ID Inspector

共有IDの実操作者を特定・記録する本人確認ソリューション

システム管理の操作者を特定することの重要性

システム管理者の操作は、性質上、特権IDといわれる管理者権限を用いる必要があります。この管理者権限は、システムに対し、さまざまな変更を行ったり、データベースへの直接アクセスなど、情報に対して制限なくアクセスが可能であったり、多くの権限を有するため、その濫用がシステムトラブルや機密情報の漏えいなどの問題につながる可能性があります。

これまでも特権IDを使用したシステム管理者の不正や誤操作に起因する問題は発生しており、IT統制上、この特権IDの使用に対する統制は、重要な取り組みの一つです。

特権ID管理の原則は、

  • 過剰な権限を付与しない
  • 使用者が誰かを特定する
  • 作業内容(操作内容)を記録し、濫用がなかったかを点検する

といった取り組みがあげられます。
つまり、システム管理における特権IDの使用者の特定は、権限濫用リスクへの対処のひとつとして重要です。

これまでのアプローチの課題

一般的にITシステムにおいては、IDとパスワードによって、特定のユーザーを識別します。システムは、利用するユーザーを識別すると、プロファイルを参照し、そのユーザーが使用できる権限に応じて機能やアクセス範囲を設定します。つまり、システムにおけるIDは、ユーザーの特定と、権限制御の両方に影響を与えることになります。

この考え方はシステムへのアクセスに対して有効な統制のように思われますが、実現場では以下のような理由により、支障が生じることがあります。

アカウントを切替えできない

24時間365日稼働させなければならない重要なシステムを維持するために、システム運用要員が交代で24時間365日、システム監視業務が行われている場合。

24時間365日稼働システムズ

このような業務においては、一般的に同一の監視用端末を複数のオペレーターが、交代制で使用する形態をとっています。勤務交代の際に、端末のOSや監視用アプリケーションのユーザーをログオフし、新しいユーザーIDでログオンしなおすことは通常しません。アカウント切替え時にシステム監視ができなくなってしまうからです。

従って、このような環境では、共有でアカウントを使用する場合が多く、システム上、誰が実際の作業者であったかを特定することが困難となってしまう場合があります。

管理者権限が固定されている古いアプリケーション

古い設計で開発された一部のアプリケーションを利用している場合。そうしたアプリケーションの一部では、現在のIT統制のような考え方に沿った設計開発がされておらず、特定のアカウントにのみ管理者権限を設定するような仕様になっている場合があります。

この場合、複数の管理者が存在しても、同一の管理者アカウントを使用せざるを得ず、作業者の特定が困難になります。
これを解決するためには、アプリケーションそのものを修正する必要があり、場合によっては多額の費用が発生することもあります。

個人に権限を割り当てると、権限管理がかえって煩雑になってしまう

大量のサーバーに対し、多くの作業者が交代で作業が行う場合。このようなケースでは、対象の各サーバーに、作業するユーザーすべてに固有の特権IDを作成すると、管理対象のアカウント数そのものが膨大になってしまい、管理が煩雑になる場合があります。

例えば、150台のサーバーで構成されるシステムを約30人の保守担当者が作業を行う体制の場合、管理対象のアカウント数は4,500アカウントになります。

運用対象のシステム規模の例

アカウントを集中管理できないの?
ディレクトリサービスを使用して、30名のアカウントを集中管理すればよいと思われるかもしれません。しかし、システム運用作業を行うアカウントの場合、個々のサーバーの特定のディレクトリに対する変更権限やサーバー管理機能に対する権限が必要なため、個々のサーバーローカルのアカウントを作成し、使用せざるを得ない場合が多いのです。
また、Active Directoryのドメイン管理者権限が良い例ですが、ディレクトリサービス上の管理者権限は、そこに属するコンピューター全体に対して管理者としての権限を持ってしまうため、統制上大きなリスクになってしまうデメリットも存在するのです。

ID Inspectorのコンセプト

ID Inspector(IDI)は以下のようなコンセプトによって、前項のような課題を解決します。

権限と作業者の特定を分離して別々に管理

OSやアプリケーションの認証とは別に、その時点の作業者を特定する「本人確認」だけを行う機能を提供することで、OSやアプリケーションで行う認証ロジックの仕様や運用上の仕組みで発生してしまう問題点を解決します。

  • OS上の作業者をログオン、再ログオンすることなく特定
  • 古い設計のアプリケーションを改修することなく、IT統制に対応
  • 大勢の作業者の個別IDを作成し管理する煩雑さから解放

