２０２０年１月２７日

Safeguard for Privileged Sessions (SPS)

製品ガイド

Rev ４.０

Safeguard

2

変更履歴

版 発行日 変更内容

第3.0 版 2017/8/23 新規作成

第3.1 版 2018/3/20 名称変更（Shell Control Box からBalabit PSM）

第3.2 版 2018/11/9 名称変更（Balabit PSM からSafeguard for Privileged Sessions）

第3.3 版 2019/5/27 記載内容修正（6ページ：バーチャルアプライアンス部）

第4.0 版 2020/1/27 Safeguard for Privileged Sessions 6 LTS

3

SPS（Safeguard for Privileged Sessions）は、米国One Identity 社の特権アクセス管理（PAM）ソリューションの中核を担う、特権セッション管理アプライアンスです。

特権ユーザーによるサーバーアクセスのアクティビティ監視と監査のためのプロキシゲートウェイです。

ユーザーの操作ログを動画で記録し、監査に耐えうる証跡を取得するとともに、国際基準のコンプライアンスに対応します。

エージェントレスで、サーバーとクライアントの間に設置するだけで、透過的に動作するため、現環境を変更することなく、サーバーへのアクセスを監視/コントロールし、簡単にセキュリティーレベルを強化できます。

本製品の概要

Safeguard for Privileged Passwords

（SPP）

特権パスワード管理

Safeguard for Privileged Sessions

（SPS）

Safeguard for Privileged Analytics

（SPA）

特権セッション管理 特権セッション分析

PAMソリューション“Safeguard”

4

SPSの基本機能SPSの基本機能は、以下の通りです。

監視機能：特権ユーザーをリアルタイムに監視します。

記録機能：特権ユーザーのセッション情報と操作画面ログを記録します。

再生機能：監査証跡をブラウザーまたは専用プレーヤーで動画再生します。

検索機能：様々な条件やテキストで検索できます。

レポート機能：コンプライアンス等に対応したカスタムレポートを自動作成します。

アラート機能：リアルタイムにアラートを通知、さらにはブロックもできます。

アクセス制御：特権ユーザーのセッションを詳細にアクセス制御できます。

5

SPSのWebインターフェースSPSは、WebベースのGUIインターフェースを通じて、ポリシーなどの設定や記録されている監査証跡の検索・閲覧を行います。

SSHの接続ポリシー設定例

6

SPSユーザーのアカウント制御

監査対象のターゲットへのアクセスの制御は、1１ページの「特⾧-詳細なアクセス制御」を参照してください。

SPSではローカルにユーザーアカウントを作成でき、ユーザーが属するグループごとにSPSのWebインターフェースへのアクセス権限（全権限や監査証跡の検索のみなど）を詳細に設定し管理できます。

