ESS AdminControl

内外のセキュリティ脅威から重要システムを保護する特権ID管理

企業が抱えるリスク

昨今、システム管理者や委託先などの内部不正に加え、巧妙な攻撃によってマルウェアに感染し、情報の搾取を行う高度標的型攻撃など、企業を取り巻く内外のセキュリティリスクが高まっています。システムに対し高い権限を有する「特権ID」は、これらのセキュリティ脅威から重要システムを保護するために、その適切かつ厳格な管理が求められています。

特権ID管理のあるべきプロセス

事前申請に基づくID貸与

高い権限を有する特権IDは、システム管理担当者にその管理を委ねるのではなく、使用する必要がある場合にのみ使用できるよう、事前の申請・承認をベースに貸し出すような管理プロセスを構築する必要があります。

ID・パスワードの厳格な管理

パスワードの漏えい等による不正使用を防止するために、特権IDのパスワードは、十分に複雑かつ規則性のない設定を行うとともに、定期的に変更を行う必要があります。
また、一時的に使用されたIDの抹消忘れなど、管理されていないIDの不正使用を防止するために定期的なIDの棚卸しを行うことが必要です。

不正使用を防止する安全なID貸与

特権IDの貸与に当たっては、不正に第三者に使用されないよう、十分な安全性を確保することが必要です。

定期的な点検・監査

規定した管理プロセスが正常に機能していることを常にモニタリングし、管理プロセスの不備によるセキュリティ上の問題があれば、改善を行っていくことが重要です。
特に特権IDの場合、その権限の高さゆえ、正当なプロセスによって貸与された使用者の権限濫用および誤用リスクについても、点検・監査の対象とすべきポイントになります。

作業申請ワークフローシステム

ESS SmartIT Operationワークフロー(SIOワークフロー)は、ESS AdminControl(EAC)/ESS AutoAuditor(EAA)の両製品に共通で同梱されるワークフローシステムです。 Microsoft SharePoint Server上で稼働し、特権ID管理のための申請承認プロセスをサポートするとともに、EAC / EAAの各コンポーネントとシームレスに連携し、プロセス全体を自動化します。

特権ID貸与・返却処理とシームレスに連携

SIOワークフローは、EAC/EAAのコンポーネントとシームレスな連携が可能です。申請された作業のステータスに応じて、EAC/EAAが自動的にタスクを実行するため、人の手を介した業務を削減できます。 例えば、申請された作業が承認されると、EACコンポーネントが自動的に必要なアカウントを準備し、作業が終了すると自動でパスワードがリセットされアカウントが利用できなくなります。

お客様の要件に柔軟に対応

SIOワークフローは、企業によって異なる組織や職務分掌規定に柔軟に対応します。 承認ルートは独自に設定することができ、多段承認、グループ承認に対応します。承認ルートを複数作成し、業務ごとに異なる承認ルートを設定、各業務に対するアクセス権をユーザー、グループ単位で設定できます。

 

定期パスワード変更処理

EACは、管理対象としているシステムの特権IDのパスワードについて定期的に変更処理を自動化します。完全にランダムな文字列をパスワードとして自動で設定するため、推測されづらい強固なパスワードが設定されます。
変更スケジュール、パスワードの複雑性に関する定義はシステムごとに設定できます。パスワードの変更実行履歴は、レポートで確認できます。

 

ID棚卸ツールによる定期的なID棚卸の支援

ESS AdminControlに同梱されるID棚卸ツール(Account Inventory Tool)を使用すれば、各サーバーやActive Directoryに存在するアカウントの一覧や利用状況などの棚卸データを収集できるため、不要なアカウントの削除、無効化などの対処を容易に実行することができます。


 

パスワードを知らせず特権IDを貸与

ESS AdminControlでは、特権IDを貸与する際に、専用の貸出ツール「Operation Authenticator」を使用すると、特権IDのパスワードを知らせずに貸与することが可能です(パスワード隠蔽方式による貸与)そのため、パスワードが第三者に漏れることによる、なりすまし等のリスクが低下します。
また、使用する特権IDが共有型であっても、その利用者を特定することで、共有ID利用の問題についても解消します。

※パスワード隠蔽方式は、OSアカウントに対するリモートデスクトップ接続(Windows)
 およびTera Termを使用したSSH接続(UNIX/Linux)に対応します。データベースのアカウントや
 OSアカウントに対するその他の接続方法については、パスワード通知方式で貸与することが可能です。

各種監査用レポート

ESS AdminControlには、ログイン履歴の自動仕訳結果やログイン試行、パスワード変更履歴、アカウント貸与履歴など、特権IDの点検・監査に利用できる監査用レポートのテンプレートが標準で用意されており、これらのレポートを使って特権ID管理状況のモニタリングやリスク度合いを確認することができます。レポートは、カスタマイズすることも可能です。

