ESS AdminONEは、さまざまなシステム環境の多様な要件に対して以下のような機能を提供します。
(以下のバナーをクリックいただきますと、詳細説明までスクロールします。)
申請・承認ベースのアクセス許可を実現するワークフロー機能
同梱されるワークフローを使用することで、申請・承認ベースの特権アクセス許可の仕組みを提供します。ワークフローシステムと特権ID貸出の仕組みはシームレスに連携しており、承認されたアクセス申請に従って自動的に貸与され、作業完了後には返却処理が行われるため、人による介在が不要となります。
ワークフローシステムは目的に応じて、簡易申請と詳細申請から最適な申請書様式をご利用いただけます。簡易申請は、入力項目を必要最小限とし、アクセス申請の際の手間を省略することが可能です。
さまざまなシステムをパスワードレスアクセスで一元管理
パスワードレスアクセスとは?
パスワードレスアクセスとは、ESS AdminONEの最大の特長である、利用者にパスワードを開示せずにアクセス許可を行う仕組みです。ESS AdminONEが特権IDの認証情報を掌握し、許可されたユーザーに代行して認証することで実現しています。さまざまなシステムをパスワードレスアクセスで管理することにより、返却時のパスワード変更を不要とすることができるメリットがあります。
さまざまなシステムのパスワードレスをノーコードで定義可能
「貸出ツール構成」では、標準で対応するシステムのパスワードレスアクセスに加えて、定義ツールを用いてあらかじめ独自の設定を行うことで、さまざまなシステムに対するパスワードレスアクセスを実現します。
代行入力方式を採用し、 GUIアプリケーション、Webアプリケーションなどさまざまなシステムに柔軟に対応します。多様なシステムに対し自動ログイン定義を適用することでパスワードレスアクセスを実現し、安全性を向上することが可能です。
OTPを使用した多要素認証に対応
ESS AdminONEを使用するユーザー個人の認証は、ID/パスワードに加えてワンタイムパスワード(OTP)を使用した多要素認証にすることも可能ですので、なりすましを防止します。
パスワード・認証鍵管理でよりセキュアに
パスワード変更・鍵交換自動化
ユーザーアクセス要求時にランダム化することで、貸与期間のみ有効なワンタイムパスワードにすることが可能です。(鍵認証の場合には、鍵のワンタイム化)
パスワードレスアクセスの仕組みと併用することで、二重の保護を施すことができ、特権IDを不正アクセスから強固に保護、安全性をさらに向上させることが可能です。
定期パスワード変更・鍵のローテーション
貸与時のパスワードランダム化に加え、定期パスワード変更・鍵交換の自動化にも対応。パスワードの複雑性(桁数・使用文字種)、変更頻度、変更処理時間は、対象ノード単位で設定できます。ジョブ履歴を確認することで定期変更の実行状況(成功・失敗)を容易に把握することが可能です。
汎用パスワード変更インターフェイス
汎用パスワード変更インターフェイスを使用し、外部プログラムと連携させることで、標準で対応しているシステム以外のパスワードランダム化にも対応。外部プログラムのためのインターフェイスは公開されており、お客様固有のシステムに合わせて開発することも可能です。
選択可能な操作証跡機能
貸与した特権IDを使って行われた操作を動画とテキストで克明に記録し、トレーサビリティを確保します。操作証跡の取得方法はシステム構成によって、以下の通り選択が可能です。
専用ゲートウェイ構成の証跡管理機能
Windowsサーバーに対する操作画面を一定間隔でキャプチャーし、動画形式で保存します。Linuxサーバーに対するSSH接続は、コマンドの入出力をすべてテキストとして記録します。記録内容はブラウザを介して再生・閲覧が可能です。
サーバー+貸出ツール構成の証跡管理機能
アクセス元のコンピューターや管理対象ノードに別製品ESS RECのエージェントを導入しておく形式です。記録内容は動画形式とテキスト形式で克明に記録され、特権IDの貸出一覧と紐づけて貸与した際の操作記録が参照できます。
不正アクセスを容易に識別可能なログイン履歴収集
システムログとの突合による不審アクセス検出
