NetIQ Enterprise Administration Solution NetIQ Directory and Resource Administrator NetIQ Group Policy Administrator NetIQ Identity Integration Suite Windows Active Directoryをはじめ、UNIX、 Linux、Macが混在する環境でも、安全かつ効率的な アカウントの管理、ポリシーの管理、さらに確実な 監査を提供するアカウント管理ソリューション ITガバナンスに貢献するNetIQ製品 このカタログでは、内部統制のうちセキュリティに関するソリューションをご紹介します。 ▪ Security Manager ▪ Change Guardian インフラ監視 仮想管理 VoIP 管理 ▪ AppManager ▪ AM for Applications ▪ AM Performance Profiler ▪ Analysis Center ▪ AppManager ▪ AM for VMware ▪ Hyper-V/Xen ▪ AM for VoIP ▪ Vivinet Assessor ▪ Vivinet Diagnostics イベント管理 ▪ Secure Configuration Manager ▪ Security Manager ▪ Change Guardian Aegis 業務システム監視 運用 ▪ AppManager ▪ AM ResponseTime ▪ Analysis Center IT 業務処理統制 業務システム構成管理 IT 全般統制 ▪ NetIQ Identity Integration Suite ▪ Secure Configuration Manager プロセス管理 セキュリティ ▪ Group Policy Administrator イベント管理 運用 ▪ Directory & Resource Administrator インフラ構成管理 セキュリティ ID 管理 NetIQ Enterprise Administration ソリューションの特長 NetIQ Enterprise Administrationソリューションは、近年注目されている内部統制やコンプライアンス、および監査の基本となるID管理 に威力を発揮する製品群です。Directory and Resource Administrator (DRA) は、Windowsの標準ディレクトリサービスであるActive Directory (AD) で、標準機能では実現できない細かな権限委任を提供します。組織 (OU) の構造に縛られることなく、ユーザーやグループ、 コンピュータの管理を職責通りに設定できるだけでなく作業を効率化します。Group Policy Administrator (GPA) はAD環境で、グループポ リシーに関する細かな権限委任を提供します。DRAとGPAは共にAD管理用ツールですが、これをUNIXやLinux、およびApple Mac OS Xに まで拡張するのがNetIQ Identity Integration Suites (NIIS) です。ADアカウントをUNIXやLinuxへのアクセスアカウントとして使用できる ようにするだけでなく、ユーザーの実行可能なコマンドの規制やマシンへのグループポリシーの適用を可能にします。DRA Advanced Edition (DRA AE) は、DRAに内部統制やコンプライアンスに必要な承認フローや、作業の効率化に必要な自動化機能を付加した製品です。例えば特権 IDを管理するために必要な申請・承認のフロー、特権IDの準備・貸出・返却などを自動で行うフローを組み込んだワークフローを提供できるよ うになります。NetIQ Enterprise Administrationソリューションにより、包括的で高度でありながら柔軟な管理を企業システムに組み込むこ とが可能になります。 ■ Directory and Resource Administrator (DRA) ▷ ADの、OU、ユーザー、グループ、コンピュータなどリソースを安全に管理するツール ■ Directory and Resource Administrator Advanced Edition (DRA AE) ▷ DRAに承認や自動処理を追加した管理パッケージ ■ Group Policy Administrator (GPA) ▷ ADのグループポリシーを安全に管理するツール ■ NetIQ Identity Integration Suite (NIIS) ▷ ADが持つアカウント管理とグループポリシーをUNIX、LinuxおよびApple Mac OS Xまで拡張するツール Directory and Resource Administrator (DRA) Active Directory (AD) はWindows サーバーおよびクライアン トを管理するための強力なインフラを提供します。