監査証跡の検索と閲覧する権限のみを付与されたグループ例

admin : 全権限が付与されたユーザー（デフォルト）

SPS

管理者A

Web インターフェース

ローカル DB

証跡Ａ 証跡Ｂ 証跡Ｃ

監査証跡の検索・閲覧権限を、管理者ごとに設定できます。

例：この例では、管理者AはＳＰＳのローカルＤＢに保存されている証跡Aしか検索できません

7

SPSの動作モード①

宛先：サーバーIP, ポート

サーバー

宛先：サーバーIP, ポート

クライアント

トランスペアレント（透過）モード

SPSは、クライアントとサーバーのセグメントを接続する透過ルータとして動作します。

すべての接続は、SPSを通過してサーバーに到達します。

SPSはプロキシゲートウェイであり、サーバーを他のネットワークから完全に分離します。

シングルインターフェーストランスペアレントモード

クライアント側とサーバー側の両方のトラフィックが同じインターフェースを使用します。

監査トラフィックをSPSに転送するため、高度なルーティング機能をサポートしている外部デバイスが必要になります。

＜適用シーン＞

・ネットワークトポロジーを変更したくない

・他のトラフィックをルーティングしたくない

上記のような場合に有効です。

クライアント構成を変更する必要ありません

8

SPSの動作モード②ノントランスペアレント（非透過）モード

SPSは、バスシオン（踏み台）ホストとして動作します。

クライアントは、SPSを宛先にする必要があり、直接サーバーにアクセスできません。

SPSは接続パラメーター(クライアントのIPアドレス、およびターゲットIPとポート番号)に基づいて、接続するサーバーを決定します。

インバンド宛先選択

ノントランスペアレントモードとあわせて、よく利用されます。

ユーザー名に宛先サーバー名を含めることで、単一の接続ポリシーで任意のサーバーへのアクセスが可能になります。

例：

ssh username@targetserver:port@sps_address:port

セキュアな踏み台サーバーとして利用可能

SPSの設定をシンプルにできます

9

特長 – アプライアンスSPSは、OSやアプリケーションソフトウェアがインストレーション済みのオールインアプライアンス製品です。導入後にすぐに使えるとともに、メンテナンスも簡単で、管理者の負担を軽減します。

Safeguard for Privileged Sessions

さらに、クライアントとサーバーから完全に独立した、エージェントレス製品です。

サーバーへの影響がなく、現行システムに負荷のかからない構築が可能です。

アプライアンスエージェントレス エージェントレス

クライアント サーバー

※アプライアンスには、VA（仮想アプライアンス）も用意されています。

10

特長 – セキュアな監査証跡ユーザーのセッション情報などが保存される監査証跡は、暗号化やタイムスタンプ、デジタル署名の付与が可能で、改ざんや情報漏洩を防止します。

復号 復号 署名 タイムスタンプ

暗号化、復号鍵なし 署名なし タイムスタンプなし

再生可能

監査証跡

※アップストリームトラフィックのみの暗号化や、アップストリームトラフィックに別の証明書を追加できます。

11

特長 – 詳細なアクセス制御 SSH、RDP、HTTPSなどの暗号化プロトコルも含め、サーバーに誰が（ユーザー名）、いつ（時間）、何を（チャネルタイプ）アクセスできるかをコントロールできます。

特定のチャネルだけを許可するようにコントロールできます。例えば、ファイル転送やファイル共有のような不要なチャネルを無効にし、サーバーのセキュリティリスクを軽減することができます。

SPSを導入すると、１台の簡単なシステムで、すべてのアクセスポリシーを強制適用できます。その結果、最小コストでインフラ全体のセキュリティレベルを確保できます。

12

機能 – リアルタイム監視

特権ユーザー サーバー

監査者

SPS

疑わしい特権ユーザー（たとえば、時間外のアクセスなど）の操作を、リアルタイムに動画で監視することができます。不正な操作があった場合、セッションを強制的に終了させることもできます。

SPS

13

機能 – リアルタイムアラート

※「削除」のようなコマンドが実行される前に、接続を遮断できます。例:$ sudo rm –rf directory

システムログにイベントを記録します。

すぐに接続を終了します。 電子メールの送信や、SNMPアラートを発します。

SPSの接続データベースにイベントを保存します。

Log Terminate Notify Store in DB

SPS で実行できるアクション

リアルタイムにネットワークトラフィックを監視し、画面にあるパターンを検知すると指定されたアクションを実行します。（SSH, Telnet）

14

機能 – セッション動画記録

監査証跡

SPS

動画

SPSは、クライアントとサーバー間のトラフィックから直接監査データを抽出、証跡（操作画面ログ）を完全性の高い動画で記録します。

操作画面ログ

ログイン（許可/拒否） IPアドレス ユーザー名 時間 等

セッション情報

15

機能 – セッション動画再生記録されたユーザーセッションは、動画で再生されます。ブラウザーまたは専用プレーヤー（Safeguard Desktop Player）が利用できます。

