータルからAssetにアクセスを試みます
- ユーザーは、PAM Essentialsを経由してAgentを中継し、Assetへのアクセスと操作が可能になります
本記事でご紹介する構成を導入する前後で、Windows Server管理にどのような違いが生まれるのかを、具体的なユースケースでご紹介します。
シナリオ | 従来の運用(Before) | 導入後の運用(After) |
|---|---|---|
製造業の情報システム部門が多拠点対応に追われるケース | RDP接続はVPN必須だったが、拠点帯域が細く、接続遅延や切断が頻発していた。 | PAM EssentialsでブラウザRDPを導入し、VPNレスで安定接続を実現。動画ログで操作履歴も明確になり、リモート対応の品質が向上した。 |
医療法人の基幹システム管理を担うIT担当者 | RDPは共有IDで行われ、GUI操作の証跡が残らず監査時の説明が困難だった。 | OneLogin経由のRDP操作を動画録画し、後から操作内容を再確認可能に。責任の所在が明確になり、内部統制の信頼性が高まった。 |
金融業のActive Directory運用チームの業務負荷軽減 | 特権IDの利用状況が不透明で、業務依頼が属人化しボトルネックになっていた。 | 特権IDをOneLoginユーザーに対して付与し、操作ログを動画で保存。分散運用が可能になり、監査対応と業務継続性が両立できた。 |
社内サーバーのパスワード管理を任されている情報システム担当者 | 更新作業は月1回手動で実施され、記録ミスや共有漏れが常態化。セキュリティ監査では「管理が不透明」と指摘を受けていた。 | パスワードは自動ローテーションされ、記録や共有の手間が不要に。属人性が排除され、運用の安定性と監査対応力が向上した。 |
作業詳細
OneLoginの設定と、Agent用Windows ServerへのOneIdentity Network Agent(OINA)のインストールのみで、AssetへのRDP接続が可能になります。
Asset側にはエージェントやソフトウェアの導入は一切不要で、完全にエージェントレスでの運用が実現します。
OneLoginの設定
1. PAM Essentials無料トライアルの開始
PAM EssentialsはOneLoginのオプションなので、手動で有効化する必要があります。
OneLoginに管理者としてログインした後、管理画面からPrivileged Access(PAM)メニューにアクセスし、[ Activate PAM Essentials ]をクリックします
これでPAM Essentials 無料トライアルが開始できました。
2. Agentの登録
Assetへのアクセスを中継させるため、Agentを用意します。
-
再度OneLoginの管理画面からModules > Privileged
Access(PAM)メニューをクリックすると、PAM
Essentialsの管理画面にアクセスできます
Networksの管理からNetwork segmentを追加したら、Install network agents > [ Windows installer(download) ]をクリックします
Network segmentとは、Agentを設置するネットワーク単位のことです。AssetとAgentは同一のNetwork Segmentに所属し、同じセグメント内でリモートアクセスや管理用の通信を行います。
-
Agentに登録するWindows ServerでNetwork
Agentをインストールします。
インストールが完了したら[ Launch Network Agent ]にチェックを入れ、[ Finish ]をクリックします
-
Network Agentが起動したら、Authentication Codeをコピーし、[ Agent Authorization Tool ]をクリックしてブラウザからAgent登録ページを開きます
-
Authentication Codeを入力して[ NEXT ]をクリックします
-
認証が完了したことを確認します
-
Agentが登録されたことを確認します
以上でAgentの登録は完了です。
3. Assetの登録
-
Asset groupを作成し、サーバーを追加するために[ Add asset ]をクリックします
-
以下のように設定し、[ Add asset ]をクリックします。Accountには事前に用意したAsset設定用管理者を使用してください
-
Assetが登録されたことを確認します
以上でAssetの登録は完了です。
4. Accountの追加
-
Account groupを作成し、アカウントを追加するために[ Add accounts ]をクリックします
-
以下のように設定し、[ Add account ]をクリックします
-
ユーザーが追加されたことを確認します
以上でAccountの追加は完了です。
5. Access Policy作成
OneLoginのロールに対して、AssetやAccount、または個別のOneLoginユーザーアカウント単位でAssetへのアクセス権を付与するためのAccess Policyを作成します。
-
Access Policies管理画面にアクセスし、[ New access policy ]をクリックします
-
以下のように設定し、[ Create policy ]をクリックします
Assign rolesではOneLoginに事前に作成したRoleを使用します
-
Access Policyが作成されたことを確認します
以上でAccess Policyの作成が完了です。
動作確認
実際にAssetに対してアクセスを行い、PowerShellを管理者権限で起動し、いくつかのコマンドを実行しました。
上記の動画で行ったアクセスをログ動画としてWindows専用ソフトウェアで監査しました。
おわりに
今回はOneLoginのPAM Essentialsを活用し「OneLoginからWindows ServerのシステムにRDP接続し、特権IDとしてWindows Serverへログイン及び操作を行う」および「アクセスログ・操作ログが監査ファイルとして動画形式で確認し、操作内容(キーボード入力操作など)を閲覧する」という2つの検証を実施しました。
その結果、Google ChromeなどのブラウザからOneLoginポータル経由でWindows ServerにRDP接続でき、VPNや専用クライアントを使わずに特権操作が可能であることを確認しました。さらに、画面上の操作がそのまま録画されることで、誰が・いつ・どのようなGUI操作を行ったかを直感的に再確認でき、証跡管理・抑止効果の両面で非常に有効であることがわかりました。さらに、SaaSとサーバー管理のアクセス権が一元的に管理可能になることでシステム管理者が複数ツールを使い分ける必要がなくなります。
セキュアで監査性の高いRDPアクセス管理の第一歩として、ぜひOneLogin PAM Essentialsの導入をご検討ください。以上、「PAM Essentialsで実現する安全なWindows RDPアクセス」検証レポートでした。
PAM Essentialsについての詳細はOneLogin PAM Essentialsをご覧ください。
*本サイトに掲載されている製品またはサービスなどの名称及びロゴは、各社の商標または登録商標です。