常に必要なタイミングで確認

OSやアプリケーションの認証は、使用開始時に求められ、認証後は、一定の手続きや時間が経過するまで、同一の認証下にあるとみなされる仕様になっています。

IDIは、ユーザー操作の内容を監視し、重要な情報へのアクセス、重要な業務を行う際、本人確認を行うよう設定することが可能です。これにより、重要な操作に対する注意喚起と、成り代わり防止を行うことで、よりセキュアなシステム管理環境を提供します。

活用シーンとシナリオ

上述したコンセプトにより、以下のようなシーンにおいて、特権IDの管理にかかわる課題を解決することが可能です。

24時間365日 交代でシステムの監視、運用

24時間365日の稼働を行う重要システムの監視、運用業務において、勤務交代時、操作端末やシステム管理アプリケーションのログオンユーザーを切り替えることなく、作業者の特定を可能にします。これにより、システム監視、運用業務を中断することなく、業務を継続しつつ、課題であった操作者の本人確認とそのトレーサリビティを高めることが可能となります。

複数名で一つのグループIDを利用するケース

マルチベンダーによるシステム保守、運用のアウトソーシング

一般企業では、多くの場合、システム保守、運用管理をSIERに委託していると思います。
本来であれば、委託先のスタッフである個人レベルまで作業者の特定を行う必要がありますが、委託先企業の個人アカウントを管理対象サーバーに作成して、都度管理することは、セキュリティポリシー上、問題となる場合があります。

ベンダーに委託したシステム運用の例

IDIを利用すれば、委託作業者向けの共有IDを使用しつつ、委託先作業者の個人を特定することができ、結果としてベンダーに委託したシステム保守、運用作業の作業者の特定を可能にします。

クレジットカード情報を扱う重要システムのセキュリティ基準への対応

機密情報を扱うシステムに対するアクセスは、情報の持ち出しリスクが非常に高いため、一般のシステム以上に認証システムを強固にする必要があります。たとえば、クレジットカード情報を扱うシステムに対するセキュリティ基準PCI DSSでは、カード情報へのアクセスの際、IDとパスワード以外の認証要素を加える二要素認証が必要であると定めています。

ところが、既存のシステムを二要素認証に対応させるためには、認証ロジックを修正するアプリケーションのカスタマイズが必要になり、費用面で大きな負担となる場合があります。

IDIは本人確認の方法として、ID、パスワード以外にFeliCaをはじめとするスマートカードにも対応しているため、既存のシステムをカスタマイズすることなく、疑似的に二要素認証を実現することで、このような基準に対応することが可能となります。

IDIを利用したクレジットカードを扱うシステム図

ID Inspector(IDI)による本人確認は、以下のような仕組みで行われます。

ダイアログによる本人確認要求

  • ログオン直後、一定無操作後、一定の条件を満たした時点で、本人確認用のダイアログを表示し、本人確認ができるまで、デスクトップをロックします。
  • 作業者が、ID、パスワードを入力し、本人確認ができると、画面ロックが解除され、操作可能な状態になります。一方、本人確認結果がログとしてIDI Serverに送信されます。(本人確認が失敗した場合にも記録が送信されます)

IDIログオン画面

通常は、作業者を切り替えるためには、OS、アプリケーションをログオフし、作業者のアカウントでログオンしなおす必要がありますが、IDIを使用すると、使用アカウントを切り替えずに共有IDでOS、アプリケーションを使用しながら、作業者の特定を行うことができます。

p_0101-02.png

スマートカードによる本人確認

IDIは、ID、パスワードによる本人確認以外に、スマートカードによる本人確認が可能です。スマートカードによる本人確認の場合、作業者の所有するスマートカードをリーダー上に置いておけば、本人確認が必要な際に、自動的にカード情報を読み取って処理をしますので、ID、パスワードのように、業務を中断させることはありません。
(設定により、常にID、パスワードとカード提示の両方を求めるように設定することも可能です)

本人確認の条件設定

IDIの本人確認には、ログオン直後、一定時間無操作後に操作再開する際に、ダイアログを表示して本人を確認するモード(Aモード)以外に、ウィンドウタイトルやプロセス、特定のネットワークアクセスなどを用いて設定された条件を満たす場合にのみ、本人確認を要求するCモード、その両方で本人確認を行うHモードを選択することができます。

