エンカレッジ・テクノロジの特権ID管理ソリューションを構成
アプリケーションの修正、データベースへの直接アクセスなどの重要なシステム操作は、特別な権限を有するいわゆる「特権ID」を使用するため、権限を濫用することなく正しく使用されていることを常にモニタリングする必要があります。また誤操作によるシステムトラブルは、ITによって支えられる企業経営に大きな影響を及ぼしかねません。安全で安定的なITサービスの継続のためには、特権IDを使用したシステム操作の正当性・正確性をどう確保するかが課題です。
ESS AutoAuditor(EAA)は、ESS AdminControl(EAC)とともにエンカレッジ・テクノロジの特権ID管理ソリューションを構成し、企業における効果的な特権ID管理を実現します。
許可されたユーザーが許可されたこと以外の操作を行うリスク
特権IDはシステムやデータベースに対する様々な権限を有するため、たとえ正当に権限を有するものであっても、正しい使用のされ方を守らなければ、システムトラブルや情報漏えいなどの事故につながります。
権限者による濫用
特権IDはその権限を濫用されると、大きなトラブルにつながります。使用が許可されたユーザーであっても、その権限を濫用されず正しく使用されていることをモニタリングする必要があります。
操作ミス
特権IDのリスクは、たとえ使用者に意図がなくても、誤操作によるシステムトラブルの発生を招きかねない点です。たとえば、データベースの更新権限の有するアカウントで誤って操作すると、一つのコマンドですべてのデータを書き換えてしまう可能性があります。
人による点検監査のリスク
上記のようなリスクを低減するために、多くの企業ではシステム操作の点検を実施しています。たとえば作業報告書を記載するとともに、証拠となるログを提出し、定められた監査者によるチェックを受けるなどです。しかし、このような人によるマニュアル点検には、以下のようなリスク・課題が残されています。
点検内容のばらつき
人による点検の場合、点検の精度は人の能力やコンディションに依存します。システムの詳細なログの内容を理解するには、それぞれのシステムに対する深い知識が必要です。また心身のコンディションにより、普段は見落とさないような内容を見落としてしまうことも考えられます。
人的負荷
システムの規模が大きくなると、発生するシステム操作の回数も多くなります。システム操作の点検を手作業で実施する場合、システム規模に応じて点検する工数が増大し、そのための人員の確保が必要になります。人員の確保が困難な場合、点検内容を省略せざるを得ず、結果としてリスクとなる場合もあります。
操作内容の点検を自動化するテクノロジー
EAAは、これらの課題を解決するアプローチとして、これまで人によって行わざるを得なかったシステム操作内容の妥当性チェックを自動化、人の能力やコンディションに依存しない標準化された点検・監査を可能にしました。