Safeguard Desktop Player でのSSHセッション再生

ブラウザーでのRDPセッション再生

アプリケーションをインストールせずに、SPSのWebインターフェースから動作できます。

リアルタイム再生、監査証跡のコンテンツ検索やビデオのエキスポートなどの機能が使用できます。

※操作端末に専用のアプリケーションのインストールが必要です。

16

機能 – 検索インターフェース記録されたユーザーセッションの検索は、ブラウザを利用したWebインターフェース上で行います。より視覚的なビューで、セッション情報を表示できます。

カードビュー

日付指定

タイムライン

統計情報チャート

検索クエリ

フロービュー

17

機能 – アクセス制御

《対応プロトコル》SSH, RDP, HTTP(s), Citrix ICA, VNC, Telnet

《その他制御対象項目》IPアドレス、ホスト名、時間、ユーザー、グループなど

SPSはプロトコルごとにトラフィックを制御します。

さらに、プロトコルチャネルタイプごとにアクセスを制御できます。

SSH SSHSPS

SPS

画面描画（Drawing）

コピー（Clipboard）

RDP画面描画（Drawing）

RDP

SSH：Session Shell、X11/Local/Remote forward、Agent、SCP、SFTP 等

RDP：Drawing、Clipboard、Disk/Scard/Printer Redirect、Sound 等

（チャネルタイプ例）

18

機能 – ファイル転送制御

《実行されたファイル転送例》

SCPやSFTP接続で転送されたファイルを記録することができます。また、SCPやSFTPチャネルの接続を拒否する設定も可能です。

エクスポート

SPS

アップロード

SCP/SFTP

ダウンロード

アップロード

SCP/SFTP

ダウンロード

REST ful API対応

19

機能 – ゲートウェイ認証

二段階認証

4-eyes承認

Webアクセスによる

ゲートウェイ認証

LDAP/Active Directory

パスワード管理

チケッティングシステム

SIEM

行動分析（準備中）

ローカルユーザー

ローカル資格情報ストア

SPSはゲートウェイとして動作し、様々な認証方式を利用できます。また、外部システムと統合して、資格情報の取得やSIEM連携も可能です。

多要素認証

プラグインフレームワーク

SPS

SPS自体の認証 外部システム連携

20

機能 – レポート

ユーザー名

ログイン情報履歴

トップ１０セッション

PCI-DSS などのコンプライアンスや監査対応の手助けになります。

検索結果に基づいて作成された表やグラフの統計情報や監査証跡の内容を、ユーザー定義のカスタムレポートで自動生成し、管理者にメール送信します。

セッション履歴 接続に関する統計情報 長時間セッションのランキング SPSの設定変更情報 SPSのシステムヘルス 等

レポート例

21

機能 –アーカイブ/バックアップ

Rsync over SSH（バックアップのみ） SMB/CIFS NFS

ストレージ

アーカイブされた監査証跡は、SPS Web インターフェースからアクセスできます。

記録された監査証跡は、リモートサーバーやストレージに自動的にアーカイブ/バックアップまたはクリーンナップ（削除）できます。

※アーカイブは「保存領域を論理的に拡張」し、バックアップは「障害時の復旧」に使用します。

監査証跡

監査証跡

複製

移動

リストア

監査証跡

削除

SCB NAS 指定日数 指定日数

バックアップ（データを複製）・データをSPSへリストアして復旧できます。

アーカイブ（指定日数より古いデータを移動）・データをSPSへリストアできません。

クリーンアップ（指定日数より古いデータを削除）・内臓データを最新状態に保持します。

※NASのようなネットワークストレージが必要です。

22

機能 – SIEM連携特権セッションで起きた事象に関連するログメッセージとイベントを、外部のSIEM（Splunk、Arcsight など）に転送できます。イベントはｓｙｓｌｏｇとして送信され、そのメッセージ部分はＪＳＯＮまたはＣＥＦにフォーマットされます。

SplunkのSPSアプリケーション例

23

SPSのHA（高可用性）構成

クライアント サーバー

SPS

SPS

HA 同期 I/F

セカンダリー (Standby)