IDI利用の本人確認条件設定図の例

この機能を活用すると、たとえば重要なサーバーに対してリモート操作をした場合のみ本人確認を行うなど、業務に即した運用が可能となります。

2人体制による作業時の本人確認に対応

IDI_%E9%87%8D%E8%A6%81%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E3%81%AB%E5%AF%BE%E3%81%99%E3%82%8B%E4%BD%9C%E6%A5%AD.png重要システムに対するシステム管理操作を実施する際、作業者単独による実施を禁止し、必ず複数名による作業、立会人のもとでの作業とするルールを規定している場合があります。
ID Inspectorはこのような場合に、作業者、確認者2名の本人確認が行えないと作業を実行することができないよう設定することによって、2名体制による作業の徹底が可能です。

具体的には、作業者および確認者の本人確認を、個人のID/パスワードによって確認されるまで、画面がロックされて作業が開始できない状態となります。
IDI1.6.png

確認者、作業者のロールは、事前に設定することができますので、立場上確認者として登録されている社員の立ち合いがなければ、作業者が単独でシステム操作を行えないように統制することができます。

  • ID/パスワードによる本人確認に加え、スマートカードによる確認にも対応(その場合は、カードリーダーを2つ端末に装着します)
  • OSログオン直後に確認を行う Aモード、設定された条件を満たした場合に確認を求めるCモードの両方のモードに対応
  • 作業者・確認者の本人確認内容は、監査レポートにも出力
 

本人確認記録の蓄積とレポート出力

IDI Agentによって取得された本人確認情報は、リアルタイムにIDI Serverに送られ蓄積されます。
この蓄積された記録を集計・分析し、レポート出力を行うことで、共有IDの使用状況等を俯瞰的に捉えることが可能です。
IDIは、それらをもとに以下のレポートを出力します。また、お客様の要件に応じてカスタマイズも可能です。

本人確認結果の総合レポート

全ての端末操作における本人確認結果を集計し、本人確認ID単位の確認数や、あらかじめルール設定した特定条件時に本人確認が行われたイベント集計、本人確認失敗回数をレポートします。一目で、誰(実作業者)が/どの端末で/何回本人確認を行ったのか、また、本人確認を行わなければならない作業がどれくらいあったかなどが確認できます。

端末毎のレポート

端末毎に、端末を操作した全ての実作業者を時系列で表示します。これにより、対象の端末を、誰が/どのログオンIDで/いつ操作を行ったのかを、確認することができます。

ログオンID毎のレポート

グループIDなど、1つのログオンIDを複数名が利用する場合、ログオンIDに対して、誰(実作業者)が、どの端末で操作を行ったのかが確認できます。

IDI本人確認総合レポート

ID Inspector(IDI)とESS RECの併用により、本人確認アクションと操作記録をシームレスに連携させ、本人確認の記録とすべてのシステム操作記録を統合的に管理することが可能となります。これにより、IT統制強化をより効果的に実現できます。

IDIの本人確認の成功・失敗を条件に操作記録を取得

ESS RECの検知ルールには、IDIの本人確認要求に対する成功・失敗を条件に設定することが可能です。たとえば、システム管理者の権限を用いてデータベースへのアクセスをIDIで検知・本人確認の要求を行い 、その後の操作をESS RECで記録するといった設定ができます。

ESS RECの監視項目を条件にIDIで本人確認要求

また逆の連携としてIDI単体では設定できないESS RECの監視項目を条件にIDIの本人確認を起動させることにより、本人確認を行う操作シーンをより柔軟に設定可能になります。たとえばターミナルアプリケーションを利用中に特権を獲得するコマンド"SU"を利用した場合に 、IDIを起動するといった活用が可能です。

ESS RECとの統合利用バリュー

IT統制への対応

イメージ画像

ID Inspector(IDI)は、IT全般統制の要ともいえるシステムの管理者権限(特権ID)の管理を強化します。

アカウント上は、特定のユーザーを識別することができない共有型の特権アカウントは、通常ですと作業さ者の特定ができず、操作内容のトレースが困難なため、使用を控える必要があります。
IDIを利用すると、共有IDを使用する作業者の特定をし、その記録を蓄積することにより、トレーサビリティを高めることが可能です。
しかも、アプリケーションの認証の仕組みを改修したり、運用方法を大きく変える必要がございません。

情報セキュリティ対策

IDIは、以下のような環境を提供することにより、共有ID使用に伴うセキュリティリスクを低減させることが可能です。

トレーサビリティの向上

IDIは、共有IDを使用しながら、その作業者を特定し、記録として蓄積することで、共有IDの使用の際のトレーサビリティを高めます。これにより問題発生時に誰がその操作を行ったのかを特定し、早期の対策を実施することが可能となります。

注意喚起による使用者の意識づけによる抑止効果

IDIの提供する条件設定による本人確認要求は、その操作の重要性をオペレーターに知らせる注意喚起の効果を発揮し、結果として意図的な不正操作やケアレスで発生する誤操作の抑止効果が期待できます。