ESS RECとの連携

弊社のシステム証跡監査ツール ESS RECを合わせてご利用いただくことで、特権IDを使用したアクセス内容(作業内容)に対する点検・監査も含めて統合的なリスク管理を実現します。
製品およびレポート間の連携により、ESS AdminControlの監査レポートから特定のアクセスを選択し、対象のアクセスに紐づくESS RECの監査レポートや操作記録データを呼び出すといった点検・監査の進め方が可能になります。

管理対象システムの拡充

以下のシステムの特権IDを管理対象にすることができるようになりました。

区分 内容
オペレーティングシステム(OS) Oracle Linux 5, 6, 7
CentOS 6, 7
IBM AIX7.2
データベース Microsoft SQL Server 2014, 2016
仮想基盤(ハイパーバイザー) VMware vSphere Hypervisor (ESXi) 6.0, 6.5, 6.7

仮想基盤のアクセス管理に対応

VMware vSphere Hypervisor(ESXi)に新たに対応。仮想基盤のアクセス管理が行えるようになりました。

使いやすさ・運用しやすさの改善

ご利用中のお客様からの改善要望のあった以下のような内容を取り込み、使いやすさ・運用しやすさを改善しました。

作業終了時間後のアクセス可否設定

申請時に記載された「作業終了日時」経過のアクセス可否についてポリシーが設定できるようになりました。


EAC Operation Authenticatorを利用したパスワード通知

パスワード通知方式の場合、EAC Operation Authenticator(EAC OA)を利用してパスワード通知が行えるようになりました。

業務定義における作業者の絞り込み

申請時に指定できる作業者ユーザーを業務定義によって絞り込めるようになりました。これにより、申請時のミスや承認者に負担を軽減し、適切なアクセス制御を実現できるようになりました。

設定情報のCSVエクスポート

EACの設定内容を一括してCSVファイルにエクスポートすることが可能になりました。
EACシステム自体の監査、設定内容の棚卸、設定ドキュメントへの反映等にご利用いただけます。






 

ワークフロー連携通知メール機能の強化

ワークフローのステータス遷移時に記載されたコメントが、連携して送信されるメール内に表記されるようになりました。各メールのテンプレートを編集することで、表記されるコメントについてカスタイマイズを行うことが可能です。

稼働プラットフォームの刷新

EACサーバーの動作要件を刷新し、最新のプラットフォームに対応しました。

項目 内容
オペレーティングシステム(OS) Microsoft Windows Server 2016
(デスクトップエクスペリエンスのみサポート)
ミドルウェア Microsoft SQL Server 2016(Express Editionは除く)
Microsoft SharePoint Server 2016

特権ID管理のコスト削減と統制強化

これまで手作業で特権ID管理を行っていた企業にとって、ESS AdminControl(EAC)の導入は、特権ID管理に関するコスト削減を実現します。

共有IDの利用で管理対象のアカウント数を大幅に削減

EACは作業者を特定したまま共有IDを使用できる環境を提供します。従来は作業者を特定するため、個人ごとにアカウントを用意する必要がありましたが、EAC導入後はそれらのアカウントを削減し、グループや業務といった単位で特権IDを共有することが可能になります。
例えば、30人の作業者が50台のサーバーに対して3種類の作業を実施している環境を想定した場合。従来は各サーバーに作業者30名分の個人アカウントを作成する必要があるため、管理対象のアカウント数は1500です。しかし、EACを導入した場合は、50台のサーバーに対して、作業内容に応じた3種類の共有IDを用意、それらを作業者に貸出すため、管理対象のアカウント数は150となり、管理対象を10分の1に削減できます。

申請・承認、アカウント払出しなど一連のプロセスを効率化・省力化

EACでは、申請・承認、アカウントの準備、作業の報告、点検・監査まで一連のプロセスをSIOワークフロー上で行うため、紙ベースでの申請・承認手続きやID管理を実施している企業の負荷を軽減します。
また、ID管理と連携しないワークフローを利用して特権IDの貸出管理を実行している場合、ステータスの管理やパスワードの定期変更といった負荷についても軽減することが可能です。

特権ID利用時の統制強化

これまで特権ID管理の強化が実現できていなかった企業にとっては、システム管理者の作業工数を増やすことなく、効率的な特権ID管理を実現できます。
また、アカウント管理者の負荷増大を懸念して作業者にアカウントを配布したまま、管理を各作業者の良識に任せていた企業にとっては、アカウント管理者の負担を増大することなく承認ベースでの権限付与の仕組みを導入することができます。

システム構成

ESS AdminControl(EAC)の標準的なシステム構成は下図のようになります。

EAC構成

SIOワークフロー

特権ID使用の申請承認を行うワークフローシステムは、Microsoft SharePoint Server上で稼働するアプリケーションです。SharePoint Serverが稼働するサーバーにSIOワークフローコンポーネントをインストールします。

