ESS AutoAuditor(EAA)

特権ID利用のリスクコントロールを自動化

エンカレッジ・テクノロジの特権ID管理ソリューションを構成

アプリケーションの修正、データベースへの直接アクセスなどの重要なシステム操作は、特別な権限を有するいわゆる「特権ID」を使用するため、権限を濫用することなく正しく使用されていることを常にモニタリングする必要があります。また誤操作によるシステムトラブルは、ITによって支えられる企業経営に大きな影響を及ぼしかねません。安全で安定的なITサービスの継続のためには、特権IDを使用したシステム操作の正当性・正確性をどう確保するかが課題です。

ESS AutoAuditor(EAA)は、ESS AdminControlとともにエンカレッジ・テクノロジの特権ID管理ソリューションを構成し、企業における効果的な特権ID管理を実現します。

関連ページ >>ESS AdminControlについて

許可されたユーザーが許可されたこと以外の操作を行うリスク

特権IDはシステムやデータベースに対する様々な権限を有するため、たとえ正当に権限を有するものであっても、正しい使用のされ方を守らなければ、システムトラブルや情報漏えいなどの事故につながります。

権限者による濫用

権限者による濫用 特権IDはその権限を濫用されると、大きなトラブルにつながります。使用が許可されたユーザーであっても、その権限を濫用されず正しく使用されていることをモニタリングする必要があります。

 

操作ミス

操作ミス 特権IDのリスクはたとえ使用者に意図がなくても、誤操作によるシステムトラブルの発生を招きかねない点です。たとえば、データベースの更新権限の有するアカウントで誤って操作すると、一つのコマンドですべてのデータを書き換えてしまう可能性があります。

 

人による点検監査のリスク

上記のようなリスクを低減するために、多くの企業ではシステム操作の点検を実施しています。たとえば作業報告書を記載するとともに、証拠となるログを提出し、定められた監査者によるチェックを受けるなどです。しかし、このような人によるマニュアル点検には、以下のようなリスク、課題が残されています。

点検内容のばらつき

点検内容のばらつき 人による点検の場合、点検の精度は人の能力やコンディションに依存します。システムの詳細なログの内容を理解するには、それぞれのシステムに対する深い知識が必要です。また体調などのコンディションにより、普段は見落とさないような内容を見落としてしまうことも考えられます。

 

人的負荷

システムの規模が大きくなると、発生するシステム操作の回数も多くなります。システム操作の点検を人によって実施する場合、システム規模に応じて点検する工数が増大し、そのための人員の確保が必要になります。人員の確保が困難な場合、点検内容を省略せざるを得ず、結果としてリスクとなる場合もあります。

操作内容の点検を自動化するテクノロジー

EAAは、これらの課題を解決するアプローチとして、これまで人によって行わざるを得なかったシステム操作内容の妥当性チェックを自動化、人の能力やコンディションに依存しない標準化された点検・監査を可能にしました。

特権ID管理のための申請承認ワークフロー

ESS SmartIT Operationワークフロー(SIOワークフロー)は、ESS AdminControl(EAC)/ESS AutoAuditor(EAA)の両製品に共通で同梱されるワークフローシステムです。 Microsoft SharePoint Server 2010上で稼働し、特権ID管理のための申請承認プロセスをサポートするとともに、EAC / EAAの各コンポーネントとシームレスに連携し、プロセス全体を自動化します。

SIOワークフロー図

主な機能と特長

EAC/EAAとのシームレスな連携

icon01 SIOワークフローは、EAC/EAAのコンポーネントとシームレスな連携が可能です。申請された作業のステータスに応じて、EAC/EAAが自動的にタスクを実行するため、人の手を介した業務を削減できます。 例えば、申請された作業が承認されると、EACコンポーネントが自動的に必要なアカウントを準備し、作業が終了すると自動でパスワードがリセットされアカウントが使用できなくなります。

