OneLogin PAM
OneLogin PAMとは?
OneLogin PAM (Essentials)とは、Windows Server / Linux Serverの特権IDアクセスを管理・監査記録するサービスです。
OneLogin PAM 構成図
OneLogin PAM Essentialsとは?
OneLogin PAM (Essentials)は、Windows Server / Linux ServerのSaaS型の特権アクセス管理(PAM: Privileged Access Management)サービス・監査記録するサービスです。
OneLogin PAM Linuxサーバーアクセス動画
OneLogin PAMの主な4機能
特権アカウントは、サイバー攻撃や内部不正の標的となりやすく、従来のIDaaSだけでは十分な管理が難しい領域です。OneLogin PAM Essentialsは、こうした課題に対応するために、特権IDに特化した4つの機能を提供し、アクセス制御から監査対応までを包括的にサポートします。
- Windowsサーバー
- Linuxサーバー
ターゲットシステム
特権ID
OneLogin PAMのメリット
- OneLoginポータルからブラウザ経由でWindows ServerにRDP接続
- アカウントを共有せずに特権操作用のID貸与を実施可能
- GUI操作を動画形式で録画し、後から再生・監査が可能
- SaaSとサーバー資産の両方を一元的に認証・認可管理
OneLogin SaaS管理とPAM Essentialsのサーバー管理を併用するメリット
OneLogin PAM Essentialsは、クラウドアプリへのSSO / MFAとサーバーなどの特権アカウント管理をOneLogin内で並列に管理する構成です。通常、SaaSと特権アカウントは別々に運用されがちですが、本構成では両者をOneLogin上で一元的に制御できます。
この構成では、SaaS利用者用のRoleと特権アカウント用のRoleを分けて割り当てることで、業務ごとのアクセス権を適切に管理します。 また、ID同期 → 権限付与 → SaaS/PAM両方へのアクセス制御までを1つのプラットフォーム上で完結させることで、管理負荷の軽減とセキュリティ強化を両立しています。
OneLogin PAMの機能詳細
1. Roleによる特権制御
OneLoginはPAM Essentialsを併用することにより、SaaSアプリでもサーバーでも一貫した「Roleベースのアクセス制御」を実現します。通常OneLoginのRoleはSaaSアプリへのSSO・MFAの制御に用いられますが、PAM Essentialsの導入によりこの仕組みをそのまま特権アカウント管理にも拡張できるようになりました。これによりSaaSアプリ、Windowsサーバー、Linuxサーバーといったクラウド・オンプレを問わず、一元的にアクセス権限を管理することが可能になります。 また、Mapping機能を活用することで、ADのグループやユーザー属性に応じて「特定の部署の管理者は、特定サーバーの特権IDのみ利用可能」といった、組織や業務ごとに最適化されたRole設計が可能です。
2. 特権アカウント接続
特権アカウントへの接続は、OneLogin PAM Essentialsのポータルから実行できます。管理者は、ポータル上に表示された接続先一覧から、対象の特権アカウントを選択します。クリック後は、RDP(Windows Server向け) や SSH(Linuxサーバー向け) の接続ファイルが自動で実行されすぐに対象サーバーへの接続が開始されます。 認証情報は、PAM Essentialsがバックエンドで自動注入(Credential Injection)するため、管理者はパスワードを知ることなく安全に接続できます。本機能は、代表的なRDP・SSH以外にも、他の接続手法にも柔軟に対応可能です。多様な環境における特権アカウント接続の安全性と利便性を両立します。
3. 特権IDパスワード管理
OneLogin PAM Essentialsは、特権アカウントのパスワードを定期的かつ自動的にローテーション(変更)します。管理者がパスワードを手動でパスワード更新する必要がなくなり、パスワード漏洩や使い回しといったリスクを排除します。 パスワードはアクセスするごとに動的に払い出されるため、管理者自身が特権IDのパスワードを知ることはありません。裏側ではPAM Essentialsがリアルタイムで新しいパスワードをサーバー側に更新適用し、接続時にOneLoginがその都度、認証情報を自動注入(Credential Injection)することで安全なアクセスが実現します。組織のセキュリティポリシーに合わせて複数の管理者で特権IDを運用することが可能となります。
4. セッションの監視
OneLogin PAM Essentialsは、特権アカウントの利用状況をセッション単位で自動的に記録します。管理者がサーバーにアクセスした際、その操作内容をリアルタイムで録画・ログ化し、特権IDでアクセス作業した後から「誰が、いつ、どのサーバーで、どのような操作を行ったか」を正確に記録します。録画されたセッションデータは修正・改ざんできない形式に署名して保管されるため、監査証跡としての利用が可能です。サーバーへの不正アクセス発生時の管理者保護や管理者の故意でない誤操作などによる発生事態に対し、迅速な状況把握と解決方針を提供します。 録画内容はOneLogin PAM Essentialsのポータル上から簡単に検索・再生することができ、監査や内部統制、セキュリティインシデント対応において強力なサポート機能となります。
OneLogin PAMを利用したサーバーへのログイン
