ESS AdminGate

今日から始めるシステム管理者のセキュリティ対策

委託先などシステム管理者による不正・誤操作のリスク対策は十分ですか?

近年、システム管理者による不正行為で、機密情報の漏えいやシステム障害などの問題が多発しています。

システム管理者の不正行為が大きな影響を与える要因の一つには、システム管理業務の性質上、システムに対してあらゆる操作が可能な管理者権限を有する特別なアカウント(特権ID)を使用するという点があります。この特権IDを目的以外に使用されることで、不正やシステムトラブルなどにつながります。 したがって、システム管理者の不正や誤操作等のリスクを低減させるためには、特権IDが不正に利用されないようIDの管理を行うこと、また特権IDによって不正な操作、誤操作が発生していないかを監視あるいは証跡を確保して、チェックを行うことが重要です。

重要なシステムに対し、以下のような状態の場合には、リスク低減の見直しが必要です。

イメージ図

必要な機能をオールインワンで提供する仮想アプライアンス方式

ESS AdminGateは、このような課題を解決し、システム管理者による特権IDの不正使用、濫用による情報漏えいやシステム障害を未然に防止する仮想アプライアンス製品です。

イメージ図

当社の従来製品ESS SmartIT Operationが、個々の機能に特化した製品で構成され、比較的規模の大きなシステムを対象に、要件に合わせて組み合わせてご利用いただくことが可能であるのに対し、ESS AdminGateは、必要機能をコンパクトにまとめ、小規模なシステムに対しすぐに適用いただけるよう構成されています。

イメージ図

内容 ESS AdminGate ESS SmartIT Operation
適用システム 小規模~中規模システム 中規模~大規模システム
提供方式 仮想アプライアンス方式 ソフトウェア
提供機能 特権ID管理(アクセス管理)、証跡管理(操作内容の監視・記録)、ファイル入出力管理(情報漏えい対策)の主要機能をコンパクトに構成 特権ID管理(アクセス管理)、証跡管理、操作内容自動突合、手順書管理の各コンポーネントを要件に合わせて構成可能
料金形態 サービス型使用料金 ソフトウェアライセンス料金

マイナンバーの安全対策にも有効

マイナンバー法が施行される2016年1月以降、すべての事業者で従業員の個人番号を収集・保管し、税や社会保険に関する手続きに限定して利用する必要があります。また、個人番号が漏えい、滅失、毀損しないよう安全に保管するために安全管理措置を講じる必要があります。

ESS AdminGateは、マイナンバー制度で必要となる人事・給与関連システムに対する保守・運用業務の安全対策としても有効です。

当社のマイナンバー安全対策についての詳細はこちら

システム管理者のリスクを低減させる多様な機能を提供

承認ベースでのアクセス許可と使用者の識別

システム保守・運用者は、ESS AdminGateが提供するワークフローシステムを使用し、アクセス許可を得ることでアクセスが可能になります。また、対象サーバーへのアクセスの際、ESS AdminGateが作業者個人を識別し、許可されたアクセス先のみに接続を許可する「認証ゲートウェイ」として機能します。管理対象サーバーへの接続は認証ゲートウェイが代行して行いますので、作業者に対してパスワードが開示されない運用を可能にします。

承認ベースでのアクセス許可と使用者の識別

動画とテキストでアクセス内容を詳細に記録

ESS AdminGateは、ゲートウェイを介した操作をすべて詳細に記録し保管します。 Windowsサーバーの操作は、デスクトップの画面遷移を動画形式で記録します。Linuxサーバーに対する操作は、コマンドラインの入出力情報をすべてテキスト形式で記録します。操作を記録することで、不正操作に対する高い抑止効果が期待できるだけでなく、不正操作の発生を早期に発見し、問題の拡大を水際で防ぐ対応も可能となります。

動画とテキストでアクセス内容を詳細に記録

ファイルの持ち込み・持ち出しを制限し情報漏えいを防止

管理対象サーバーへのファイル持ち込みやサーバーからのファイル持ち出しには、管理者の承認が必要となり、許可なくファイルを持ち出されることによる情報漏えいを防止します。

また、サーバーからファイル※を持ち出しする際、そのファイルの内容を検査し、マイナンバー(個人番号)や個人情報が含まれている場合には、承認者にアラートが上がることで、承認者の判断を支援し、チェック漏れによる情報漏えいを防止します。
※対応ファイル形式等、詳細はお問い合わせください

ファイルの持ち込み・持ち出しを制限し情報漏えいを防止

不正ログイン検出

ESS AdminGateは、定期的にサーバーのログを収集し、自身で管理している申請承認およびESS AdminGateを経由したアクセス履歴と照合をすることで、承認を得ていない不審なアクセスの有無を検出しレポートとして表示します。

不正ログイン検出

禁止コマンド アラート

Linuxのコマンド操作については、事前に定義しておくことで、禁止コマンドが使用されると、即座に管理者にアラートが送信されます。これにより、不正操作の抑止および不正操作実行時の早期対処を可能にします。

禁止コマンド アラート

すぐに利用可能、安定的な利用を確保

仮想アプライアンスでインストール作業が不要

VMWare、Hyper-V、Citrix XenServerといった仮想環境に対応した仮想アプライアンスで提供されますので、ソフトウェアのインストール作業が不要です。簡単な設定を行うだけで、すぐに利用開始できます。
仮想アプライアンスイメージを持込可能なクラウドサービスでの稼働も可能です。