二要素認証と同等のセキュリティレベル

IDIが持つ、スマートカードによる本人確認を併用することで、二要素認証と同じレベルでの本人確認の精度を保証します。
IDIで本人確認ができなければ、操作ができない状態が保証されますので、結果としてアプリケーションをカスタマイズすることなく、二要素認証と同じセキュリティレベルを提供する解釈にもなります。

管理コストの削減

IDIの共有IDに対する本人確認機能を利用すれば、権限は同一であるにもかかわらず、作業者の特定を行うためだけに、多くのユーザーの個人IDを作成しなければならない大規模なシステムの保守・運用業務に対して、効率化を行う効果を提供します。
IDIによって、本人確認用のディレクトリサービスを一か所に集中させ、管理対象のサーバーには、少数の共有IDだけを作成し、管理する方法が選択可能となり、管理すべき対象のアカウント数そのものを大幅に減少させることができます。

システム構成

IDIは、システム管理業務において多用される、共有ID、特権IDの使用者を特定する「本人確認」ソリューションです。

IDIによるシステム管理図の例

ID Inspectorは、以下のコンポーネントによって構成されています。

PC上の動きを監視し、ダイアログによって本人確認を行うIDI Agent

IDI Agentは、操作端末に常駐し、PC上の動きを監視、ログオン直後、一定時間無操作後、あるいは設定された条件を満たした場合に、ダイアログを表示し、本人確認を要求します。本人確認ができるため、画面をロックします。本人確認の情報(成功、失敗)は、都度、IDI Serverに送信されます。

本人確認の記録を蓄積するIDI Server

IDI Serverは、IDI Agentからの本人確認のログを蓄積します。また、管理者の設定したポリシーを各端末に配布することも可能です。

本人確認レポートを出力するIDI Auditor

IDI Auditorは、バッチ形式により、本人確認のためのレポートを生成します。

稼働環境

IDI Agent Microsoft® Windows Vista® , 7, 8.1, 10(LTSB 2015 /2016)
Microsoft Windows Server® 2008, 2008 R2
Microsoft Windows Server 2012, 2012 R2
Microsoft Windows Server 2016(バージョン 1607まで)
IDI Server
IDI Auditor
Microsoft Windows Server 2008, 2008 R2
Microsoft Windows Server 2012, 2012 R2
Microsoft Windows Server 2016(バージョン 1607まで)
IDI Administrator Microsoft Windows Vista, 7, 8.1, 10(LTSB 2015 /2016)
Microsoft Windows Server 2008, 2008 R2
Microsoft Windows Server 2012, 2012 R2
Microsoft Windows Server 2016(バージョン 1607まで)
  • Active Directory®ドメインコントローラー以外にインストールする場合は、リモートサーバー管理機能を有効にするか、リモートサーバー管理ツールが必要です
  • カードリーダーが使用できない環境の場合スマートカードの登録はできません
その他の要件 本人確認用のIDを管理するActive Directoryが必要です。
スマートカードによる本人確認を行う場合、スマートカードリーダーが必要です
検証済スマートカードおよびカードリーダーは、FeliCa/PaSoRi RC-S380(ソニー製)となります
Server Coreでは動作しません(Windows Server 2008, 2012 (R2含む), 2016)
Nano Serverには対応しません(Windows Server 2016)
共通項目 日本語版・英語版がございます
x86, x64ともに対応します
.NET Framework 2.0 SP1以降が必須です
  • 対応するOSのエディション等、詳細の情報はお問合せください。
  • 本ソフトウェアは、ユーザーの機密情報の不正アクセスを完全に防止するものではありません。
  • ハードウェア要件に関してはご利用環境によって異なります。詳しくは弊社までお問い合わせください。
  • 旧バージョンの動作環境については、弊社までお問い合わせください。
  • 本ソフトウェアは改良のため事前に告知することなくバージョンアップすることがあります。
  • ID Inspector, ESS RECは、エンカレッジ・テクノロジ株式会社の商標または登録商標です。
  • Microsoft, Windows, Windows Server, Windows Vista, Active Directory は、米国 Microsoft Corporationの米国およびその他の国における登録商標または商標です。
  • FeliCa は、ソニー株式会社が開発した非接触ICカードの技術方式です。FeliCa, PaSoRi は、ソニー株式会社の登録商標です。
  • 記載されているその他の会社名、製品名、サービス名は、各社の商標、または登録商標です。
お問い合わせ
24時間受付中

エンカレッジ・テクノロジ株式会社

〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F

TEL:03-5623-2622 平日9時~17時