【全】ヘッダーリンク
【全】お問い合わせ
サイト内検索 検索
【全】メガメニュー
h1

ESS AdminControl (EAC)

内外のセキュリティ脅威から重要システムを保護する特権ID管理

タブ

システムに対してあらゆる操作が可能な特別なアカウント管理者権限(特権 ID)を管理することに特化したソフトウェアです。IT統制を強化し、内部不正も外部脅威もまとめて取り除きます。

最後の砦(特権ID)を死守する専用ツール

たとえ侵入を許しても機密情報にはたどり着かせない

イメージ図
システムに対して高い権限を有する「特権ID」を適切かつ厳格に管理
昨今ますます高まる組織内外のセキュリティ脅威から重要システムを保護

特権IDのあるべきプロセスを実現

イメージ図
特権アカウントはESS AdminControl(EAC)の管理配下に
IDの貸与から点検・監査までの一連のプロセスを提供
ID・パスワードは承認を経て貸与される方式に

大規模で細やかな要件に応えられる高性能のハイエンドモデル

IDとパスワードで認証されるあらゆる機器・システムを一括管理

イメージ図

大規模環境にも耐えうるアーキテクチャー

コンポーネントを複数サーバー上に分散させることで管理対象サーバーが1000台を超えるような構成にも対応可能です。

複雑な運用要求にも対応可能な設定の柔軟性

承認ルートの独自設定や申請書項目のカスタマイズ、監査レポート項目のカスタマイズなど、運用にあわせて柔軟に設定できます。

こんなお客様に最適

  • JSOXや金融庁検査など、法規制によりIT統制が求められている
  • システム管理担当者や委託先による内部不正を防止したい
  • 個人情報など機密性の高い情報を確実に保護したい
  • 基幹システムの障害・トラブルを徹底して防止したい
  • 特権ID管理は必要だとは思うが人的リソースなど管理負荷がかかり必要な統制活動が実施できていない
  • 必要な統制活動を実施しているが、管理に工数がかかり効率化したい
  • 標的型攻撃の内部対策として、重要システムに対するアクセス管理、認証の強化を図りたい

システムに対してあらゆる操作が可能な特別なアカウント管理者権限(特権 ID)を管理します。特権 IDをESS AdminControl(EAC)の管理下におくことで、作業申請ワークフローによる承認ベースでのID貸し出し・返却の仕組みを実現し、共有型のIDでも使用者を特定します。また、パスワードを定期的に変更し、パスワード漏洩による不正使用を防止し、収集したサーバーのログイン履歴をEACの管理下でのID貸出履歴と比較することで、不正アクセスの有無を点検します。

イメージ図

事前申請に基づくID貸出

標準搭載のシステム管理業務に特化したワークフロー「SIOワークフロー」

EACの特権ID貸出/返却機能とシームレスに連携
申請が承認されると、貸出対象の特権IDの貸出処理が自動的に行われ、作業後も同様に自動で返却
人の介在を排除し工数を削減、作業ミスを撲滅
イメージ図

企業組織や職務分掌規定を考慮

多段承認、グループ承認など承認ルートの独自設定が可能
申請リストに対するアクセス権の設定
複数の申請テンプレートを業務単位で設定

特権ID貸出とのシームレスな連携

EACの管理コンポーネントと連携し、承認された特権IDの使用申請に沿って自動的に貸出を実行

不正使用を防止する安全なID管理

パスワード定期変更作業を自動化

パスワード管理の負担軽減に加え、管理ミスや不正機会の削減に貢献します。

イメージ図
定期的な特権IDの自動パスワード変更ジョブを定義可能
パスワードの複雑さ設定、パスワード変更スケジュールはサーバー単位で設定可能
ジョブ実行結果履歴はレポートから参照可能

ID棚卸ツールで、不要IDを容易に発見

同梱されるID棚卸ツール「Account Inventory Tool」を使うことで、一時作業用に作成されたIDの削除し忘れなど、不要なIDの有無を一元的に抽出することができます。

イメージ図

定期的な点検・監査

多様なレポートテンプレート

様々な点検・監査用のレポートテンプレートが標準でご利用いただけます。

イメージ図

レポートのカスタマイズも可能

SQL Server Data Tools(SSDT)を利用してカスタマイズ、オリジナルレポートの作成が可能です。

イメージ図

不審なアクセスを容易にあぶりだす「ログイン履歴突合レポート」

イメージ図
管理対象からアクセスログを収集し、内部で保有する申請承認記録と突合を行うことで未承認の不審なアクセスを容易に発見可能
データベースアカウントによるアクセスについても対応可能