冗長構成を標準でサポート

ESS AdminGateは、特別な冗長化の仕組みがなくても、2台のESS AdminGateを構成することで、冗長化が可能です。アクティブ-アクティブ方式で、2つのESS AdminGateが常に同期され、障害時は一方のESS AdminGateで継続して利用できます。

特権IDなどシステム管理者に関わるリスクを低減

icon01

ESS AdminGateは、特権IDを使用してシステム保守・運用を行うシステム管理者の不正や誤操作によって発生する情報漏えいや重大なシステム障害などのリスクを低減します。

コンプライアンス対応にも貢献
特権ID管理やその操作の証跡の保管と点検は、マイナンバー安全管理措置、PCI DSS、FISCガイド ライン、ISMSなどの情報セキュリティに係る認証や法規制においても、対処すべき事項として挙げられており、ESS AdminGateは、これらの法規制への対応、認証制度の取得に貢献します。

誤操作・操作ミスによる障害の原因究明や再発防止

icon02

ESS AdminGateは、意図的な不正だけでなく、作業者の意図しない誤操作・操作ミスに対しても効果を発揮します。特にデスクトップ画面の動画記録やコマンド操作の記録は、作業者の意図しない誤操作によって発生する障害の原因究明を可能にするだけではなく、誤操作を起こしづらいインターフェイスへの改良といった再発防止にも役立ちます。

管理プロセスの省力化

icon03

特権IDのパスワード変更や申請承認ベースでの貸し出しは、人の手で管理することも可能です。しかし、システム作業の度に貸し出すような管理作業が発生するため、管理負荷を招くだけでなく、管理ミスによるリスクも心配も発生します。
ESS AdminGateを利用することで、特権IDに関わる管理作業は自動化され、管理プロセス全体の省力化をすることで負荷軽減、さらにはコスト削減の効果が期待できます。

構成例

下図は、データセンターに設置したシステムに対し、ESS AdminGateを利用して、システム保守・運用業務のアクセスおよび証跡の管理を行う構成例です。

構成例

ESS AdminGateコントローラーの設置

管理対象のシステムへのアクセス経路にESS AdminGateコントローラーを設置します。ESS AdminGateコントローラーは、仮想アプライアンス方式で提供されるESS AdminGateのコアコンポーネントです。
運用者の端末から、ESS AdminGateコントローラーを介さないとアクセスできないようにネットワーク的に設計する必要はございません。
ESS AdminGateは、たとえネットワーク的に管理対象サーバーにアクセスが可能であっても、特権IDのパスワードが隠ぺいされているため、ESS AdminGateを経由して承認ベースでアクセスする必要が生じる点に特長・メリットがあります。

Windows用エージェントプログラムの導入

管理対象のWindowsサーバーには、ESS AdminGateエージェントを導入します。

稼働環境

ESS AdminGateコントローラー稼動要件

項 目 稼動環境
対応する仮想環境 VMware vSphere (ESXi)
Microsoft Hyper-V
Citrix XenServer
管理対象サーバーのOS Microsoft Windows Server 2008(x64) /2008 R2
Microsoft Windows Server 2012 /2012 R2
Ubuntu Server 12.04 LTS, 14.04 LTS, 16.04 LTS
CentOS 5, 6, 7(x64)
SUSE Linux Enterprise Server 10, 11, 12(x64)
Red Hat Enterprise Linux 5, 6, 7(x64)
※Windows Serverにはエージェントプログラムが必要です
管理対象のアカウント 上記管理対象サーバーOSのローカルアカウント
Windows Active Directoryユーザーアカウント
(Windows Server 2008 R2またはWindows Server 2012 機能レベル)
管理対象の接続方式 Windowsサーバーに対するリモートデスクトップ接続
Linuxサーバーに対するID/パスワード認証方式のSSH接続

クライアント要件

項 目 稼動環境
サポートするブラウザ Internet Explorer 10, 11
Google Chrome 38以上
サポートするリモートデスクトップクライアント Remote Desktop Client Ver. 5.2以上
  • 対応言語:日本語/英語 ただし、製品マニュアルは日本語です。
  • ESS AdminGateコントローラーを稼働させるハードウェア要件については、ご利用環境によって異なります。詳しくは弊社までお問い合わせください。
  • 本ソフトウェアは、不正アクセスを完全に防止するものではありません。
  • 本ソフトウェアは改良のため事前に告知することなくバージョンアップすることがあります。
  • 本ソフトウェアに使用されている一部の技術は特許出願中または取得済みです。
  • ESS AdminGate, ESS REC, Remote Access Auditor, ID Inspector, Encourage Super Station, ESS AutoQuality, ESS AdminControl, ESS AutoAuditorは、エンカレッジ・テクノロジ株式会社の登録商標または商標です。
  • Microsoft, Windows, Windows Serverは、米国 Microsoft Corporation、およびその他の国における登録商標または商標です。
  • 記載されているその他の会社名、製品名、サービス名は、各社の登録商標または商標です。
お問い合わせ
24時間受付中

エンカレッジ・テクノロジ株式会社

〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F

TEL:03-5623-2622 平日9時~17時