対象システムからログイン履歴を定期的に収集し照合することで、不審なアクセスの有無を見つけ出し、レポートとして出力します。これにより、外部からの侵入者を含めアクセス許可を得ていない不正なアクセスを早期に発見できます。
ログイン失敗履歴の収集
ログイン成功履歴とは別にログイン失敗履歴を定期的に収集することで、ブルートフォース、パスワードスプレーなどの攻撃者によるアクセス試行を早期に発見することが可能になります。
汎用ログ収集インターフェイスであらゆるシステムのログ検査を実現
ログイン履歴収集(成功・失敗)は、汎用ログ収集インターフェイスを用いることで、 ESS AdminONEが標準で対応するシステム以外のログイン履歴を収集し、レポートとして出力することが可能です。
また収集頻度(最短1時間おき)や収集時間についてもノード単位で設定が可能です。
標準でさまざまなレポートを出力
ESS AdminONEでは、特権IDの使用状況、管理状況を把握するために、様々なレポートを出力することが可能です。
提供される各種監査用レポート・設定一覧はCSV出力を行うことで、SIEM(統合ログ管理)などに取り込み独自に分析することが可能です。
| 申請書一覧レポート |
起票された申請書の一覧、各申請書の作業の状況などを把握可能。
|
| 特権ID貸出履歴レポート |
特権IDの貸し出し履歴一覧が表示されます。いつ誰が、どのシステムに対してどのアカウントを用いてアクセスしたかが確認可能。貸与された特権IDを用いて行った操作内容も確認ができます。
|
| ノードログイン履歴レポート |
システム側のログを収集しESS AdminONEを介してアクセスと突合した結果を出力。申請外の不審なアクセスが検出可能。
|
| ノードログイン失敗履歴レポート |
システムから収集したログイン失敗履歴を出力するレポート。アクセス試行などサイバー攻撃のリスクにさらされている可能性を確認できます。 |
| ルール検知履歴レポート |
定義した要注意コマンドの実行履歴が確認できるレポート。 |
| ジョブ履歴レポート |
定期パスワード変更などのジョブの実行履歴が確認できるレポート。 |
| システム変更履歴レポート |
ESS AdminONE自身の設定変更履歴について確認できるレポート。 |
運用の安全と効率性を実現するその他の機能
特権ID運用の安全性と効率性を実現するためにその他以下のような機能をご提供しています。
| ダッシュボード |
各ユーザーに必要な情報が一元的に表示されます。
|
| Active Directory連携 |
ユーザーを独自で作成・管理する必要がなく、ユーザーの異動などの際に設定変更が省力化できます。
|
| メール通知連携 |
ワークフローステータスの変更により必要なアクションがメールで通知されます。
|
| ノード・作業用アカウント一括登録・変更 |
大量のノード・作業用アカウントをCSV形式で準備し一括登録・変更することで設定のための工数を大幅に削減します。
|
| 柔軟なノード変更・ユーザー変更 |
管理対象ノード変更やユーザーの削除・変更は、運用中であっても業務を止めずに実行できます。
|
| マルチ言語対応 |
ユーザー単位で表示言語を日本語・英語から設定可能です。
|
| 要件に応じたアクセスポリシーの設定 |
作業終了予定時間超過後のアクセス許可自動延長の可否をポリシーに応じて設定可能です。
|
| ファイル授受管理(※) |
作業者がファイルをシステムに持ち込んだり、システムから持ち出したりする際に第三者の確認を必要とすることで、情報漏洩や不適切な行為を防止します。
|
| 記録データのアーカイブ |
蓄積された操作証跡データは、コマンドを用いて外部ストレージに圧縮保存。アーカイブ後のデータもユーザーは意識せず閲覧可能です。
|
※本機能を使用する場合には、管理対象ノードからESS AdminONEサーバーに対してアクセスできるネットワーク環境が必要です。
ESS AdminONEから管理対象ノードへアクセスする際のIPアドレスと管理対象ノードからESS AdminONEサーバーにアクセスする際の送信元IPアドレスが異なる環境では正常に動作しません。