ESS AdminControl

内外のセキュリティ脅威から重要システムを保護する特権ID管理

企業が抱えるリスク

昨今、システム管理者や委託先などの内部不正に加え、巧妙な攻撃によってマルウェアに感染し、情報の搾取を行う高度標的型攻撃など、企業を取り巻く内外のセキュリティリスクが高まっています。システムに対し高い権限を有する「特権ID」は、これらのセキュリティ脅威から重要システムを保護するために、その適切かつ厳格な管理が求められています。

特権ID管理のあるべきプロセス

%E3%82%B3%E3%83%B3%E3%82%BB%E3%83%97%E3%83%88%E5%9B%B31.png

事前申請に基づくID貸与

高い権限を有する特権IDは、システム管理担当者にその管理を委ねるのではなく、使用する必要がある場合にのみ使用できるよう、事前の申請・承認をベースに貸し出すような管理プロセスを構築する必要があります。

ID・パスワードの厳格な管理

パスワードの漏えい等による不正使用を防止するために、特権IDのパスワードは、十分に複雑かつ規則性のない設定を行うとともに、定期的に変更を行う必要があります。
また、一時的に使用されたIDの抹消忘れなど、管理されていないIDの不正使用を防止するために定期的なIDの棚卸しを行うことが必要です。

不正使用を防止する安全なID貸与

特権IDの貸与に当たっては、不正に第三者に使用されないよう、十分な安全性を確保することが必要です。

定期的な点検・監査

規定した管理プロセスが正常に機能していることを常にモニタリングし、管理プロセスの不備によるセキュリティ上の問題があれば、改善を行っていくことが重要です。
特に特権IDの場合、その権限の高さゆえ、正当なプロセスによって貸与された使用者の権限濫用および誤用リスクについても、点検・監査の対象とすべきポイントになります。

作業申請ワークフローシステム

ESS SmartIT Operationワークフロー(SIOワークフロー)は、ESS AdminControl(EAC)/ESS AutoAuditor(EAA)の両製品に共通で同梱されるワークフローシステムです。 Microsoft SharePoint Server上で稼働し、特権ID管理のための申請承認プロセスをサポートするとともに、EAC / EAAの各コンポーネントとシームレスに連携し、プロセス全体を自動化します。
%E3%83%AF%E3%83%BC%E3%82%AF%E3%83%95%E3%83%AD%E3%83%BC%E3%82%BA.png

特権ID貸与・返却処理とシームレスに連携

img_sio02.jpg SIOワークフローは、EAC/EAAのコンポーネントとシームレスな連携が可能です。申請された作業のステータスに応じて、EAC/EAAが自動的にタスクを実行するため、人の手を介した業務を削減できます。 例えば、申請された作業が承認されると、EACコンポーネントが自動的に必要なアカウントを準備し、作業が終了すると自動でパスワードがリセットされアカウントが利用できなくなります。

お客様の要件に柔軟に対応

img_sio03.jpg SIOワークフローは、企業によって異なる組織や職務分掌規定に柔軟に対応します。 承認ルートは独自に設定することができ、多段承認、グループ承認に対応します。承認ルートを複数作成し、業務ごとに異なる承認ルートを設定、各業務に対するアクセス権をユーザー、グループ単位で設定できます。

 

定期パスワード変更処理

%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E5%AE%9A%E6%9C%9F%E3%83%A9%E3%83%B3%E3%83%80%E3%83%A0%E5%8C%96.pngEACは、管理対象としているシステムの特権IDのパスワードについて定期的に変更処理を自動化します。完全にランダムな文字列をパスワードとして自動で設定するため、推測されづらい強固なパスワードが設定されます。
変更スケジュール、パスワードの複雑性に関する定義はシステムごとに設定できます。パスワードの変更実行履歴は、レポートで確認できます。

 

ID棚卸ツールによる定期的なID棚卸の支援

AIT.pngESS AdminControlに同梱されるID棚卸ツール(Account Inventory Tool)を使用すれば、各サーバーやActive Directoryに存在するアカウントの一覧や利用状況などの棚卸データを収集できるため、不要なアカウントの削除、無効化などの対処を容易に実行することができます。


 

パスワードを知らせず特権IDを貸与

ESS AdminControlでは、特権IDを貸与する際に、専用の貸出ツール「Operation Authenticator」を使用すると、特権IDのパスワードを知らせずに貸与することが可能です(パスワード隠蔽方式による貸与)そのため、パスワードが第三者に漏れることによる、なりすまし等のリスクが低下します。
また、使用する特権IDが共有型であっても、その利用者を特定することで、共有ID利用の問題についても解消します。
%E8%87%AA%E5%8B%95%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3.png
※パスワード隠蔽方式は、OSアカウントに対するリモートデスクトップ接続(Windows)
 およびTera Termを使用したSSH接続(UNIX/Linux)に対応します。データベースのアカウントや
 OSアカウントに対するその他の接続方法については、パスワード通知方式で貸与することが可能です。

