トップ > CyberArk > 【CyberArk】Safe/Platform/Master Policyの概要 運用手順Part1

【CyberArk】Safe/Platform/Master Policyの概要 運用手順Part1

CyberArk 特権ID管理 Tech

今回からCyberArk PAM(Privileged Access Manager)の各種コンポーネントインストール作業完了後、実際に運用するために必要になる手順について解説していきます。

運用手順は大きく2つ、「1:Safe/Platform/Master Policy」,「2:パスワードの管理」の内容に分けて記載していきます。

本記事は、運用手順Part1として「1:Safe/Platform/Master Policy」の概要となります。それぞれの説明および実際の作成/設定手順、運用の一例を解説していきます。

CyberArk運用管理

実際にCyberArkを運用する上で、一例ですが設計要素は下記の図のようになります。

今回解説する運用手順Part1は主に管理者側の手順となり、図の左側管理者の要素となります。

Safe/Platform/Master Policyとは

Safeについて

Safeとはアクセス制御の単位であり、組織内で承認された管理対象アカウント(主に特権アカウント)を格納し、整理することができます。

Safe単位でアカウントを整理することで、各Safe単位でカスタマイズが可能となり、他の管理対象アカウントへのアクセス制限を実施が可能となります。

例えば「Windows管理者はWindowsアカウントのみにアクセスでき、Unix管理者がUnixアカウントのみにアクセスさせる」といったアクセス制御をおこなった運用が可能です。

Platformについて

Platformとは、オペレーションシステム(OS)または管理対象アカウントごとに適用されるポリシーであり、下記のようなポリシー設計が可能となります。

  • パスワードポリシー(パスワードの文字数、禁止文字数など)
  • 管理対象アカウントへのアクセス方法(RDPやSSHなど)

Maste Policyについて

すべての管理対象アカウントに対して、共通で適用すべきポリシーの一覧となります。

共通のポリシーを適用できない管理対象アカウントに対しては、例外設定として他の管理対象アカウントに対して異なるポリシーを適用することも可能となります。

Safe管理

Safe作成

Safe作成手順を下記に記載します。

1. Password Vault Web Access(PVWA)に管理者権限を持ったユーザーでログインします。

2. 以下のディレクトリに移動します。

 ポリシータブ > アクセス制御(Safe)

3. 右上の「Safeの追加」をクリックします。

4. 「Safeの追加」画面が表示されたら、下記の表の内容を入力します。

 その後、「保存」をクリックします。

説明

-

日本語には対応していません

保存されたアカウント

既定値

パスワードの過去履歴の保存基準を選択します。

「保存世代」か「保存期間」の二者択一です。

CPMに割り当て

既定値

PasswordManager

5. 対象のSafeが作成されていることを確認します。

Safeメンバー登録

Safeメンバー登録手順を下記に記載します。

1. PVWAに管理者権限を持ったユーザーでログインします。

2. 以下のディレクトリに移動します。

 ポリシータブ > アクセス制御(Safe)

3. 対象のSafeを選択し、右下の「メンバー」をクリックします。

4. Safeの詳細ページが表示されたら、「メンバーの追加」をクリックします。

5. Safeメンバーの追加画面が表示されたら、「検索」に対象のユーザー名を入力します。対象ユーザーを選択後、以下の表を参考に必要権限を付与し、「追加」をクリックします。

対象

内容

「検索対象」でVaultを指定し、ユーザー名またはグループ名を入力する

追加するユーザーまたはグループを選択する

追加するユーザーまたはグループに割り当てる権限を選択する

PASadmin(管理者権限を持ったユーザーの場合)

6. Safeメンバーが追加されたら、左下にメッセージが表示されることを確認し、「閉じる」をクリックします。

Winuser(利用者ユーザーの場合)

7. 以下のディレクトリに移動します。
 ポリシータブ > アクセス制御(Safe)

8. 対象のSafeを選択し、右下の「メンバー」をクリックします。

9. Safeの詳細ページが表示されたら、「メンバーの追加」をクリックします。

Platform管理

Platform作成

Platform作成手順を下記に記載します。

1. PVWAに管理者権限を持ったユーザーでログインします。

2. 以下のディレクトリに移動します。

 管理タブ > プラットフォーム管理

3. 任意のPlatformを選択し、「複製」をクリックします。

*1

4. 任意のPlatform名を入力し、「作成」をクリックします。

5. 対象のPlatformが作成されたことを確認します。

Maste Policy例外登録

Master Policyの例外登録手順について、下記に記載します。

1. PVWAに管理者権限を持ったユーザーでログインします。

2. 以下のディレクトリに移動します。

 ポリシータブ > Master Policy

3. 任意のポリシーを選択し、「例外を追加」をクリックします。

4. 任意のPlatformを選択し、「次へ」をクリックします。

5. 例外を設定し、「終了」をクリックします。

6. 例外登録が完了したら、以下の通りに表示されます。

最後に

本記事では、Safe/Platformの概要および詳細な手順について記載しました。

SafeはCyberArkに登録する管理対象アカウントの格納先であり、ユーザーに対するアクセス制御を行えます。また、Platformでは、共通で適用すべきポリシーを設定でき、Master Policyと呼ばれる例外登録も設定が可能となります。

実際の運用では、部署ごとにSafeを分けて対象の管理対象アカウントを他の部署にアクセスさせない(表示させない)といったケースや、Platformでパスワードポリシーを設定し、パスワードは大文字/数字/記号を必ず使用させたり、有効期間や履歴なども細かく設定可能です。

CyberArkのメインの役割であるパスワードの自動管理(詳細については運用手順Part2にて記述)についても、細かくカスタマイズ可能でこの辺りを主軸に考えられるお客様が多いです。

次回は、運用手順Part2の「パスワードの管理」について解説します。

*1:登録の基本はビルトインされているPlatformを直接編集せず、オリジナルを複製して新規登録します。

執筆担当者プロフィール
真木野 芳紀

真木野 芳紀(日本ビジネスシステムズ株式会社)

業務内容は、Microsoft 365製品やサイバーセキュリティシステムの設計/構築に携わり、特にセキュリティ製品ではCyberArkを主に担当しています。趣味は、旅行やドライブをすることが好きで時間があるとどこかに出掛けていることが多いです。

担当記事一覧