ADが無い、ある いはワークグループによる管理環境では、ID管理はマシンごとに行う ことになります。情報の管理も当然マシンごとになるため、台数が多 くなればなるほど管理者の負担が増します。ADを導入すれば、一元 的にアカウントや情報の管理を行うことができますが、一方で、AD は情報の保管場所であると同時に、ユーザーやコンピュータの認証シ ステムとして、各種システムへのゲートウェイとしての役割を合わせ 持っており、悪質なセキュリティの脅威だけでなく、AD管理上のエ ラーから発生するインシデントにより業務に多大な影響を与える可能 性があります。このため企業は、管理者特権の使用を制限するととも に、データの一貫性および整合性を確保することで、AD のインフラ を保護しなければなりません。 DRAでは、権限委任をする際にWindowsネイティブの権限を付与 しません。権限を付与された管理者はDRAのコンソールからログオフ すると一般ユーザーになります。このように容易に特権を制限するこ とができるのです。また、DRAのポリシーに基づいた管理は、入力時 にデータを検証し、ポリシーにあわないデータの入力を拒否します。 あるいは、姓名などを元に自動的にメールアドレスを生成するなど、 名前付ルールを強制することで誤った入力を防ぐこともできます。 使いやすく工夫されたDRA Webコンソール 権限の付与、付与された権限の行使、実行結果などすべての情報は 監査ログとして保管され、必要な時に参照したり、定期的にレポート 化したりすることができます。このような仕組みで、DRAは ADおよ び Exchange のセキュリティを確保し、データおよびメッセージン グインフラの整合性を維持しコンプライアンスを推進する役割を果た します。 主な利点 ADおよびExchangeの保護 ― Windowsネイティブツールより遥 かに細やかなアクセス制御を提供することで、必要以上の権限付与 によって引き起こされるセキュリティの脅威からAD環境を保護しま す。同時にネイティブの特権ユーザーを減らせます。 本来あるべき管理体制の導入 ― OUの構造ではなく、業務の構造通り に実装可能です。例えば全社プロジェクト用グループ管理では、AD ネイティブの権限委任だとドメイン全体に対して権限を付与するしか ありませんが、DRAでは対象グループに関する権限のみを簡単に付与 できます。つまり、職責通りに管理することが可能ということです。 管理コストの削減 ― 繰り返し行う単純な手作業や、作業ミスが多い複 雑な手作業を自動化して、スキルの有無に関係ない確実な作業にできま す。修正や障害対応時間を節約することでコストが削減できます。 データ整合性の保証 ― ADおよびExchangeに入力するデータにポリ シーを適用することで、ポリシーに違反したデータの入力を防止でき ます。例えば、グループ名の長さ、名前付ルールによってデータ整合 性を保証すると共に保守性を向上します。 コンプライアンスの促進 ― 職責通りの権限、一元管理されたログ、 権限レポート、および監査レポートで、コンプライアンスを証明でき ます。 主な機能 管理効率を向上させる機能 柔軟な委任により、「パスワードリセット」や「ユーザーのグループ への追加」など300以上に分けられた権限によって、職責通りに権限 を委任できます。権限の組み合わせである役割は、権限委任作業を簡 素化します。インストール時には60以上の役割が用意されています。 簡単で使いやすい Web コンソールは、ベンダーなどの一時作業者や 交代勤務のヘルプデスク担当者などが、トレーニングを受けることな く作業に入れるくらい解りやすく作られています。もちろん、長期使 用にも何の問題もありません。 自動名前付け、入力時チェック、入力前後のアクションなどにより、 ADおよびExchangeに入力される情報がポリシー通りであることが 保証されます。また自動化で作業も簡素化できます。 特許技術のActiveViewテクノロジーにより、担当者が管理可能なオ ブジェクトのみが表示されます。例えば、同じOU内に複数グループが あっても、権限が1つのグループ用であれば、他を参照できません。 ごみ箱により、ドメインの機能レベルに関係なく、削除したオブジェ クトを簡単に復元可能です。危険なADのリストアを行う必要が無 く、バックアップも不要です。オブジェクトの完全削除には、ごみ箱 へ捨てる管理者と、ごみ箱から削除する管理者と、2重の承認が必要 になります。 