【全】ヘッダーリンク
【全】お問い合わせ
サイト内検索 検索
【全】メガメニュー
h1

ESS AdminONE

DX時代に対応する次世代型特権ID管理ソフトウェア

タブ

今、特権ID管理は新たなステージへ

IT活用によるビジネス成長が重要なDX時代、より効率的・包括的な管理が必要とされる特権ID。オンプレミスからクラウドまで多様なシステム環境が混在する中、特権ID管理は新たなステージに進んでいます。

自動化・システム連携による効率的なリスクコントロール
ビジネス環境の変化に即座に対応するため、特権IDを使用して行うシステム管理は、人だけではなくシステム連携やロボット(RPA)などを利用し自動化していくことが求められます。

自動化・システム連携

ゼロトラストを前提にした外部脅威への対処
クラウドサービスを含めた多様なシステム環境は、かつてのオンプレミスを主体としたシステムとは異なり、外部セキュリティの脅威を外壁防御で対処するという前提に立つことはできません。外的脅威からのシステムを保護するためには、多層防御の考え方に基づく対応が必要です。外部脅威への対処

永続的にサービス提供可能なプラットフォーム
システムが多様化し、それらが短期的なライフサイクルで変化する状況下であっても、 一貫性のある仕組みとして機能するために、環境に依存せず永続的にサービスとして提供仕組みであることが必要です。 プラットフォーム

あらゆるシステムに対する一元的なアクセス管理
DX時代はビジネスのスピードを高めるためクラウド・SaaSなど様々なシステムを組み合わせて利用します。そのため、IT運用統制の仕組みは、あらゆるシステムを包括的・一元的にカバーできることが重要です。 一元的なアクセス管理

DX時代に求められる特権ID管理の要件を網羅!ESS AdminONE

そこで、DX時代に求められる特権ID管理の要件を包括的に満たした製品が「ESS AdminONE(イーエスエス アドミンワン)です。もちろん2002年の創業以来、約650社のシステム運用管理をご支援した弊社エンカレッジ・テクノロジのノウハウとナレッジを詰め込んでいます。

こんなお客様に最適です

  • DX時代に求められる特権ID管理システムの導入を検討している
  • ゼロトラストを前提にしたアクセス制御の考え方に基づき、重要システムに対するアクセス管理、認証の強化を図りたい
  • システム管理担当者・委託先による内部不正の防止や、サイバー攻撃に対する内部対策を検討している
  • JSOXや金融庁検査など、法規制によりIT統制が求められている
  • 個人情報など機密性の高い情報を確実に保護したい
  • オンプレミス、クラウド(IaaS)、SaaS、ネットワーク機器など様々なシステムの特権IDとパスワードを適切かつセキュアに一元管理したい
  • 特権ID管理は必要だとは思うが人的リソースなど管理負荷がかかり必要な統制活動が実施できていない

ESS AdminONEの10の機能と特長

ESS AdminONEは、以下の10の機能から構成され、様々なシステム環境の多様な要件に対応いたします。

10の機能と特長

ESS AdminONEの全体像

ESS AdminONEは、以下のように全体を構成することにより、DX時代に求められる特権ID管理システムの要件を包括的に満たすことで、内外のセキュリティ脅威からシステムを守ります。

ゼロトラストを前提にした多層防御の仕組みを提供
認証情報の保護やネットワーク制御など複数の手段による多層防御の仕組みを提供することで不正アクセスを防止します。

あらゆるシステムの一元的なアクセス管理
対象システムの種類にかかわらず、オンプレミス、クラウド(IaaS)、SaaS、独自アプリケーション、ネットワーク機器・IoT機器など様々なシステムの特権アクセスの一元的な管理と利用者のための共通インターフェイスを提供します。

全体像

自動化・システム連携による効率的なリスクコントロールを実現

人による特権IDの使用だけではなく、システム連携やRPAなどを用いてシステム管理の自動化を行う際に使用される管理者権限の管理にも対応。さらに、ESS AdminONEのインターフェイスはREST APIをベースとし公開もしているため、外部システムやRPAとデータ連携ができ、システム運用における自動化・効率化に貢献します。