各種監査用レポート

ESS AdminControlには、ログイン履歴の自動仕訳結果やログイン試行、パスワード変更履歴、アカウント貸与履歴など、特権IDの点検・監査に利用できる監査用レポートのテンプレートが標準で用意されており、これらのレポートを使って特権ID管理状況のモニタリングやリスク度合いを確認することができます。レポートは、カスタマイズすることも可能です。
%E3%83%AC%E3%83%9D%E3%83%BC%E3%83%88.png

ESS RECとの連携

弊社のシステム証跡監査ツール ESS RECを合わせてご利用いただくことで、特権IDを使用したアクセス内容(作業内容)に対する点検・監査も含めて統合的なリスク管理を実現します。
製品およびレポート間の連携により、ESS AdminControlの監査レポートから特定のアクセスを選択し、対象のアクセスに紐づくESS RECの監査レポートや操作記録データを呼び出すといった点検・監査の進め方が可能になります。
REC%E9%80%A3%E6%90%BA.png

2017年4月6日、ESS AdminControlの最新バージョン V1.5がリリースされました。
V1.5では、以下のような機能を新たに追加するともに、最新のプラットフォームへの対応を行いました。

データベースアカウントのログイン履歴収集・突合レポートの表示

管理対象のデータベースシステムから監査ログを定期的に収集し、ESS AdminControlの管理下にてアクセスされた履歴との突合を行い、アクセス履歴の仕訳結果を表示する「ログイン履歴収集・突合レポート表示」が新たに実装されました。
従来バージョンでは、OSアカウントに対してのみ提供していた本機能をデータベースのアカウントにも提供されることで、データベースのアカウントに対しても、OSアカウントと同レベルの監査を実現することが可能になります。

EAC_DBlogin_report.png
※本機能を利用するには、対象のデータベースの監査機能を有効にする必要があります。

管理対象システムの拡充

ESS AdminControlで管理できる対象システムを拡充いたしました。V1.5より管理対象として追加されたシステムは以下の通りです。

<オペレーティングシステム>
・Windows Server 2016
・Red Hat Enterprise Linux 7
・SUSE Linux Enterprise Server 10, 11, 12

特権ID管理のコスト削減と統制強化

これまで手作業で特権ID管理を行っていた企業にとって、ESS AdminControl(EAC)の導入は、特権ID管理に関するコスト削減を実現します。

共有IDの利用で管理対象のアカウント数を大幅に削減

EACは作業者を特定したまま共有IDを使用できる環境を提供します。従来は作業者を特定するため、個人ごとにアカウントを用意する必要がありましたが、EAC導入後はそれらのアカウントを削減し、グループや業務といった単位で特権IDを共有することが可能になります。
例えば、30人の作業者が50台のサーバーに対して3種類の作業を実施している環境を想定した場合。従来は各サーバーに作業者30名分の個人アカウントを作成する必要があるため、管理対象のアカウント数は1500です。しかし、EACを導入した場合は、50台のサーバーに対して、作業内容に応じた3種類の共有IDを用意、それらを作業者に貸出すため、管理対象のアカウント数は150となり、管理対象を10分の1に削減できます。

申請・承認、アカウント払出しなど一連のプロセスを効率化・省力化

EACでは、申請・承認、アカウントの準備、作業の報告、点検・監査まで一連のプロセスをSIOワークフロー上で行うため、紙ベースでの申請・承認手続きやID管理を実施している企業の負荷を軽減します。
また、ID管理と連携しないワークフローを利用して特権IDの貸出管理を実行している場合、ステータスの管理やパスワードの定期変更といった負荷についても軽減することが可能です。

特権ID利用時の統制強化

これまで特権ID管理の強化が実現できていなかった企業にとっては、システム管理者の作業工数を増やすことなく、効率的な特権ID管理を実現できます。
また、アカウント管理者の負荷増大を懸念して作業者にアカウントを配布したまま、管理を各作業者の良識に任せていた企業にとっては、アカウント管理者の負担を増大することなく承認ベースでの権限付与の仕組みを導入することができます。

システム構成

ESS AdminControl(EAC)の標準的なシステム構成は下図のようになります。

EAC構成

SIOワークフロー

特権ID使用の申請承認を行うワークフローシステムは、Microsoft SharePoint Server上で稼働するアプリケーションです。SharePoint Serverが稼働するサーバーにSIOワークフローコンポーネントをインストールします。

EACコンポーネント

EACのワークフロー以外のコンポーネントは、Broker, Job Controller, Reporter, Command Handlerの4つのサービスから構成されます。これらのサービスは、SIOワークフローと連携し、EAC Operation Authenticatorからの要求の処理や定期ジョブを実行するために稼働します。各サービスは同一筺体に同居させることも、別サーバーに分散して配置することも可能です。