プライマリー (Active)

クライアント サーバー

障害発生

SPS

Standby ➡Active

プライマリー (Active)

セカンダリーノードはプライマリーノードを常に監視しており、プライマリーが機能を止めるとセカンダリーは直ちにアクティブになり、リモート接続を引き継ぎます。

保存したデータは同期してコピー

SPSのハードウェアアプライアンス（3000/3500）は、HA構成（高可用性/High Availability）で冗長化することができます。

テークオーバー

24

製品ラインナップ

※製品仕様は、予告なく変更される可能性があります。

SPSは、バーチャルアプライアンスとハードウェアアプライアンス（3ｘｘｘアプライアンスもしくはBlueVaultアプライアンス）を提供しています。

シリーズ モデル 形態 CPU メモリ HDD RAID NIC 電源

バーチャルアプライアンス

ＶＡ 仮想マシン

VMware ESXi 5.5/6.0/6.5 以降、Microsoft Hyper-V、Microsoft Azure、AWS（Amazon Web Service）、KVM (Kernel-based Virtual Machine)

ハードウェアアプライアンス

3000 物理１Ｕ

Intel Xeon E3-1275 3.60GHz4 Core

32GB(2x16GB)

8TB(4x2 TB)NLSAS

RAID 5(6TB)

4x1 Gbps 冗長化

3500 物理１Ｕ

2 x Intel Xeon Silver 4110 2.1GHz 8 Core ( = 16 Core)

64GB(8x8GB)

18TB(9x2 TB)NLSAS

RAID 50(12TB)

4x1 Gbps 冗長化

BlueVault Ｈ４GX 物理１Ｕ

Intel Xeon E-2124 3.3GHz4 Core

16GB 8TB(2x4 TB)

RAID 1(4TB)

2x1 Gbps

Ｈ２ＨGX 物理１Ｕ

Intel Xeon E-2134 3.5GHz4 Core

16GB 4TB(2x2 TB)

RAID 1(2TB)

2x1 Gbps 冗長化

HS3000GX

物理１Ｕ

Intel Xeon Silver 4110 2.1GHz 8 Core

40GB 8TB(4x2 TB)

RAID 5(6TB)

4x1 Gbps 冗長化

ＨS3500GX

物理１Ｕ

2x8 Core INTELXeon E5-2620V4 @2.1GHz

80GB 18TB(9x2 TB)

RAID 50(12TB)

4x1 Gbps 冗長化

画像はモデルH4GX

25

ライセンス体系

SPS

アプライアンスの種類・数量（ハードウェア/バーチャルアプライアンス）

監視対象の種類・数量（IDMユーザー/システム）

【Safeguard for Privileged Sessions(SPS)ライセンス・価格の考え方】

サーバー

ネットワーク機器

IDM ユーザー システム

SPSSPS

アプライアンス

※監視対象の種類（IDMユーザー/システム）は、いずれかをお選びください。

SPSのライセンス体系は、アプライアンスの種類・数量と監査対象（IDMユーザーまたはシステム）の数量・種類を選択するだけです。

26

SPS評価用ソフトウェア

https://www.jtc-i.co.jp/support/download/

※評価用でのご利用には、トライアルライセンスキーが必要です。弊社までお申し込み下さい。

https://www.jtc-i.co.jp/support/customerportal/index.php

SPSの評価用ソフトウェアは、弊社HPからダウンロードできます。

※再生用プレーヤーのDesktop Player もあわせてダウンロードしてください。

27

ジュピターテクノロジー株式会社

（Jupiter Technology Corp.）

住所 〒183-0023 東京都府中市宮町2-15-13

第15三ツ木ビル8Ｆ

URL http://www.jtc-i.co.jp/

製品に関するお問合せ

Tel 042-358-1250

Fax 042-360-0221

Email info@jtc-i.co.jp

お問合せ