証跡管理製品ESS RECとの連携

アクセス履歴のレポートから実際の操作記録までのトレースも実現

イメージ図

システム構成

EACの標準的なシステム構成は下図のようになります。

イメージ図

SIOワークフロー

特権ID使用の申請承認を行うワークフローシステムは、Microsoft SharePoint Server上で稼働するアプリケーションです。SharePoint Serverが稼働するサーバーにSIOワークフローコンポーネントをインストールします。

EACコンポーネント

EACのワークフロー以外のコンポーネントは、Broker, Job Controller, Reporter, Command Handlerの4つのサービスから構成されます。これらのサービスは、SIOワークフローと連携し、EAC Operation Authenticatorからの要求の処理や定期ジョブを実行するために稼働します。各サービスは同一筺体に同居させることも、別サーバーに分散して配置することも可能です。

データベース

EACは記録領域としてSQL Serverを利用します。SQL ServerはSharePoint ServerのバックエンドDBとしても必要ですが、EACが利用するスキーマはSharePoint Serverが利用するSQL Serverと同居させることも分離させることも可能です。

ワークフロークライアント、レポート参照

SIOワークフローを利用して申請・承認を行い、EACのレポートを参照するクライアントにはEACがサポート対象とするブラウザが必要です。

EAC Operation Authenticator

作業者が使用する端末にEAC Operation Authenticatorを導入します。EAC Operation Authenticatorは、EACコンポーネントの一つであるBrokerと通信し、作業者の認証や承認された作業一覧情報のやり取りを行います。

管理対象ノード

EACの管理対象となるサーバー(管理対象ノード)については、基本構成の場合、新たにプログラムをインストールする必要はありません。ESS RECとの連携を行う場合、システム構成によっては、連携用のプログラムをインストールする必要がございます。
また、管理対象ノードのOSの設定内容について変更が必要となる場合がございます。
(詳細はお問合せください)

その他

SIOワークフローおよびEAC Operation Authenticatorの利用者を効率的に管理するためにはActive Directoryの利用をお勧めします。
また、承認ステータスの通知などを電子メールで行う場合には、SMTP/POP3またはIMAP対応のメールサーバーが必要です。

稼働環境

サーバー動作環境

OS Microsoft Windows Server 2016
(デスクトップエクスペリエンスのみサポート)
ミドルウェア Microsoft SharePoint Server 2016
Microsoft SQL Server 2016
その他 SMTP/POP3またはIMAP対応の電子メールサーバー
Microsoft Windows Active Directory(2003以降のフォレストレベル)

クライアント動作環境

SIOワークフロークライアント Microsoft Windows Internet Explorer 10, 11
SMTP/POP3またはIMAP対応の電子メールクライアント
Operation Authenticator
クライアント
【OS】
Microsoft Windows 7, 8.1, 10
Microsoft Windows Server 2003, 2008, 2012(R2含む), 2016
【ミドルウェア】
.NET Framework 4.6以降4.7.1まで
【アプリケーション】
Tera Term Ver. 4.69以降4.99まで

管理対象システム

OS Microsoft Windows Server 2003, 2008, 2012(R2含む), 2016
HP-UX 11i v3 / IBM AIX 6.1, 7.1, 7.2 / Solaris 9, 10, 11
Red Hat Enterprise Linux 4, 5, 6, 7
SUSE Linux Enterprise Server 10, 11, 12
Oracle Linux 5, 6, 7 / CentOS 6, 7
Directory Service Microsoft Active Directory
データベース HiRDB 8, 9
Microsoft SQL Server 2008, 2008 R2, 2012, 2014, 2016 MySQL 5.1, 5.5, 5.6
Oracle Database 10g, 11g, 12c
仮想化ハイパーバイザー VMWare vSphere Hypervisor (ESXi) 6.0, 6.5, 6.7

その他、ネットワーク機器、アプリケーション、クラウドサービスなど、IDおよびパスワードで認証されるシステム・サービスについて、アカウント簡易管理機能で管理可能です。

  • ハードウェア要件に関してはご利用環境によって異なります。詳しくは弊社までお問い合わせください。
  • 動作環境の詳細および旧バージョンの動作環境については、弊社までお問い合わせください。
  • Windows 10のサポート対象ブランチおよびバージョンについてはお問合せください。
  • 本ソフトウェアは改良のため事前に告知することなくバージョンアップすることがあります。
  • 本ソフトウェアに使用されている一部の技術は特許取得済みです。
  • ESS REC, ESS AdminControlは、エンカレッジ・テクノロジ株式会社の商標または登録商標です。
  • Microsoft, Windows, Windows Vista, SharePoint, SQL Server, Internet Explorer, Active DirectoryおよびWindows Serverは、米国Microsoft Corporationの、米国およびその他の国における登録商標または商標です。
  • IBM, AIXは世界の多くの国で登録されたInternational Business Machines Corporationの商標です。
  • Oracleは,Oracle Corporation 及びその子会社,関連会社の米国 及びその他の国における登録商標または商標です。
  • HiRDBは、株式会社日立製作所の日本における商品名称(商標又は登録商標)です。
  • 記載されているその他の会社名、製品名、サービス名は、各社の商標または登録商標です。

