KDDI Cyber Bastionは、Wallix社とのパートナーシップにより提供されるサービスで、VPNトンネルや専用クライアントソフトの利用、またはファイアウォールのポート開放を必要とせず、安全性・集中管理・監査性を備えた単一のアクセスゲートウェイをインフラへ提供します。
KDDI Cyber Bastionは、Wallix社とのパートナーシップにより提供されるサービスで、VPNトンネルや専用クライアントソフトの利用、またはファイアウォールのポート開放を必要とせず、安全性・集中管理・監査性を備えた単一のアクセスゲートウェイをインフラへ提供します。
Zero Trustの原則に基づき、WindowsやLinuxサーバー、データベース、業務アプリケーションへのアクセスを、HTML5対応ブラウザから安全に提供します。
アクセス元を問わず、すべての通信は常に認証・認可・監査され、暗黙の信頼は一切付与されません。
プラグインやエージェント、追加コンポーネントは不要で、すべての接続はブラウザ経由で完結します。これにより、導入や運用、アップデート管理を大幅に簡素化できます。
特権アカウントのパスワードはユーザーに開示されず、認証情報は安全かつ集中管理されます。これにより、資格情報の漏えいリスクを低減し、セキュリティポリシーへの準拠を強化します。
Zero Trustアーキテクチャにより、利便性と高いセキュリティ、運用効率を両立できます。
本ソリューションは、最小権限の原則(Least Privilege)に基づいた強固なアクセス制御を採用し、各ユーザーに業務遂行に必要最小限の権限のみを付与します。
アクセス権限はロールベースで管理されており、明確かつ一貫性のあるアクセス管理を実現します。
IPホワイトリスト、強力な多要素認証(2FA)、および特権・機密アカウントの自動パスワードローテーションにより、セキュリティをさらに強化します。
これらの仕組みを組み合わせることで、不正アクセスのリスクを大幅に低減しつつ、シンプルで効率的、かつ安全な運用管理を実現します。
すべてのユーザーセッションは完全に記録され、実行された操作の完全なトレーサビリティを確保します。
このセッション記録機能により、操作履歴を正確に再現でき、インシデント発生時には原因を迅速に特定することが可能です。
さらに、不正またはセキュリティポリシーに準拠しない操作を防止するため、コマンドの制御・遮断機能を実装しています。
重要なコマンドはリアルタイムで制限・ブロックでき、人的ミス、権限の乱用、アカウント侵害によるリスクを大幅に低減します。
管理者は、すべてのユーザーおよび対象システムへのアクセスポリシーを一元的に管理できる中央管理インターフェースを利用できます。
アカウントの作成・変更・削除、ロールの割り当て、権限レベルの調整を、業務要件に応じて柔軟に行うことが可能です。
アクセスポリシー管理により、誰が・どのリソースに・どの条件でアクセスできるかを、セキュリティルールに基づいて正確に定義できます。
これにより、セキュリティポリシーの一貫した適用と、業務効率の両立を実現します。
Bastionのサイジング(容量設計)は、同時に処理可能なセッション数を基準として行われ、最適なパフォーマンスと快適なユーザー体験を確保します。適切なキャパシティ設計により、ピーク時でも安定した動作と高い応答性を維持できます。
なお、1人のユーザーが複数のセッションを並行して開くことが可能である点に注意が必要です。
そのため、Bastionのサイジングはユーザー数ではなく、同時セッションの総数を基準に検討する必要があります。
| Type | RDP / SSH セッション数 | CPU, RAM, DISK, OS |
|---|---|---|
| Bastion S | 25 / 240 | 4, 16 GB, 50 GB |
| Bastion M | 40 / 240 | 8, 16 GB, 50 GB |
| Bastion L | 50 / 480 | 8, 32 GB, 50 GB |
| Bastion XL | 75 / 480 | 16, 32 GB, 50 GB |
重要事項:
| 設定オプション | デフォルト値 |
|---|---|
| 指定期間を超えたユーザーデータを削除 | 36週間 |
| 指定期間を超えたユーザーログを削除 | 5週間 |
| 指定期間より古いセッションを削除 | 36か月 |
| 空きディスク容量が指定値を下回った場合にセッションを削除 | 10% |
| 指定期間を超えたセッションを優先的に削除 | 15日 |
| 重要(クリティカル)なセッションは、指定期間内のものを保持 | 7日 |
クラウド環境をより強固に保護するためには、プラットフォームやアーキテクチャの特性に応じた適切なセキュリティ対策を適用することが重要です。
これらの推奨事項は、不正アクセスのリスクを低減し、ネットワークフローの制御を強化するとともに、重要リソースの効果的な分離を実現することを目的としています。
多層防御(Defense in Depth)のアプローチを採用することで、クラウドおよびハイブリッド環境において、運用の柔軟性を維持しながらセキュリティレベルを向上させることが可能です。
KDDI Cloud Serenityの利用においては、「最小権限の原則(Least Privilege)」に基づいたOSレベルのファイアウォール有効化を推奨します。
具体的には、以下のように必要最小限の通信のみを許可します。
このように通信を厳密に制限することで、サーバーの外部からの露出を最小限に抑え、攻撃対象領域(アタックサーフェス)の縮小と不正アクセスリスクの低減を実現できます。
結果として、クラウド環境全体のセキュリティレベルが向上します。
KDDI Cloud Autonomyでは、仮想マシン間のマイクロセグメンテーションの導入が、重要なセキュリティ対策となります。
東西トラフィック(East‑West)フィルタリングにより、SSHおよびRDP通信を許可された接続のみに制限することで、内部攻撃の横展開(ラテラルムーブメント)を効果的に抑止します。
このようなVM間のきめ細かな分離により、ネットワーク全体のセキュリティが強化され、リソース間の未制御なアクセスを防止できます。
同時に、日常業務や運用に必要な柔軟性も確保されます。
Bastionは、ユーザーと対象システムの間に配置されるセキュアなアクセスゲートウェイです。
SSHおよびRDP接続を一元的に集約し、アクセス制御を行うとともに、セッションを記録することで、高いセキュリティと完全なトレーサビリティを実現します。
Bastionをサービスとして提供することで、専用インフラの運用負荷を軽減しながら、迅速な導入、集中管理、セキュリティ強化といったメリットを享受できます。
クラウドIaaSソリューションをご検討中の方や、サービス内容について詳しく知りたい方は、ぜひお問い合わせください。
ご質問からお見積り、導入まで、KDDI Franceが丁寧にサポートいたします。