ESS AdminONEのインターフェイスはREST APIをベースとし公開

業界初!安定的かつ継続稼働を支える次世代アプリケーション基盤

特権ID管理ソフトウェアとしては業界で初めてコンテナ技術を採用、OSのバージョンや種類に依存せずソフトウェアを稼働させることができます。プラットフォームの種類やバージョンに依存せず、長期にわたり安定的な継続稼働を実現します。
また、旧バージョンであってもサポート終了期限を設けず、お客様が利用し続ける限りサポートをご提供する「永久サポート」を特権ID管理ソフトウェアとして初めて採用しています。

安定的かつ継続稼働を支える次世代アプリケーション

ESS AdminONEは、さまざまなシステム環境の多様な要件に対して以下のような機能を提供します。
(以下のバナーをクリックいただきますと、詳細説明までスクロールします。)

管理プロセスを最適化するワークフローシステム   パスワードレスアクセスと自動ログイン定義 パスワード変更・鍵交換自動化   選択可能な操作証跡機能 不正アクセスを容易に識別可能なログイン履歴収集   標準でさまざまなレポートを出力 運用の安全と効率性を実現するその他の機能





申請・承認ベースのアクセス許可を実現するワークフロー機能

同梱されるワークフローを使用することで、申請・承認ベースの特権アクセス許可の仕組みを提供します。ワークフローシステムと特権ID貸出の仕組みはシームレスに連携しており、承認されたアクセス申請に従って自動的に貸与され、作業完了後には返却処理が行われるため、人による介在が不要となります。

ワークフロー

ワークフローシステムは目的に応じて、簡易申請と詳細申請から最適な申請書様式をご利用いただけます。簡易申請は、入力項目を必要最小限とし、アクセス申請の際の手間を省略することが可能です。

 

さまざまなシステムをパスワードレスアクセスで一元管理

パスワードレスアクセスとは?

パスワードレスアクセスとは、ESS AdminONEの最大の特長である、利用者にパスワードを開示せずにアクセス許可を行う仕組みです。ESS AdminONEが特権IDの認証情報を掌握し、許可されたユーザーに代行して認証することで実現しています。さまざまなシステムをパスワードレスアクセスで管理することにより、返却時のパスワード変更を不要とすることができるメリットがあります。

パスワードレスアクセス

さまざまなシステムのパスワードレスをノーコードで定義可能

「貸出ツール構成」では、標準で対応するシステムのパスワードレスアクセスに加えて、定義ツールを用いてあらかじめ独自の設定を行うことで、さまざまなシステムに対するパスワードレスアクセスを実現します。

代行入力方式を採用し、 GUIアプリケーション、Webアプリケーションなどさまざまなシステムに柔軟に対応します。多様なシステムに対し自動ログイン定義を適用することでパスワードレスアクセスを実現し、安全性を向上することが可能です。

自動ログイン定義

OTPを使用した多要素認証に対応

ESS AdminONEを使用するユーザー個人の認証は、ID/パスワードに加えてワンタイムパスワード(OTP)を使用した多要素認証にすることも可能ですので、なりすましを防止します。

パスワード・認証鍵管理でよりセキュアに

パスワード変更・鍵交換自動化

ユーザーアクセス要求時にランダム化することで、貸与期間のみ有効なワンタイムパスワードにすることが可能です。(鍵認証の場合には、鍵のワンタイム化)

パスワード変更・鍵交換自動化

パスワードレスアクセスの仕組みと併用することで、二重の保護を施すことができ、特権IDを不正アクセスから強固に保護、安全性をさらに向上させることが可能です。

定期パスワード変更・鍵のローテーション

貸与時のパスワードランダム化に加え、定期パスワード変更・鍵交換の自動化にも対応。パスワードの複雑性(桁数・使用文字種)、変更頻度、変更処理時間は、対象ノード単位で設定できます。ジョブ履歴を確認することで定期変更の実行状況(成功・失敗)を容易に把握することが可能です。