データベース

EACは記録領域としてSQL Serverを利用します。SQL ServerはSharePoint ServerのバックエンドDBとしても必要ですが、EACが利用するスキーマはSharePoint Serverが利用するSQL Serverと同居させることも分離させることも可能です。

ワークフロークライアント、レポート参照

SIOワークフローを利用して申請・承認を行い、EACのレポートを参照するクライアントにはEACがサポート対象とするブラウザが必要です。

EAC Operation Authenticator

作業者が使用する端末にEAC Operation Authenticatorを導入します。EAC Operation Authenticatorは、EACコンポーネントの一つであるBrokerと通信し、作業者の認証や承認された作業一覧情報のやり取りを行います。

管理対象ノード

EACの管理対象となるサーバー(管理対象ノード)については、基本構成の場合、新たにプログラムをインストールする必要はありません。ESS RECとの連携を行う場合、システム構成によっては、連携用のプログラムをインストールする必要がございます。
また、管理対象ノードのOSの設定内容について変更が必要となる場合がございます。
(詳細はお問合せください)

その他

SIOワークフローおよびEAC Operation Authenticatorの利用者を効率的に管理するためにはActive Directoryを利用することをお勧めします。
また、承認ステータスの通知などを電子メールで行う場合には、SMTP/POP3またはIMAP対応のメールサーバーが必要です。

稼働環境

サーバー動作環境

OS Microsoft Windows Server 2008 R2(Server Coreは除く)
Microsoft Windows Server 2012 R2(Server Core、最小サーバーインターフェースは除く)
ミドルウェア Microsoft SharePoint Foundation 2010 または
Microsoft SharePoint Server 2010
(Windows Server 2012 R2の場合はSP2が必要)

Microsoft SQL Server 2008 R2(Windows Server 2008 R2の場合)またはMicrosoft SQL Server 2012 (Windows Server 2012 R2の場合)
その他 SMTP/POP3またはIMAP対応の電子メールサーバー
Microsoft Windows Active Directory(2003以降のフォレスト機能レベル)

クライアント動作環境

SIOワークフロークライアント Microsoft Windows Internet Explorer 9, 10, 11
SMTP/POP3またはIMAP対応の電子メールクライアント
Operation Authenticator
クライアント
OS Microsoft Windows XP, Vista, 7, 8.1, 10
Microsoft Windows Server 2003, 2008, 2012 (R2含む)
ミドルウェア .NET Framework 3.5.1または3.5 SP1
アプリケーション Tera Term Ver. 4.69~4.93
リモートデスクトップクライアントVer. 5.1以降

管理対象システム

OS Microsoft Windows Server 2003, 2008, 2012 (R2含む), 2016
HP-UX 11i v1, v2, v3
IBM AIX 5.3, 6.1, 7.1
Solaris 9, 10
Red Hat Enterprise Linux 4, 5, 6,7
SUSE Linux Enterprise Server 10, 11, 12
Directory Service Microsoft Active Directory
データベース HiRDB Version 8, 9
Microsoft SQL Server 2008, 2008 R2, 2012
MySQL 5.1, 5.5, 5.6
Oracle Database 10g, 11g, 12c

その他、ネットワーク機器、アプリケーション、クラウドサービスなど、IDおよびパスワードで認証されるシステム・サービスについて、アカウント簡易管理機能で管理可能です。

  • ハードウェア要件に関してはご利用環境によって異なります。詳しくは弊社までお問い合わせください。
  • 動作環境の詳細および旧バージョンの動作環境については、弊社までお問い合わせください。
  • Windows 10のサポート対象ブランチおよびバージョンについてはお問合せください。
  • 本ソフトウェアは改良のため事前に告知することなくバージョンアップすることがあります。
  • 本ソフトウェアに使用されている一部の技術は特許取得済みです。
  • ESS REC, Remote Access Auditor, ID Inspector, Encourage Super Station, ESS AutoQuality, ESS AdminControl, ESS AutoAuditorは、エンカレッジ・テクノロジ株式会社の商標または登録商標です。
  • Microsoft, Windows, Windows Vista,  SharePoint, SQL Server, Internet Explorer, Active DirectoryおよびWindows Serverは、米国Microsoft Corporationの、米国およびその他の国における登録商標または商標です。
  • IBM, AIXは世界の多くの国で登録されたInternational Business Machines Corporationの商標です。
  • Oracleは,Oracle Corporation 及びその子会社,関連会社の米国 及びその他の国における登録商標または商標です。
  • HiRDBは、株式会社日立製作所の日本における商品名称(商標又は登録商標)です。
  • 記載されているその他の会社名、製品名、サービス名は、各社の商標または登録商標です。
お問い合わせ
24時間受付中

エンカレッジ・テクノロジ株式会社

〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F

TEL:03-5623-2622 平日9時~17時