監査ログ検索エンジンは、大規模な分散環境でも高速なログの検索を 可能にします。 カスタマイズ可能なレポートは、レポート閲覧者の要求にあわせた変 更が可能なため、必要な情報のみを表示できます。 セキュリティを向上させる機能 独自の柔軟で詳細な権限委任機能により、ADのネイティブ特権付与 が減り、安全にオブジェクトの作成/変更/削除を行えるようになりま す。 変更防止されたログ管理機能により、誰が、いつ、何に対して、何を 行ったのかを、後日の監査で利用できます。 作業の履歴を提供する詳細なアクティビティレポートは、ポリシー、 レポート購読者の視点、監査の要求にあわせてカスタマイズ可能です。 レポートのセキュリティ設定により、レポートごとにアクセス権を設 定すれば、重要な情報の公開範囲を最小限にできます。 シームレスな統合および拡張機能 ADオブジェクトの仮想属性では、ADLDSを使用することで、ADス キーマの拡張を一切行わずに追加属性を管理できます。 管理コンソールの右クリックから、他のツールを呼び出せます。 LDAPベースの検索クエリーにより、高度な検索が可能になります。 クエリーは管理者間で共有が可能です。 LDAP互換の ADSI プロバイダが含まれており、他のツールとの連 携を可能にします。例えば、人事システムとDRAを連携させて、人事 異動をADに自動的に反映させられます。 Directory and Resource Administrator Advanced Edition (DRA AE) DRA AEは、定評あるActive Directory(AD)管理ツールであるDRA に、承認などのワークフローや、自動処理などのビジネスロジックを 追加できるようにした製品です。DRA単体では、権限委任、ポリシー の強制、付随作業の自動化、監査に対して大いに威力を発揮します が、ワークフローや承認機能がなく、複雑な付随作業には高度なスク リプトが必要です。このような要件を満たすのがDRA AEです。 アカウント管理業務には、様々な課題が存在します。例えば ・承認には書類を回覧しており、対応が遅く書類を紛失する。 ・ユーザー作成からファイルやフォルダへのアクセス権限設定まで 作業項目が非常に多く、間違いや作業漏れが頻発する。 ・承認、作業などのログが保管されていない、あるいは保管されて いても分散していて監査が困難。 などが多くの企業で挙げられています。DRA AEは、このような課 題を解決し、申請から承認、作業、監査までを滞りなく、かつ間違 いなく実施するためのインフラを構築します。管理対象として、AD 以外にUNIXやLinuxが存在する場合でも対応可能です。プラット フォームの違いは、フローの工夫で意識せずに使うことができるよ うになります。 DRA AEにより、ユーザー作成や削除などに関する申請、上司や管 理者による承認、不在の場合のエスカレーション、ユーザーの自動作 成や作成後のデータの自動更新など、内部統制の一環としての承認作 業、コンプライアンスのための自動処理による作業ミス削減、そして 監査のための一連の作業の記録が実現可能となります。 主な利点 アカウント管理の標準化と統制 ― アカウントの追加、削除などに関 する承認やエスカレーションを含むフロー、人手を廃したスキルに 依存しない処理を提供して、内部統制やコンプライアンスを実現し ます。 業務フロー変更に対する柔軟な対応 ― 一旦作成したワークフローは バージョン管理され、以前のバージョンのコピーを使用して新バー ジョンを作成します。このため、都合により以前のバージョンに戻す ことができるだけでなく、以前のバージョンで実行したワークフロー に関する完全な監査記録を残すことも可能です。 主な機能 ワークフローと作業の電子化 ― 承認書類を回覧しながら行っている 現在のフローを、アカウント作成・削除などの作業も含めて電子化で きます。手動回覧では時間管理ができない、承認者不在時のエスカ レーションが適切に行われない、担当者のスキルによって作業の質 が異なるなどの問題が存在しますが、IT化によって多くの問題を解決 できます。ITツールであっても、ワークフローツールは回覧と承認の み、アカウント管理ツールにはワークフローが無いなど1つのツール ではカバーできない部分もDRA AEであればすべてカバーできます。 ドラッグアンドドロップでワークフローが作成できるワークフローデザイ ナー。各種作業はカテゴリーごとにアイコン形式でまとめられている。 完全な監査情報の保管 ― IT化されたワークフローを実行すると、開 始のきっかけは何だったのか、誰が申請したのか、誰がどのような承 認を行ったのか、DRA AEが自動的に行なった作業は何だったのか、 作業結果はどうだったのかなど、行われた作業全てについての情報を 保管します。