汎用パスワード変更インターフェイス

汎用パスワード変更インターフェイスを使用し、外部プログラムと連携させることで、標準で対応しているシステム以外のパスワードランダム化にも対応。外部プログラムのためのインターフェイスは公開されており、お客様固有のシステムに合わせて開発することも可能です。

汎用パスワード変更インターフェイス

 

選択可能な操作証跡機能

貸与した特権IDを使って行われた操作を動画とテキストで克明に記録し、トレーサビリティを確保します。操作証跡の取得方法はシステム構成によって、以下の通り選択が可能です。

専用ゲートウェイ構成の証跡管理機能

Windowsサーバーに対する操作画面を一定間隔でキャプチャーし、動画形式で保存します。Linuxサーバーに対するSSH接続は、コマンドの入出力をすべてテキストとして記録します。記録内容はブラウザを介して再生・閲覧が可能です。

専用ゲートウェイ構成

 

サーバー+貸出ツール構成の証跡管理機能

アクセス元のコンピューターや管理対象ノードに別製品ESS RECのエージェントを導入しておく形式です。記録内容は動画形式とテキスト形式で克明に記録され、特権IDの貸出一覧と紐づけて貸与した際の操作記録が参照できます。

貸出ツール構成

 

不正アクセスを容易に識別可能なログイン履歴収集

システムログとの突合による不審アクセス検出

対象システムからログイン履歴を定期的に収集し照合することで、不審なアクセスの有無を見つけ出し、レポートとして出力します。これにより、外部からの侵入者を含めアクセス許可を得ていない不正なアクセスを早期に発見できます。

ログイン履歴収集

ログイン失敗履歴の収集

ログイン成功履歴とは別にログイン失敗履歴を定期的に収集することで、ブルートフォース、パスワードスプレーなどの攻撃者によるアクセス試行を早期に発見することが可能になります。

汎用ログ収集インターフェイスであらゆるシステムのログ検査を実現

ログイン履歴収集(成功・失敗)は、汎用ログ収集インターフェイスを用いることで、 ESS AdminONEが標準で対応するシステム以外のログイン履歴を収集し、レポートとして出力することが可能です。

汎用ログ収集インターフェイス

また収集頻度(最短1時間おき)や収集時間についてもノード単位で設定が可能です。

 

標準でさまざまなレポートを出力

ESS AdminONEでは、特権IDの使用状況、管理状況を把握するために、様々なレポートを出力することが可能です。 提供される各種監査用レポート・設定一覧はCSV出力を行うことで、SIEM(統合ログ管理)などに取り込み独自に分析することが可能です。

申請書一覧レポート 起票された申請書の一覧、各申請書の作業の状況などを把握可能。
特権ID貸出履歴レポート 特権IDの貸し出し履歴一覧が表示されます。いつ誰が、どのシステムに対してどのアカウントを用いてアクセスしたかが確認可能。貸与された特権IDを用いて行った操作内容も確認ができます。
ノードログイン履歴レポート システム側のログを収集しESS AdminONEを介してアクセスと突合した結果を出力。申請外の不審なアクセスが検出可能。
ノードログイン失敗履歴レポート システムから収集したログイン失敗履歴を出力するレポート。アクセス試行などサイバー攻撃のリスクにさらされている可能性を確認できます。
ルール検知履歴レポート 定義した要注意コマンドの実行履歴が確認できるレポート。
ジョブ履歴レポート 定期パスワード変更などのジョブの実行履歴が確認できるレポート。
システム変更履歴レポート ESS AdminONE自身の設定変更履歴について確認できるレポート。

 

