LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@ogawa_to

rootやAdministratorのセキュリティーを強化するため、PAMソリューションの多要素認証を設定してみた(IBM Security Verify Privilege Vault)

Last updated at Posted at 2025-10-27

はじめに

最近セキュリティ意識が高まっている中で、rootやAdministratorといったOSの管理者アカウントや、DBなどの管理者アカウントのログインに関するセキュリティーを高めようとしても、これらの特定の個人に紐づけされていないアカウントは、メールやTOTPオーセンティケーターを使って多要素認証を設定しようとすると、利用者共有のメール、共有のTOTPオーセンティケーターを使うことになるなど、実現が難しいです。

そこで、特権アクセス管理のツールを利用しセキュリティーを高めることを検証してみました。
特権アクセス管理のツールへのログイン時に多要素認証を実施します。これにより特権アカウントに直接多要素認証を設定しない代わりに、特権アクセス管理ツールへのログイン時点で多要素認証を利用します。パスワード以外の要素が必要になるようにしてセキュリティーを高めています。

この記事では、実際の設定手順をまとめます。

環境

  • サービス:IBM Security Verify Privilege Vault
  • デバイス:Windows PC と多要素認証用のスマートフォン
  • 認証方式:TOTP(Google Authenticator, IBM Verify スマホアプリ)

目的

  • Privilege Vault の多要素認証の設定方法の確認
  • 実際のところ設定にどれくらい手間がかかるか試してみたかった

設定手順

1. 環境準備

Privilege Vault の導入・初期構成を行います。(この手順では割愛します)

2. Privilege Vault の管理者でログイン

Privilege Vault の管理者でPrivilege Vaultにログインします。

3. 複数のユーザーに対して多要素認証を有効化

「設定」>「ユーザー」を選択します。

多要素認証を設定したいユーザー(複数も可)を選択し、「2要素認証の有効化」を選択します。

認証方法の選択します。(メール、FIDO2、TOTPオーセンティケーターから、TOTPオーセンティケーターを選択)

実行します。数秒程度で選択したユーザーに多要素認証が設定されます。

4. 認証アプリの登録(TOTPの初回ログイン時)

多要素認証を有効化したユーザーで通常通り Privilege Vault にログインします。

QRコードが表示されるので、Google Authenticator や IBM Verify などのTOTPオーセンティケーターで読み取ります。(画像のQRコード部分は一部加工しています)

Google AuthenticatorなどでQRコードをスキャンし、「次へ」を選択します。
TOTPオーセンティケーターに表示されている6桁のコードを入力し「セットアップの検証」を選択します。

5. バックアップコードの保存

万が一認証手段が使えなくなったときのために、2要素リセット・コードを保存します。
(次の画面で必要になるため、必ず保管します)

2要素リセット・コードを入力し「セットアップの検証」をクリックします。

検証が成功したメッセージが表示されたら設定完了です。

6. 多要素認証を利用したログイン

ID、パスワード、リポジトリーの選択をしてログインをすると、PINコードの入力が求められます。スマートフォンのアプリに表示されるPINコードを入力してログインします。

設定してみた感想

  • 管理者視点では、設定はわかりやすく簡単です
  • 複数ユーザーをまとめて登録可能なので作業の省力化ができ便利です
  • 利用者観点では、初回ログイン時に登録する手間はありますが、設定は1回のみです
  • 毎回のログイン時にPINコードを入れる手間は増えるが、PINコード入力は慣れれば数秒ですみます
  • TOTPオーセンティケーターが無いとログインはできないが、その分セキュリティーは高まります

解除方法

PINコード入力画面で、「電話機をなくした場合」を選択すると、2要素リセット・コードを確認する画面に進みます。2要素リセット・コードを入力すると二要素認証を解除することができます。

2要素リセット・コードもない場合、Privilege Vault の管理者が該当ユーザーの2要素認証を無効化することで設定を削除することも可能です。

補足

TOTPオーセンティケーターとして以下の2つを試してみたところ、どちらも利用可能でした。

  • Google Authenticator
  • IBM Verify(スマホアプリ)

まとめ

Privilege Vault の多要素認証の設定は数分程度で設定できました。また複数ユーザーまとめて設定することもでき簡単でした。
これによりrootやAdministratorなどのアカウントを利用する際に、ID、パスワードだけでなく、Privilege Vault にログインするための多要素認証を利用することでセキュリティーを高めることができました。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?