特権ID管理のコスト削減と統制強化

これまで手作業で特権ID管理を行っていた企業にとって、ESS AdminControl(EAC)の導入は、特権ID管理に関するコスト削減を実現します。

共有IDの利用で管理対象のアカウント数を大幅に削減

情報セキュリティの鉄則としては、個人が特定できない共有 ID の利用は極力避けるべきです。しかし、逆にEACは使用する特権IDが共有型であっても、その利用者を特定することで、共有ID利用の問題についても解消します。従来は作業者を特定するため、個人ごとにアカウントを用意する必要がありましたが、EAC導入後はそれらのアカウントを削減し、グループや業務といった単位で特権IDを共有することが可能になります。

パスワード隠蔽方式による貸与で特権ID共有型運用を実現

特権IDを貸与する際に、専用の貸出ツール「Operation Authenticator」を使用すると、特権IDのパスワードを知らせずに貸与することが可能です(パスワード隠蔽方式による貸与)。そのため、パスワードが第三者に漏れることによる、なりすまし等のリスクが低下します。

パスワード隠蔽方式による貸与で特権ID共有型運用を実現

例.30人の作業者が50台のサーバーに対して5種類の作業を実施している環境を想定した場合

Case Study:個人IDによる管理
個人IDによる管理
各サーバーに作業者30名分の個人アカウントを作成する必要がある
管理対象のアカウント数は1500も必要
Case Study:共有IDによる管理
共有IDによる管理
50台のサーバーに対して、作業内容に応じた5種類の共有IDを用意
管理対象のアカウント数は250のみで運用可能
管理対象を6分の1に削減

一連のプロセスの自動化・効率化・省力化・内部統制強化

一連のプロセスの自動化・効率化・省力化・内部統制強化
申請・承認、アカウントの準備、作業の報告、点検・監査まで一連のプロセスをSIOワークフロー上で実施
ワークフローを活用しステータスの管理(内部不正防止・外部脅威対策)
紙ベースでの申請・承認手続きやID管理を排除
パスワードの定期変更も自動化

特権IDを使用したアクセス内容(作業内容)に対する点検・監査も含めた統合的なリスク管理を実現

特権ID管理特化ツールとシステム操作証跡管理特化ツールのコラボレーション

特権ID管理特化ツールとシステム操作証跡管理特化ツールのコラボレーション
IT統制の総合リスク管理ソリューションとして更に業務効率と作業品質が向上、より強力な監査ツールに
EACの監査レポートから特定のアクセスを選択し、対象のアクセスに紐づくESS RECの監査レポートや操作記録データを呼出可能

標的型攻撃の内部対策の要・特権アカウントの保護

本資料では、標的型攻撃に対する内部対策の要ともいえる特権IDの管理の必要性とその具体的な対策の考え方について解説します。また、現在の特権IDの管理状況をご確認いただけるセルフチェックリストもあるので改善ポイントを洗い出してみましょう。

標的型攻撃の内部対策の要・特権アカウントの保護

システム管理者・外部委託先による情報漏えいを防ぐには

システム環境の変化により特権 ID のリスクが多様化し、昨今管理の必要性がますます高まってきています。本資料では、システム管理業務固有の環境と特徴、さらにはこれまでのインデントの傾向をもとに、今企業がとるべき情報漏洩対策について具体的にまとめています。

システム管理者・外部委託先による情報漏えいを防ぐには

実装方式とアーキテクチャーで比較する特権ID管理製品選定

特権 ID 管理ソリューションの導入検討をされている企業の参考にしていただくため、特権 ID 管理ソリューションを技術要素とアーキテクチャーの2つの視点で分類し、選定のポイントと弊社による推奨点をまとめています。

実装方式とアーキテクチャーで比較する特権ID管理製品選定

エンカレッジ・テクノロジが考える特権ID管理のベストプラクティス

なぜ多くの企業が特権 ID の管理に課題を抱えているのかをケーススタディから検証し、その解決手段として導かれた特権 ID 管理の新たな方法をベストプラクティスとしてご紹介します。

エンカレッジ・テクノロジが考える特権ID管理のベストプラクティス
【参】お問い合わせエリア

エンカレッジ・テクノロジ株式会社
〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F
TEL 03-5623-2622 (平日 9:00~17:30)

メールマガジン購読お問い合わせ