運用の安全と効率性を実現するその他の機能

特権ID運用の安全性と効率性を実現するためにその他以下のような機能をご提供しています。

ダッシュボード 各ユーザーに必要な情報が一元的に表示されます。
Active Directory連携 ユーザーを独自で作成・管理する必要がなく、ユーザーの異動などの際に設定変更が省力化できます。
メール通知連携 ワークフローステータスの変更により必要なアクションがメールで通知されます。
ノード・作業用アカウント一括登録・変更 大量のノード・作業用アカウントをCSV形式で準備し一括登録・変更することで設定のための工数を大幅に削減します。
柔軟なノード変更・ユーザー変更 管理対象ノード変更やユーザーの削除・変更は、運用中であっても業務を止めずに実行できます。
マルチ言語対応 ユーザー単位で表示言語を日本語・英語から設定可能です。
要件に応じたアクセスポリシーの設定 作業終了予定時間超過後のアクセス許可自動延長の可否をポリシーに応じて設定可能です。
ファイル授受管理(※) 作業者がファイルをシステムに持ち込んだり、システムから持ち出したりする際に第三者の確認を必要とすることで、情報漏洩や不適切な行為を防止します。
記録データのアーカイブ 蓄積された操作証跡データは、コマンドを用いて外部ストレージに圧縮保存。アーカイブ後のデータもユーザーは意識せず閲覧可能です。

※本機能を使用する場合には、管理対象ノードからESS AdminONEサーバーに対してアクセスできるネットワーク環境が必要です。
 ESS AdminONEから管理対象ノードへアクセスする際のIPアドレスと管理対象ノードからESS AdminONEサーバーにアクセスする際の送信元IPアドレスが異なる環境では正常に動作しません。

セキュリティを向上させ、運用効率も併せて向上

継続的に安全にシステム運用を行っていく上では、特権アカウントを然るべき人間に然るべきタイミングでのみ使用させ、使用履歴やその内容を追跡できることが大変重要です。また、その認証情報も同様で、流出や不正使用のリスクを減らしながら適切に管理するのはかなり骨が折れます。
ESS AdminONEは、これらの課題を”まるっと”解決できます。

IT統制強化

組織内外からの不正アクセスを防止
監視体制の強化
監査・点検対応
重要情報の漏洩リスク低減

 

運用・管理負担の軽減と自動化

無数のパスワード管理からの解放
張り付き作業監視からの解放
管理プロセスの自動化
原因究明・復旧対応の早期化実現
外部システムやRPA連携による運用の自動化

リモートアクセス作業に対しての安全性向上

ニューノーマル時代、リモートアクセス作業は今や外部ベンダーによるものだけでなく、内部の関係者によるものも一般的になっています。BCP/DRの観点からは大変重要ですが、セキュリティ面の考慮は今まで以上に必要です。詳細が把握しづらいリモートアクセスでは、作業者の属性に関わらず「誰が」「いつ」「何のために」「どのシステムに対して」「どのような操作をしたか」がより重要になります。

ESS AdminONEを介してアクセスすることで、作業者の属性に関わらずリモートアクセス作業のセキュリティが向上します。

リモートアクセス作業に対しての安全性向上

在宅勤務や 外部委託先からのリモート保守などの場合でもセキュリティ担保
内部作業同様の効果を実現

作業品質の標準化や向上を実現

人間が行う作業にミスはつきものであり、手順書の品質もすべてを一定に保つことは難しいため、誤操作のリスクは常に存在します。視覚的な操作の証跡は、インシデント発生時だけでなく日々の業務の品質の向上にも貢献します。