OneLogin PAM Essentialsの構成には、「Asset」と「Agent」という2つの技術要素が登場します。
Assetとは、PAM
Essentialsが管理する対象のサーバーです。管理対象はWindows
ServerやLinux
Serverなどで、管理者がアクセスする特権アカウントが存在する環境を指します。管理者は、OneLogin
PAM
EssentialsのポータルからこのAssetに接続することで、特権アカウントを利用します。
Agentとは、Assetにアクセスする中継マシンにインストールされる専用エージェントです。このAgentはPAM
Essentialsの主要機能をサーバー上で実行する役割を持ちます。
前提条件
- OneLoginのAccount OwnerまたはSuper User権限をお持ちであること
- OneLoginのPAM Essentialsサブスクリプション契約があること
システム要件
- アクセス可能な管理者アカウントが存在していること
- 常時稼働かつ、アセットに疎通可能なネットワークに設置できること
- インターネットに常時接続していること
- RDP接続の設定を有効にしていること
- AgentからRDP接続の設定を有効にしていること
-
OS管理者、Asset設定用管理者、アクセステスト用管理者を用意すること
- Asset設定用管理者、アクセステスト用管理者はパスワードが毎週変更されるので、固定されたパスワードを持つOS管理者が必要となります。
動作概要
OneLogin PAMを利用したAsset(ターゲットサーバー)へのログインの流れは以下の通りです。
- ユーザーがOneLoginのPAM Essentialsポータル画面 にログインします
- ユーザーがポータルからAssetにアクセスします
- AgentはユーザーのAssetへのアクセスを中継します
- ユーザーがAssetの操作を行えるようになります
OneLoginとOneLogin PAM Essentialsの構成
OneLogin PAM Essentialsは、OneLoginのIDaaS(ID管理・SSO・MFA)に特権アカウント管理(PAM)機能を加え、「SaaSアプリ」と「サーバーなどの特権アカウント」を一元管理できるソリューションです。 一般的なIDaaSが一般ユーザー向けのSSOやMFAに特化するのに対し、PAM Essentialsは特権アカウントの制御・監視・記録にも対応しています。合わせて運用することで、クラウドとオンプレのアカウント管理を、OneLoginを中心に統合的に運用することが可能です。
AD環境とPAM Essentialsの標準的な活用モデル
PAM Essentialsでは、通常のSaaS用Roleとは別に、「特権アカウント利用専用のRole」を作成することで、特権アカウントへのアクセスを管理します。
PAM Essentialsを構成するポイント
管理者運用フローの作成
「作業開始 → OneLoginでPAMアクセス → 作業 → 完了通知 → 権限撤収」までの一連の流れを関係者に周知するための運用ルールを整備しておきます
PAM対象サーバーの選定
PAM Essentialsは、Windows ServerやLinuxなどのサーバーを中心に適用します。対象サーバーや管理対象の特権アカウントを事前に整理しておくことが重要です
ネットワーク構成の確認
特権アカウントへのアクセス時は、OneLogin PAM Essentialsとターゲットサーバー間の通信が必要です。VPNや閉域網、セグメント分けされている環境では通信要件に注意が必要です
PAM Essentialsを構成するライセンス
OneLogin PAM Essentialsの利用には、以下のライセンスが必要です。
- OneLogin Professional Packまたは OneLogin Advanced Packライセンス(いずれか必須) PAM Essentialsを利用するには、ベースとなるIDaaS機能を含むProfessionalまたはAdvancedのライセンス契約が前提となります。これにより、SaaSアプリへのSSOやMFAなど、OneLoginの主要機能をご利用いただけます。
- PAM Essentials(オプション) 特権アカウント管理機能は、Professional / Advancedライセンスに追加するオプションライセンスとして提供されます。PAM Essentialsライセンスは、特権アカウントにアクセスする必要があるユーザー分のみの購入が可能です。
【ご参考】 OneLoginライセンスプランの詳細ページ
PAM Essentialsの構成仕様表
| 役割 | 対応OS | ディストリビューション・バージョン | 備考 |
|---|---|---|---|
| Agent (中継マシン) | Windows 10 / 11 | バージョン1809 以上 | 500MB以上のHDD空き容量 |
| Windows Server | 2019 以上 | 500MB以上のHDD空き容量 | |
| Linux | ー | ー | |
| Asset (ターゲット) | AIX | ー | ー |
| FreeBSD | ー | ー | |
| HP-UX | ー | ー | |
| Linux | CentOS, Debian, Fedora, RedHat, SuSE, Ubuntu | ー | |
| macOS | ー | ー | |
| Solaris | ー | ー | |
| Windows 10 / 11 | バージョン1809 以上 | 500MB以上のHDD空き容量 | |
| Windows Server | 2019 以上 | 500MB以上のHDD空き容量 |
