ユーザー識別(User-ID)

User-IDとは

User-ID構成図

User-IDは、次世代ファイアウォールとMicrosoft社のActive Directoryサーバーをシームレスに連携し、アプリケーションの可視化、ポリシーの策定、ログの取得、レポートの作成を管理者が行う際に、ユーザー名およびユーザーグループのデータを使用できるようになる機能です。これにより、例えば従業員や部門IDごとに、アプリケーションやコンテンツの監視と制御を行えるということです。

Active Directory連携

Active Directory連携の仕組みは、次世代ファイアウォールに付属しているUser Identification Agent(ユーザー識別エージェント)を用いてActive Directoryのドメインコントローラーと通信を行い、ある特定の時点でユーザーが使用しているIPアドレスにそのユーザー情報をマッピングします。User Identification Agent(ユーザー識別エージェント)は、以下の場合に、複数の技術を使用してユーザーとIPアドレスの関係を確認し、維持します。

  • ログイン監視:

    ログイン活動を監視し、ユーザーがドメインにログインする際に、IPアドレスとユーザーおよびユーザーグループの情報を関連付けます。

  • エンドステーションポーリング:

    ユーザーがドメインの再認証を行わずにネットワーク内を移動した場合に、マッピングの正確性を維持するためにアクティブなPCのポーリングを行い、IPアドレスを確認します。

  • Captive Portal:

    ホストがドメインに含まれていない場合、ウェブページベースの認証フォームでユーザーとIPアドレスを関連付けます。例えば、この機能を使用し、Active Directory以外の認証サーバー(Radius、LDAPなど)と連携することが可能になります。

さらに、User Identification Agent(ユーザー識別エージェント)はユーザーにマッピングされた最新のロールやグループを維持します。User-IDは既存のインフラ上で動作し、別のデバイスにユーザーやグループの情報を複製したり、PCにエージェントをインストールしたりする必要はありません。

上記で識別したユーザー情報をもとにする、ユーザーベースのポリシー制御は、アプリケーション、カテゴリーとサブカテゴリー、秘匿技術、アプリケーション特性を組み合わせて構成されます。ポリシーを使用することで、特定のユーザーやグループのアプリケーションアクセスを通信方向に関わらず管理できるようになります。例えば、次のような例があります。

  • ヘルプデスクサービスグループにはYahoo Messengerの使用を許可する。
  • サーバー運用グループにはMS-RDPの使用を許可する。ただし、デフォルトポートのみ。
  • ファイル転送目的でBitTorrentの使用を許可されているA氏以外に対しては、P2Pテクノロジーを使用したファイル共有アプリケーションの使用をブロックする。

さらに、App-IDTMテクノロジーによりネットワーク上に不審なアプリケーションが発見された場合に、このUser-IDは効力を最大限に発揮します。

上記のように、アプリケーション名をマウスでクリックするだけで、そのアプリケーションを利用しているユーザーを素早く判断できます。また、アプリケーションのユーザーを表示するだけでなく、関連する脅威、帯域消費やセッション数、アプリケーショントラフィックの送受信場所も閲覧できます。さらに、ユーザー名をクリックしてドリルダウンすることで、そのユーザーがアクセスしているその他のアプリケーションを簡単に調査することができます。すると、管理者はそのユーザーが使用中のほかのアプリケーション、帯域消費、セッション数、脅威までも確認することが可能になります。

次世代ファイアウォールについて見る

Palo Alto Networks Products コンテンツ一覧

関連商品・キーワード