作業品質の標準化や向上を実現

手順書と併せて操作の動画記録も確認することで高い再現性を実現
作業手順の共有で属人化の排除
引き継ぎや教育でも大活躍

ESS AdminONEでは、システム環境や特権アクセス方法により、大きく2つのシステム構成から最適な構成をご選択いただくことが可能です。

2種類からなるシステム構成

稼働要件

仮想アプライアンスとしてご提供する形態

サポート対象のハイパーバイザー VMware vSphere Hypervisor (ESXi)
Microsoft Hyper-V

インストーラー方式にてご提供する場合

動作確認済OS Ubuntu Server 20.04 LTS
必須ミドルウェア Docker, Docker Compose

クライアント要件

OS Microsoft Windows 8.1, 10
Microsoft Windows Server 2012, 2012 R2, 2016, 2019
(デスクトップエクスペリエンスが必要です)
ミドルウェア等 .NET Framework 4.6以降、4.8まで
PowerShell 3.0, 4.0, 5.0
アプリケーション Tera Term 4.69以降、4.106まで
リモートデスクトップクライアント(mstsc.exe)
※上記は貸出ツールを用いてパスワードレスアクセスする際の標準設定を使用する場合の要件です。
※上記以外は、自動ログインのカスタム定義によってパスワードレスアクセスを実現します。
(設定の可否は対象システムのログイン画面の仕様に依存します)
  • ハードウェア要件に関してはご利用環境によって異なります。詳しくは弊社までお問い合わせください。
  • ネットワーク要件など動作環境のより詳細な内容については、弊社までお問い合わせください。
  • Microsoft Windows 10のサポート対象ブランチおよびバージョンについてはお問い合わせください。

管理対象システム

ESS AdminONEでは、さまざまなシステムを管理対象にすることができます。

「通常ノード」として登録可能なシステム ※1 Microsoft Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019
Red Hat Enterprise Linux 6, 7, 8
CentOS 6, 7, 8
Ubuntu 16.04, 18.04, 20.04
Oracle Linux 6, 7, 8
Amazon Linux 2
VMware vSphere Hypervisor (ESXi) 6.0, 6.5, 6.7, 7.0
Amazon Web Services(IAMアカウントのパスワード及びアクセスキーの管理が可能) ※2
Microsoft Azure・Microsoft 365(Azure ADのパスワード管理が可能です) ※2
「シンプルノード」として登録可能なシステム(SSH/RDP接続) RDPプロトコルで接続可能なシステム(Windowsクライアント OS、Windows Storage Server等)
SSHで接続可能なシステム(UNIX OS、ネットワーク機器、IoT機器等)
「シンプルノード」として登録可能なシステム(その他) その他、ID及びパスワードで認証するその他のシステム
(カスタムアプリ(GUI/Web)、SaaS・PaaSなどのクラウドサービス等)

ノード種別による機能比較

ノード種別による機能比較

  • ※1 記載以外のシステムについても、汎用パスワード変更インターフェイス、汎用ログ収集インターフェイスと連携することで同等のレベルで管理することが可能です。
  • ※2 汎用パスワード変更インターフェイスと連携する外部プログラムによる対応となります(弊社パッケージの範囲としてご提供します)
  • ※3 VMware vSphere Hypervisor, AWS IAM, Azure ADについては標準では対応しておりません。別途汎用ログ収集インターフェイスを利用することで対応可能です。

その他

  • 本ソフトウェアは改良のため事前に告知することなくバージョンアップすることがあります。
  • ESS REC, ESS AdminONEは、エンカレッジ・テクノロジ株式会社の登録商標または商標です。
  • Microsoft, Windows, Internet Explorer, Microsoft Edge, Active DirectoryおよびWindows Serverは、
    米国Microsoft Corporationの、米国およびその他の国における登録商標または商標です。
  • Google Chromeは、Google Inc. の登録商標または商標です。
  • Oracleは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標または商標です。
  • 記載されているその他の会社名、製品名、サービス名は、各社の登録商標または商標です。

AdminONE図

2021年11月2日にリリースされた最新バージョンV1.1では、「さまざまなシステムへの対応をより汎用的に」「特権IDにかかわるリスクをより確実に早期に発見」という2つの方針に基づき、以下のような強化を行っています。

汎用パスワード変更インターフェイスの実装

ESS AdminONEを利用して、さまざまなシステムのパスワード管理が可能になるよう、汎用パスワード変更インターフェイスを新たに実装しました。対象システムに対してパスワード変更処理を行う外部プログラムを開発することで、あらゆるシステムのパスワード管理が可能となります。
また、今後パスワード管理の対象となるシステムを拡充する機能強化を図る際に、本インターフェイスと連携して動作する外部モジュールオプションとして提供することにより、ESS AdminONEサーバー本体のバージョンアップを行うことなく、対象システムを拡充することができます。