ワークフローはビジネス要件に合わせて変更を加えるこ とが可能です。しかし、以前に実行された古いバージョンのワークフ ローに関する監査情報は、実行時のワークフローバージョンと共に保 管されるため、完全な形での監査情報の維持が可能です。監査情報 は、すべての実行済みワークフローについて記録および保管されてい ます。 Group Policy Administrator (GPA) Group Policy Administrator (GPA) は、グループポリシーの 計画、配布、制御、障害対応、およびレポートの分野で業界をリード するソリューションです。 管理者はグループポリシーの持つ強力な機能を管理できるソ リューションを必要としています。グループポリシーオブジェクト (GPO)に変更を加える場合、障害の可能性を最小限に抑えるた め、確認と承認および最適な時間帯での適用が必要です。しかし、ネ イティブでは、変更内容は直ちに Active Directory (AD)に適用 されます。GPAを使えば、稼働環境のADのパフォーマンスや可用性 に影響を与えることなく、安全なオフライン環境でGPOの変更が行 えます。オフライン管理によりリスクが回避でき、サービス中断を防 止できるソリューションは他に存在しません。また、柔軟かつ情報豊 富なレポート機能は、可視性を向上させるため、監査やコンプライア ンスの証明も簡単になります。 高度な分析機能を提供 ― オンラインではなくオフラインでポリシー の結果セット(RSoP) を確認できます。さらに、稼働状態チェッ ク、イベントログ、GPO 比較など各種機能が提供されており、エ ラーのトラブルシューティングおよび修正アクションを素早く行うこ とができます。 主な機能 実環境およびオフラインでのRSoP分析 ― 実環境で特定のコン ピュータにログオンした場合にユーザーに適用される有効なポリシー を確認し、稼働環境に影響することなく変更をシミュレートします。 さらに、2つのRSoPレポートを比較してトラブルシューティングも 可能です。 GPOの一元制御および同期 ― あるドメインから別のドメインに対し て複数GPOの制御と同期を行えます。ドメイン間の信頼関係の有無 とは無関係、かつ異なるフォレスト間であっても操作が可能です。 就業時間外のGPOの配備 ― タスクスケジューラにスケジュールを設 定し、GPAのリポジトリからADへGPOを無人で適用します。 チェックアウト、チェックイン、および承認 ― GPOを編集する前に チェックアウトを行うことにより、チェックアウトした管理者だけが 編集作業を行えるようにできます。変更終了後、オブジェクトを元の 場所に再度チェックインします。編集完了後、実際のAD環境に転送 するには承認を受ける必要があります。 グループポリシーを安全に運用するためのGPAコンソール 主な利点 安全なオフラインリポジトリを提供 ― ADネイティブの特権を付与す ることなく、安全なオフラインでのグループポリシー管理を提供する ことにより、特権アカウント数を減らすことができます。 強力なワークフローおよび権限委任を提供 ― 担当者ごとに管理範囲 を変えることで、きめ細かいADの管理業務が実現します。グループポ リシー管理を職責通りにすると共に、適用前に複数の承認を得るよう ワークフロー化することで関係者を安全に参加させることができます。 GPOを構成する際のエラーのリスクを軽減 ― 同じGPO設定を別の ドメインや別のフォレストに適用することができます。この機能は、 同じ設定を使用可能なことで、意図しない構成ミスが発生したり設定 を紛失したりするリスクを低減します。 Point-In-Time 分析レポート ― 特定の日時における グループポリ シー環境の様子をキャプチャし、加えられた変更の数、および誰が変 更を行ったかに関するレポートを作成します。 ロールバック関連機能 ― 管理者が旧バージョンのGPOを稼働環境に 戻せるよう、ワンボタンのロールバック機能を提供します。 オフラインミラー ― 稼働環境のADのOU、およびGPOをオフライン のリポジトリに自動的にミラーリングし、オフライン環境をオンライ ン環境と同じ状態に保ちます。 GPOの一貫性の確認および比較 ― ワンボタンで自動的にGPOの変 更を同期します。さらにGPOの比較レポートを作成し、全ドメイン のマスターGPOの一貫性を保証します。 管理の委任 ― GPO を作成、変更する権限を戦略的に制限することに より、Active Directory の権限を一切付与せずにグループポリシー の管理業務を委任できるようにします。 