高度な CA EEM セキュリティ管理 › CA EEM を使用したタッチポイント セキュリティ › ユース ケース： タッチポイント セキュリティが必要な場合

ユース ケース： タッチポイント セキュリティが必要な場合

タッチポイント セキュリティは以下の場合に必要です。

• オペレータ ターゲットになる可能性がある環境内のホストには、社会保障番号、クレジットカード番号または医療情報などの機密情報が含まれます。 この機密プロセスへのアクセスを、1 人のユーザまたは高度な権限を持つ小規模なグループに制限する必要があります。

  ターゲットは以下のホストのいずれかになります。

  • タッチポイントに関連付けられたエージェントが存在するホスト。
  • リモート ホストへの SSH 接続を使用して設定されたプロキシ タッチポイントに関連付けられたエージェントが存在するホスト。
  • リモート ホストを参照しリモート ホストに接続しているホスト グループに関連付けられたエージェントが存在するホスト。
• root ユーザ（UNIX）、管理者 （Windows）、または特定の権限を持ったユーザとしてホスト上でエージェントを実行している場合。 エージェント自体と同じ ID の下で、そのエージェント上のすべてのスクリプトおよびプログラムを実行する理由があると想定します。 つまり、認証情報が必要な別のユーザに切り替えないということです。 セキュリティ リスクを防ぐために、低権限ユーザが root ユーザなどのエージェントと同じ ID でスクリプトを実行することを制限できます。
• サブネット全体でコマンド実行オペレータを実行するためのデフォルト オペレーティング システム認証情報を定義するホスト グループを活用する場合。 オペレーティング システム認証情報を使用して、そのホスト グループ上ですべてのスクリプトおよびプログラムを実行する理由があると想定します。 低権限ユーザがオペレーティング システム認証情報を使用して、任意のスクリプトを作成または実行できないようにすることで、セキュリティのリスクを妨ぎます。
• プロセスを実行するユーザは、ターゲット フィールドの変数を持つオペレータのためのターゲットを実行時に選択できます。 オペレータ ターゲットはホスト グループが参照するプロキシ タッチポイント、FQDN、または IP アドレスの場合もありますが、通常はタッチポイントです。 この柔軟な設計により、プロセスを実行する権限が与えられているユーザが実行時にターゲットを選択することができます。

  利用可能なタッチポイントで、そのアクセスに対する制限が必要な場合、セキュリティの問題が発生します。 2 つの異なるタッチポイント（それぞれが Service Desk アプリケーションを表す）上でオペレータが正常に実行できるケースを検討します。 1 つのタッチポイントは一般的なアクセス用に設計された Service Desk を表し、別のタッチポイントは管理者用にのみ設計されています。 タッチポイント セキュリティでは、管理者のみが管理者用に設計されたタッチポイント上でこのオペレータの例を実行できます。 CA EEM 内のタッチポイント セキュリティ ポリシーによってアクセスが制限されます。

また、タッチポイント セキュリティはプロセス デザイナにも有効です。 プロセス開発時に、異なるデザイナがその個人用ホストにエージェントをインストールし、そのエージェント用のタッチポイントを作成します。 通常は、他のユーザがそれらのローカル ホストでオペレータを実行できないようにする必要があります。 タッチポイント セキュリティはこの保護を提供できます。 タッチポイント セキュリティがアクティブになるように設定されていると、選択されたターゲット上の各オペレータを実行する権限が実行時に確認されます。 ポリシー適用は、プロセスを実行するユーザに対して、オペレータの実行を権限を与えられたタッチポイント上でのみに制限します。