汎用パスワード変更インターフェイスの図

新たにAWS/Azure/Microsoft 365を管理可能に

通常ノードとして以下のシステムを管理対象にすることが可能になりました
・Microsoft Windows Server 2008, 2008 R 2
・Amazon Web Services AWS IAM
・Azure AD, Microsoft 365, Azure Cloud(2021年12月リリース予定)

尚、AWS IAM及びAzure ADについては、汎用パスワード変更インターフェイスを用いて処理する外部モジュールオプションとしての提供となります。したがってこれらのシステムに対しては、パスワードレスアクセスに加え、パスワードの管理を行うことができるようになりました。

図

AWS IAMユーザーについては、マネジメントコンソールへのログイン時に使用するパスワードに加え、CLI、APIでアクセスする際に使用するアクセスキーの制御が可能となります。

Chrome/Microsoft Edgeを使用したパスワードレスアクセス(自動ログイン定義)への対応

Webブラウザを用いてアクセスするWebアプリケーション・SaaS・IaaS管理コンソールに対するパスワードレスアクセスに、Google Chrome・Microsoft Edgeを使用することができるようになりました。
また、さまざまなシステムをパスワードレスアクセスに対応するために、自動ログイン定義を行うためのツール「 OA Prep for Browser 」を新たにリリースします。本ツールをご利用いただくことで、ノンコードによる自動ログイン定義が可能となりますので、プログラム知識をお持ちでないお客様自身でも設定可能となります。

AdminONE自動ログイン

ログイン失敗履歴の収集機能

これまで対応していた対象システムからのログイン成功履歴に加え、ログイン失敗履歴も収集しレポートとして表示できるようになります。
Windows / Linux OSなどの通常ノードについては、ESS AdminONEサーバー本体で実行される機能として提供されます。またその他のシステムについては、前述した汎用ログイン履歴収集インターフェイスを用いることで対応可能となります。



ログイン失敗履歴は、ブルートフォースやパスワードスプレー攻撃など外部からの攻撃を受けている際に発生するログイン試行を示すものであり、ログイン失敗履歴の発生状況をモニタリングすることは、昨今のサイバー攻撃に対する対策としては非常に重要です。


ログイン履歴収集&突合の実行頻度・実行時間についてノード単位での設定が可能に

旧バージョンでは、各ノードへのログイン履歴収集は、1日1回固定された時間に収集する仕様となっておりましたが、今回の機能強化では、収集自体の「する・しない」、実行頻度、実行時間をノードごとに設定できるようになります。
実行頻度は、最小で1時間おきまで間隔を短く設定することが可能となります。尚、この設定は、ESS AdminONEサーバーの標準機能として処理される方法でも、今回実装される汎用ログイン履歴収集インターフェイスに対しても適用することが可能です。

フォーム

ESS AdminONEをもっと詳しく知りたい方へ

ESS AdminONEの製品カタログやトライアルのお申込み、ご質問等は以下より承っております。どうぞお気軽にお問い合わせくださいませ。

製品カタログご請求

トライアルお申込み

製品お問い合わせ

セミナー情報

ESS AdminONEセミナー情報

現場を知り尽くした熟練の弊社SEが、ESS AdminONEの導入事例や活用方法、さらには最新バージョンのメリットまで分かりやすく説明するWebセミナーを開催いたします。特権ID管理に関する情報収集として、是非この機会をご活用くださいませ。

↓↓Webセミナーの詳細は以下のバナーをクリック↓↓

バナー

リコメンドエリア
【参】お問い合わせエリア

エンカレッジ・テクノロジ株式会社
〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F
TEL 03-5623-2622 (平日 9:00~17:30)

メールマガジン購読お問い合わせ