企業組織や職務分掌規定を考慮

icon02 SIOワークフローは、企業によって異なる組織や職務分掌規定に柔軟に対応します。 承認ルートは独自に設定することができ、多段承認、グループ承認に対応します。承認ルートを複数作成し、業務ごとに異なる承認ルートを設定、各業務に対するアクセス権をユーザー、グループ単位で設定できます。

さまざまな運用・システム環境をサポート

icon03 SIOワークフローは、システム運用の特殊なネットワーク環境をサポートします。開発・運用でネットワークセグメントが異なり分離されている環境においても、分離ネットワーク間をまたいだワークフロー手続きを行うことが可能です。(EAAでの利用時のみ)

企業内システムとの連携・融合

icon04 SIOワークフローはMicrosoft SharePoint Server上の1コンテンツとして稼働しますので、他のSharePointコンテンツとあわせて企業ポータル上に展開できます。ユーザー管理はActive Directoryと連携されており、ユーザー設定を省力化できます。

SIOワークフローとのシームレスな連携

ESS SmartIT Operationワークフロー(SIOワークフロー)は、ESS AutoAuditor(EAA)、ESS AdminControl(EAC)に共通して同梱されるシステム操作のためのワークフローシステムです。

EAAは、SIOワークフローとシームレスな連携により、システム操作の申請・承認、作業用一時アカウントの払い出し、作業終了後のアカウント廃止、作業内容の突合までの一連の手続きを人の手を介さず実施することが可能です。

function01

承認ベースで自動的に払いだされる作業用ワンタイムアカウント

EAAで申請されたシステム操作が承認された場合のみ、作業日時に合わせて必要な作業用ワンタイムアカウントが自動的に払い出されます。また払い出されたアカウントは、作業終了後に自動的に抹消されることで、ID管理ミスによる不正アクセスを防止することが可能です。

なお、EAA V2.0以降では、Windows Active DirectoryのUNIX用 Microsoft ID管理機能と連携することで、UNIX/Linuxサーバーに対する作業用一時アカウントを発行することも可能となりました。

システム操作内容と申請内容の突き合わせを自動化(自動突合)

EAAは、承認されたシステム操作が終了し作業報告が行われると、申請内容と実際の作業内容を比較・検証する 「突き合わせ」作業を自動的に行います。

統制対象の操作内容を点検

EAAが実現する「突き合わせの自動化」は単にIDが使用されたか、されなかったかというレベルではなく、「申請された操作内容以外の操作を行っていないか」という視点での点検・監査を行い、その突き合わせ結果を「突合結果レポート」として出力します。

function02

ESS RECとの連携

突合結果レポートで検出された未承認操作に関する点検作業は、レポートから連携し再生されるESS RECの動画による記録を確認することで、未承認操作内容そのものを再現、対処が必要かどうかの判断が可能です。

function03

※操作内容は弊社製品「ESS REC」または「Remote Access Auditor for Multi Session」を利用して記録します。

システム操作内容に関する統制の強化

ESS AutoAuditor(EAA)は、これまで人によって行うしかなかったシステム操作内容の妥当性の点検作業を自動化します。これにより、以下のような課題を解決し、統制レベルを強化することが可能です。

属人性の排除

人による点検の場合、点検の精度は常に人の能力やコンディションに依存してしまいます。操作内容が妥当かどうかを判断するためには、システムに関する専門的な知識も必要になります。心身のコンディションにより、チェックの精度が落ち、不正操作や誤操作を見逃す可能性もあります。
EAAは、事前に統制対象の操作をブラックリストとして登録しておけば、常に同じ精度で突合作業を行い、結果をレポートすることで、属人性を排除し、統制レベルを均一化、標準化することができます。