NetIQ Identity Integration Suite (NIIS) NetIQ Identity Integration Suite (NIIS) は、UNIX、Linux、 VMware ESX、およびApple OS Xに対してMicrosoft Active Directory (AD) を利用したIDやコンピュータの集中管理と制御を提 供します。ADを利用することで、多種OSが混在するマルチプラット フォーム環境においても、一貫したポリシーの強制が可能になり、管 理負荷を下げることができます。 マルチプラットフォーム環境でユーザーIDを管理するのは複雑で、 非効率なことが多く、企業を危険にさらすセキュリティリスクを生み 出します。一方Windows環境では、Active Directoryが単一の集中 管理を提供します。UNIXとLinux環境では、ID管理はNIS、LDAP、 あるいは独自ディレクトリなど複数のID管理の仕組みを使用して行う か、システムごとにローカルで管理します。 管理者は、頻繁にビジネス上重要なシステムに対する特権を持つ rootやサービスアカウントへアクセスをしますが、それは作業に対 して必要以上の権限となっているのが一般的です。NIISは、UNIXや Linuxに対してActive Directoryを使用した集中ID管理を提供するこ とで、これらの課題を解決します。 Apple OS Xデスクトップ管理 ― 多くのMacシステムが企業のデス クトップPCとして採用されています。IT管理者は、MacをWindows と同様に管理しなければなりませんが、認証システムがまるで異なる ため簡単には統合できません。NIISは、UNIXやLinux同様にMacに 対しADを使用した認証、管理、アクセス制御、およびポリシーの強 制を提供することで、このような課題に対応します。研究施設やデザ イナーのオフィスで多く使われているMacですが、企業の重要な情報 を扱うこれらの部門に対しても企業のセキュリティポリシーを適用す ることができるようになります。 制御の向上と負荷の低減 ― NetIQのAD管理とセキュリティ製品の一 部であるNIISは、Directory and Resource Administrator (DRA) や、Group Policy Administrator (GPA) ともに、マルチプラット フォームのIT環境を安全かつ効率的に管理するのに必要な機能を提供 します。これにより、様々な技術を管理するための標準化が容易にな り、コンプライアンスの実現と維持、情報漏えいリスクの低減、およ びシステム管理の負荷軽減を実現できます。 主な機能 アクセス制御 ― 複数のコンピュータを管理するゾーンを利用して、 効率的にUNIXやLinux、Apple OS X、およびVMware ESXへのア クセスを制御します。コンピュータごとにアカウントを管理していた 場合には、移行ツールを使用して複数のアカウントを1つのADアカウ ントに統合できます。また、管理対象マシンに対して、ADのグルー プポリシーによりログインパネルの表示などセキュリティポリシーを 適用可能です。ユーザーとコンピュータを一元管理することにより、 無許可アクセスのリスクを低減するとともに、監査を容易にします。 マルチプラットフォームを1つのコンソールで管理 主な利点 セキュリティとアクセス制御 ― マルチプラットフォームを管理する ITセキュリティマネージャにとって最も難しい質問は、 ・どのユーザーが ・ビジネス上重要な、どのシステムにアクセスできるのか ・どのシステムで何を行ったのか を提示あるいは確認できるかなどです。UNIXとLinuxシステムにお いて、アクセス制御はセキュリティレベルの低い昔から使われてい るシステムに保管されていることが多々あります。例えばNetwork Information Service (NIS) です。あるいは、システムごとにローカ ルで管理しているかもしれません。一人のユーザーが複数のシステム にアクセスする必要がある場合、アクセス対象となるシステムごとに IDを持つことで、設定も大変ですが、レポートや監査も大変になりま す。NIISは、集中管理されたADのIDを使用したアクセス制御、ユー ザーが実行可能なコマンドや、適用するポリシーに関する総合的な情 報を提示することで、ITのセキュリティに関する課題に対応します。 集中認証 ― ADを使用した一元管理によって、Windows、UINIX、 Linux、Apple OS X、VMware ESXのすべての認証がADに統合さ れます。AD認証を使用可能にするエージェントをUNIX、Linux、 OS X、VMware ESXの各マシンに導入することで、ログインの際に AD認証を使用することが可能になります。プラットフォームごと、 あるいはコンピュータごとの管理では、バラバラであった管理手順が ADで一元管理されることで、統一された手順で、誰が、どのシステ ムと、どのアプリケーションにログインが可能かを制御することがで きるようになります。 