第34回 Tokyo Jazug Night (Online)

1. PIMについて
語りたい
株 式 会 社 野 村 総 合 研 究 所
畑 寛 之
2 0 2 1 / 1 2 / 1 6
第 3 4 回 T O K Y O J A Z U G N I G H T ( O N L I N E )

2. 自己紹介
2
https://atlax.nri.co.jp/
Digital Daysでも
講演してました！
◼ 畑 寛之（はた ひろゆき）
◼ 株式会社 野村総合研究所（NRI）
◼ Azure歴5年
◼ 金融機関向けのクラウド活用戦略策定、適用支援
◼ Microsoftアライアンス担当

3. 今日のネタ：PIM（Privileged Identity Management）
3
◼ PIMとは・・・
「Just-In-Time で特権（強権限）のアクセスを付与する機能」
• AzureAD や Azure リソースに対し、Just-In-Time の特権アクセスを提供する
• 開始日時と終了日時を使用した 期限付きアクセス権を割り当てることができる
• 特権ロールをアクティブ化するために承認を要求することができる
• 特権ロールに関する操作が行われた際に、関係者に対して通知を飛ばすことができる
• アクセスレビューや監査ログを取得することができる

4. こんな運用してませんか？
4
作業者（わたし） アカウント運用担当 承認者(えらい人)
特権利用申請
特権利用承認依頼
承認
貸出(パスワード連携)
特権アカウント受領
作業終了
パスワードリセット
作業開始
12/1 0:00~5:00の間、
adminアカウントを利用します
adminアカウントのパスワードは
“hogehoge”です
申請きてます
承認お願いします
承認します
12/1 0:00
作業終わりました
MFA

5. なぜこんな運用をするのか？
5
◼ 特権アカウントの不正利用防止
◼ 事故リスクの回避
◼ アクセス統制（監査対応）
◼ 作業のモニタリング
結構大変なんです。。
アカウント運用担当

6. PIMをつかうとこんな運用ができるようになります
6
作業者（わたし） アカウント運用担当 承認者(えらい人)
承認
作業終了
作業開始
12/1 0:00
アクティブ化
承認結果受領
(自動送信)
(自動送信)
開始時間になったら
特権ロールが付与される
終了時間になったら勝手に
特権ロールがはく奪される
（延長申請も可能）
ロール設定
割り当て設定
MFA
事前
準備
(承認者と同じでもよい)

7. PIMのメリット
7
◼ 特権アカウントを負荷なく安全に管理することができる
◼ 特権アカウントを想定外の利用を防ぐことができる
◼ 監査ログもしっかリ出力されている
◼ 特権アカウントの棚卸も簡単（アクセスレビュー）
わたしいらない
アカウント運用担当

8. PIMの仕様
8
◼ PIMの管理対象
1) AzureADロール（ディレクトリロール）
2) Azureロール ※対象スコープは、管理グループ、サブスクリプション、リソースグループ、リソースが設定可能
3) 特権アクセス グループ（プレビュー）
◼ 割り当てに必要な権限
1) AzureADロール：グローバル管理者、特権ロール管理者
2) Azureロール：サブスクリプション管理者、所有者、ユーザアクセス管理者
◼ 必要なライセンス：Azure AD Premium P2
ライセンスが必要な人
・PIMを使用して管理されるユーザ(作業者)
・承認者
・アクセスレビューの対象ユーザ
・アクセスレビューの実行ユーザ
※ロール設定や割り当て設定するユーザ（アカウント運用担当）は不要

9. PIMの使いかた ～ロール設定～
9
◼ 「対象のAzureリソース」と「そのロール」に対して、PIMを利用するための設定をいれる
割り当て・・・PIM利用の資格を持たせる時の条件（期間、MFA要否など）
アクティブ化・・・PIMによる特権利用時の条件（期間、承認要否など）
通知・・・PIM関連のアクションが発生した時の通知条件、通知先
(今回はAzureロールで説明します)
例:production-RGの
「所有者」ロールの設定
承認者を設定

10. PIMの使いかた ～割り当て設定～
10
◼ PIMの割り当てするメンバーや条件を設定する
“割り当ての開始”時間になると
一覧に追加される
対象アカウント
を設定
割り当て期間
を設定

11. PIMの使いかた ～アクティブ化～
11
◼ 作業者の操作で、自身に割り当てられている特権ロールのアクティブ化の申請を行う
配下のリソースの
アクティブ化も可能

12. PIMの使いかた ～承認～
12
◼ 承認者の操作で、申請に対する承認を行う
申請来ている一覧

13. PIMの使いかた ～アクティブ化確認～
13
◼ 開始時間になると、アクティブな割り当てが有効化される

14. PIMの使いかた ～監査ログ～
14
◼ すべての特権ロールでの過去 30 日間におけるすべてのロール割り当てとアクティブ化を確認できます

15. PIMの使いかた ～アクセスレビュー～
15
• 特権ロールが付与されたアカウントに対して継続的にその特権ロールを付与しておく必要があるかを
定期的に監査する機会を設け、特権ロールが不要となったアカウントの棚卸しを行います
• レビュー対象ロール、レビュー対象期間、レビュー担当者を設定し、期間内に対象ロールに対して行われたサインイン状況など
から、特権ロールの継続利用を判定します

16. まとめ
16
• 今回はPIM（Privileged Identity Management）の概要について説明いたしました
• 実際にPIMを適用する際には、細かなアカウント運用設計が必要になります。
その為の考え方やプラクティスについては、Microsoftドキュメントに詳細説明がありますのでご参照ください。
[ご参考] Privileged Identity Management のデプロイを計画する
https://docs.microsoft.com/ja -jp/azure/active-directory/privileged -identity -management/pim-deployment-plan
• PIMはとても使いやすく強力な機能なので是非ご活用ください！

17. ありがとうございました
17