制約条件の排除

企業によっては、システム操作内容の点検に必要な人員や工数が膨大であるため、リスクは認識しながらも、実際には点検作業を実施できていない状態でした。
たとえば、1日30件のシステム操作が発生し、1件のシステム操作の点検・監査にかかる時間を平均1時間とした場合、全件のチェックをするためには、4名の専任者が必要になってしまいます。
つまり点検作業の実施の大きな制約条件はかかる工数の手配が困難であることです。
EAAを活用することにより、システム操作の点検を自動化することでこのような制約条件を排除し、人員の手配を行わなくても、必要とされる統制活動を可能にします。

統制活動にかかるコストの削減

一方、これまで多くの人員と工数を費やしシステム操作の点検・監査を実施していた企業にとっては、工数を削減することが可能となります。
たとえば、前項の例では、マニュアル統制の場合4名の専任者が必要ですが、EAAを利用することにより、1件当たりの人による突合結果の確認作業を15分程度に削減できたとすると、1名で実施可能になる計算です。

システム構成

environment01

SIOワークフロー

特権ID利用の申請承認を行うワークフローシステムは、Microsoft SharePoint Server 2010上で稼働するアプリケーションです。SharePoint Server 2010が稼働するサーバーにSIOワークフローコンポーネントをインストールします。

ESS AutoAuditor(EAA)サーバー

SIOワークフローと連携して、Active Directoryに対してアカウントを払い出しと無効化、作業終了後の作業記録と申請内容の自動突合などの処理を行うコンポーネントです。SIOワークフローを導入するサーバーと同居させることも別サーバーに配置することも可能です。

Active Directory

EAAサーバーは、承認された作業申請に必要な一時作業アカウントを、指定されたActive Directoryに作成します。そのためEAAサーバーからアクセスできるActive Directoryが必要です。

ESS REC またはRemote Access Auditor(RAA)

EAAの自動突合は、ESS RECまたはRAAの操作記録を用います。そのためActive Directoryに払いだされた作業用一時アカウントが使用できるクライアントPCやサーバー上に、ESS RECまたはRAAを配置します。

ネットワーク分離環境への対応

EAAは、分離された複数のネットワークセグメント間をまたいで利用することが可能です。(ESS AdminControlとの同時利用の場合を除く) その場合には、それぞれのネットワークセグメント内に、SIOワークフローとEAAサーバーを配置します。

environment02

稼働環境

サーバー動作環境

OS Microsoft® Windows Server® 2008 R2(Server Coreは除く)
Microsoft Windows Server 2012 R2
(Server Core、最小サーバーインターフェースは除く)
ミドルウェア Microsoft SharePoint® Foundation 2010 または
Microsoft SharePoint Server 2010
(Windows Server 2012 R2の場合はSP2が必要)

Microsoft SQL Server® 2008 R2(Windows Server 2008 R2の場合)またはMicrosoft SQL Server 2012 (Windows Server 2012 R2の場合)
その他 SMTP/POP3またはIMAP対応の電子メールサーバー
Microsoft Windows® Active Directory®(2003以降のフォレスト機能レベル)

クライアント動作環境

SIOワークフロークライアント Microsoft Windows Internet Explorer® 9, 10, 11
SMTP/POP3またはIMAP対応の電子メールクライアント
その他 ESS REC V5以降、またはRemote Access Auditor V5以降
  • ハードウェア要件に関してはご利用環境によって異なります。詳しくは弊社までお問い合わせください。
  • 本ソフトウェアは改良のために、事前に告知なくバージョンアップすることがあります。
  • 本ソフトウェアに使用されている一部の技術は特許取得済みです。
  • ESS REC, ESS AutoQuality, ESS AdminControl, ESS AutoAuditorは、エンカレッジ・テクノロジ株式会社の登録商標または商標です。
  • Microsoft, Windows, Windows Server, SharePoint, SQL Server, Active DirectoryおよびInternet Explorerは、米国Microsoft Corporationの、米国およびその他の国における登録商標または商標です。
  • 記載されているその他の会社名、製品名、サービス名は、各社の登録商標または商標です。
お問い合わせ
24時間受付中

エンカレッジ・テクノロジ株式会社

〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F

TEL:03-5623-2622 平日9時~17時