EACコンポーネント

EACのワークフロー以外のコンポーネントは、Broker, Job Controller, Reporter, Command Handlerの4つのサービスから構成されます。これらのサービスは、SIOワークフローと連携し、EAC Operation Authenticatorからの要求の処理や定期ジョブを実行するために稼働します。各サービスは同一筺体に同居させることも、別サーバーに分散して配置することも可能です。

データベース

EACは記録領域としてSQL Serverを利用します。SQL ServerはSharePoint ServerのバックエンドDBとしても必要ですが、EACが利用するスキーマはSharePoint Serverが利用するSQL Serverと同居させることも分離させることも可能です。

ワークフロークライアント、レポート参照

SIOワークフローを利用して申請・承認を行い、EACのレポートを参照するクライアントにはEACがサポート対象とするブラウザが必要です。

EAC Operation Authenticator

作業者が使用する端末にEAC Operation Authenticatorを導入します。EAC Operation Authenticatorは、EACコンポーネントの一つであるBrokerと通信し、作業者の認証や承認された作業一覧情報のやり取りを行います。

管理対象ノード

EACの管理対象となるサーバー(管理対象ノード)については、基本構成の場合、新たにプログラムをインストールする必要はありません。ESS RECとの連携を行う場合、システム構成によっては、連携用のプログラムをインストールする必要がございます。
また、管理対象ノードのOSの設定内容について変更が必要となる場合がございます。
(詳細はお問合せください)

その他

SIOワークフローおよびEAC Operation Authenticatorの利用者を効率的に管理するためにはActive Directoryを利用することをお勧めします。
また、承認ステータスの通知などを電子メールで行う場合には、SMTP/POP3またはIMAP対応のメールサーバーが必要です。

稼働環境

サーバー動作環境

OS Microsoft Windows Server 2016
(デスクトップエクスペリエンスのみサポート)
ミドルウェア Microsoft SharePoint Server 2016
Microsoft SQL Server 2016
その他 SMTP/POP3またはIMAP対応の電子メールサーバー
Microsoft Windows Active Directory(2003以降のフォレストレベル)

クライアント動作環境

SIOワークフロークライアント Microsoft Windows Internet Explorer 10, 11
SMTP/POP3またはIMAP対応の電子メールクライアント
Operation Authenticator
クライアント
OS Microsoft Windows 7, 8.1, 10
Microsoft Windows Server 2003, 2008, 2012(R2含む), 2016
ミドルウェア .NET Framework 4.6以降4.7.1まで
アプリケーション Tera Term Ver. 4.69以降4.99まで

管理対象システム

OS Microsoft Windows Server 2003, 2008, 2012(R2含む), 2016
HP-UX 11i v3 / IBM AIX 6.1, 7.1, 7.2 / Solaris 9, 10, 11
Red Hat Enterprise Linux 4, 5, 6, 7
SUSE Linux Enterprise Server 10, 11, 12
Oracle Linux 5, 6, 7 / CentOS 6, 7
Directory Service Microsoft Active Directory
データベース HiRDB 8, 9
Microsoft SQL Server 2008, 2008 R2, 2012, 2014, 2016
MySQL 5.1, 5.5, 5.6
Oracle Database 10g, 11g, 12c
仮想化ハイパーバイザー VMWare vSphere Hypervisor (ESXi) 6.0, 6.5, 6.7

その他、ネットワーク機器、アプリケーション、クラウドサービスなど、IDおよびパスワードで認証されるシステム・サービスについて、アカウント簡易管理機能で管理可能です。

  • ハードウェア要件に関してはご利用環境によって異なります。詳しくは弊社までお問い合わせください。
  • 動作環境の詳細および旧バージョンの動作環境については、弊社までお問い合わせください。
  • Windows 10のサポート対象ブランチおよびバージョンについてはお問合せください。
  • 本ソフトウェアは改良のため事前に告知することなくバージョンアップすることがあります。
  • 本ソフトウェアに使用されている一部の技術は特許取得済みです。
  • ESS REC, Remote Access Auditor, ID Inspector, Encourage Super Station, ESS AutoQuality, ESS AdminControl, ESS AutoAuditorは、エンカレッジ・テクノロジ株式会社の商標または登録商標です。
  • Microsoft, Windows, Windows Vista,  SharePoint, SQL Server, Internet Explorer, Active DirectoryおよびWindows Serverは、米国Microsoft Corporationの、米国およびその他の国における登録商標または商標です。
  • IBM, AIXは世界の多くの国で登録されたInternational Business Machines Corporationの商標です。
  • Oracleは,Oracle Corporation 及びその子会社,関連会社の米国 及びその他の国における登録商標または商標です。
  • HiRDBは、株式会社日立製作所の日本における商品名称(商標又は登録商標)です。
  • 記載されているその他の会社名、製品名、サービス名は、各社の商標または登録商標です。
お問い合わせ メールマガジン購読
24時間受付中

エンカレッジ・テクノロジ株式会社

〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F

TEL:03-5623-2622 平日9時~17時