役 割 を 元 に し た 承 認 ― ゾーンを利用して、ユーザーがUNIX、 Linux、Apple OS X、およびVMware ESXシステムにいつどのように アクセス可能かを制御します。例えば、保守担当のグループに対し、月 曜から金曜の16時から18時まで特定のシステムにログインして、保守 用のコマンドだけ実行可能といった制御が可能になります。複数のユー ザーをまとめて制御できることで、ユーザーの権限設定に関する間違い を少なくできるだけでなく、セキュリティ違反の原因となる過多な権限 を持っていないことを容易に確認できるようになります。 権限管理 ― アクセス権だけでなく、ユーザーが実行可能なコマンド を制御することができます。アクセス権だけでは、与える権限が大き すぎてセキュリティリスクに晒されたり、逆に与えた権限が小さすぎ て作業に支障をきたしたりすることがありますが、アクセス権と実行 可能なコマンドを合わせて制御することにより、より柔軟で詳細な管 理ができるようになります。実行可能なコマンドには、実行可能な時 間帯も設定可能ですので、定期的な保守時間を設定したり、作業可能 時間を制限したりすることも可能です。 NetIQ ソリューション導入のイメージ DRA、DRA AE、GPA、NIISをすべて導入すると下記のようなイメージになります。NIISの導入によって、プラットフォームごとに異なった ディレクトリサービスや認証システム、個別管理のサーバーがすべてADで集中管理できるようになります。アカウントやリソースの管理をDRA で、グループポリシーの管理をGPAで行うことで、安全そして確実にADを管理できるようになります。管理上必要な作業については、DRA AE を使用して申請を行ない、適切な承認を受け、自動的に作業を行ってコンプライアンスを確実にするとともに、すべてをログに残すことで監査に 備えます。 AppManager (ᬺ䊨䉫䊶⋙ᩏ䊨䉫▤ℂ) Aegis (䊐䊨䊷䈫䉺䉴䉪▤ℂ) ↳⺧⠪/ᛚ⠪ DRA/GPA (AD▤ℂ) 䊨䉫㓸 ᬺ⠪ Windows 䉝䉦䉡䊮䊃 ⾉䈚/࿁ ᬺ UNIX/Linux Active Directory + NIIS (䊙䊦䉼䊒䊤䉾䊃䊐䉤䊷䊛 ADᯏ⢻ᒛ) Mac NetIQ ソリューションを用いた運用イメージ 導入要件 Directory and Resource Administrator DRA 管理サーバー CPU : Intel Coreプロセッサ(1GHz) 以上 RAM : 4GB 以上 ディスクサイズ : 5GB 以上 DRA コンソール CPU : Intel Celeron (1GHz) 以上 RAM : 1GB 以上 ディスクサイズ : 100MB 以上 DRA Advanced Edition DRA AEワークフロー管理サーバー CPU : Intel Xeon(2GHz) 以上 RAM : 4GB 以上 ディスクサイズ : 100GB 以上 Group Policy Administrator GPA 管理サーバー CPU : Intel Coreプロセッサ(1GHz) 以上 RAM : 2GB 以上 ディスクサイズ : 5GB 以上 GPA コンソール CPU : Intel Celeron (1GHz) 以上 RAM : 1GB 以上 ディスクサイズ : 100MB 以上 NetIQ Identity Integration Suite NIIS 管理サーバー/コンソール CPU : Intel Coreプロセッサ(1GHz) 以上 RAM : 4GB 以上 ※記載している数値は、推奨スペックを記載しています。 ディスクサイズ : 5GB 以上 ハードウェア要件は、管理対象数により変わります。 ネットアイキュー株式会社 住 所: 〒 162-0845 東京都新宿区市谷本村町 1-1 住友市ヶ谷ビル 12F TEL : 03-5206-9500 FAX : 03-5206-9501 E-mail: info-japan@netiq.com Web : http://www.netiq.co.jp NetIQ、NetIQ 製品名および NetIQ ロゴは、米国およびその他の国や地域における米国 NetIQ Corporation およびその代理店の商標または登録商標です。 本文に記載されているその他の会社名および製品名はあくまでも指摘を目的として使用されており、それらは一般に当該の企業の商標または登録商標です。 ©2010 NetIQ Corporation, all rights reserved. NEAS v1.0-1012
© Copyright 2024 Paperzz