ESS AdminControl for Client(EACC)

PCローカル管理者アカウントの管理・保護を実現

見落としがち！ローカル管理者アカウントが今狙われている

昨今益々巧妙化するサイバー攻撃。ユーザ端末のローカル管理者アカウントが攻撃者に狙われています。

完全に初期潜入を防止することは難しい今、散在するローカル管理者アカウントを保護する必要性が高まってきています。

PCローカル管理者アカウントへの不正アクセス・使用の予防と検知

ESS AdminControl for Client（EACC）は、組織に散在するクライアントPCのローカル管理者アカウントのパスワードを集中管理し、内部者や外部からの攻撃者によって不正に使用されるリスクを低減するローカル管理者アカウント管理ソフトウェア製品です。

こんな状態は危険です

PCローカル管理者アカウント運用管理の意外な落とし穴として以下があります。今すぐ状況を確認し、必要な対処が必要です。

すべての端末でAdministratorアカウントのパスワードが同一

マスターイメージから複製展開してコンピューターを構築する場合や、メンテナンス作業などの効率化のため、端末ごとのローカル管理者アカウントのパスワードが同一に設定されている場合があります。
端末ごとに十分に複雑なパスワードをランダムに設定しましょう

定期的なパスワード変更を行っていない

端末のローカル管理者アカウントのパスワードが長期間変更されていない状態では、内部者や外部からの攻撃によって不正にアクセスされるリスクが高まります。
定期的なパスワードの変更を行って、不正に管理者権限を乗っ取られることのないように対処しましょう。

ログイン成功・失敗ログを点検していない

端末におけるログ関連の操作履歴の収集と監視を行っていないと、不正アクセスを検知できない状況に置かれます。記録ログの点検を実施し、不審なアクセスの有無をチェックしましょう。

セキュアかつ最小限の運用負荷による管理を実現

端末ごとのパスワード管理や変更を一元的に管理することで、システム管理者の負担を最小限にしつつローカル管理者アカウントを不正アクセスの脅威から守ります。パスワードの貸与履歴と端末ログイン記録を突き合わせ監査レポートを作成することで、ローカル管理者アカウントによる不正なログインを検出できます。

最小限の運用負担でパスワード管理可能

管理者はWEBブラウザのコンソールから対象の端末のローカル管理者アカウントのパスワードの取得とパスワードのランダム化のタイミングを管理できます。

貸出履歴取得と不正ログインの検出

いつ・誰が・どのコンピューターのローカル管理者アカウントのパスワードを申請し、いつ返却したのかをすべて履歴として保管できます。また、端末側のログイン履歴を取得し、パスワード貸与情報と突合することにより、不正なアクセスやアクセス試行（失敗履歴）を検出できます。

セキュアなPCローカル管理者アカウント管理機能を提供

LAPSの仕組みを拡張し、申請ベースでのパスワード通知の仕組みを提供

Microsoft Local Administrator Password Solution（LAPS）の仕組みを拡張し、端末の保守作業等を行うオペレーターが必要に応じて申請ベースで管理者アカウントのパスワードを入手、作業後にランダム化したパスワード変更によって返却される仕組みを提供します。これによりローカル管理者アカウントの運用負荷を大きく軽減し、セキュリティレベルを向上できます。

パスワード貸与履歴管理

パスワードの払い出しの際には事前に申請を行い、いつ・誰が・どのコンピューターのローカル管理者アカウントのパスワードを申請し、いつ返却したのかをすべて履歴として保管できます。

管理する端末をグループ別に管理することで、大規模な組織にも対応

Active DirectoryのOUやセキュリティグループを利用することで、管理対象のPCのグループ化と、管理者・作業者の指定が可能です。これにより、情報システム部で一括管理が難しく、各部門や事業部にPCを管理する担当者を配置しているような大規模な組織にも対応することが可能です。

ローカル管理者アカウントの不正使用・攻撃者による窃取を検知

ESS AdminControl for Client（EACC）は、定期的にログイン成功・失敗履歴を収集します。これにより申請外のアカウント利用やアカウントのログイン試行（失敗・拒否）などの不審な情報をいち早く検知できます。また、申請履歴と端末ログイン記録を突合し、監査レポートを作成することができます。

自動バックアップ機能により運用負荷を低減し、万が一の際にも安心

収集したログ等のデータは外部ストレージに自動で日次バックアップを行い、データ消失に備えます。また、保持期間を過ぎたバックアップデータには自動削除が行われます。

EACCの仕組み

ESS AdminControl for Client（EACC）は、LAPS の導入環境において、「作業者に対する申請ベースでのパスワード払い出し」および「端末のログ収集及び不正ログインの検出」機能を提供するソリューションです。
EACC の主な機能と概要図を以下に記載します。

ドメインコントローラーを直接操作することなく、LAPS の機能を利用でき、Webブラウザからローカル管理者アカウントのパスワードを確認およびランダム化できる

申請履歴と端末ログイン記録を突合し、不正の検出およびレポートを作成できる

システム構成

EACCの標準的なシステム構成は下図のようになります。

小規模な構成から数万台規模のPCまで管理可能なアーキテクチャーを採用

EACC Server はコンテナ技術を利用した負荷分散アーキテクチャーを採用しており、大量のクライアントPCを保有する大規模な環境においては、負荷分散処理と可用性向上を確保できます。
一方、小規模な構成では、すべてのコンポートを同一サーバーに同居させるオールインワンでシンプルな構成にすることが可能です。

EACCコンポーネント

EACCを構成する主要コンポーネントは、EACC ServerおよびEACC Clientです。EACC Serverは、「アプリケーションユニット」、「データ収集ユニット」、「管理ユニット」および「バックアップユニット」の4種類から構成され、LAPS により払い出されたパスワードや監査レポートなどを表示できます。EACC Clientは、EACC AgentおよびLAPS で構成され、LAPS によりローカル管理者アカウントのパスワードがランダム化され、端末ログイン記録および端末イベント記録がEACC Server に送信されます。

稼働環境

EACC Server稼動要件

サポートするミドルウェア	Docker 18.03, 18.09, 20.04 上記以外のバージョン・コンテナ環境での動作についてはお問い合わせください。 ※稼働OSには実質依存しませんが、当社では以下に記載するそれぞれのOSに統一して動作を確認しています。 Ubuntu Server 16.04 LTS、18.04 LTS、20.04 LTS

EACC Agent要件

サポートするOS	Microsoft Windows 7 SP1 Microsoft Windows 8.1 Microsoft Windows 10
サポートするブラウザ	Internet Explorer 11 Microsoft Edge (Chromiumベース)

その他の稼働要件

Active Directory サーバーOS および フォレスト機能レベル	Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 / 2012 R2 Microsoft Windows Server 2016
クライアントPC	Microsoft Local Administrator Password Solution（LAPS）が導入され、EACC ServerおよびLAPSと連携したActive Directoryの管理下にあること

• クライアント端末はEACC Serverと連携対象のActive Directoryに参加している必要があります。
• LAPSを導入するとActive Directoryのスキーマが拡張されます。
• ハードウェア要件に関してはご利用環境によって異なります。詳しくは当社までお問い合わせください。
• Windows 10のサポート対象ブランチおよびバージョンについてはお問合せください。
• 本ソフトウェアは改良のため事前に告知することなくバージョンアップすることがあります。
• 本ソフトウェアに使用されている一部の技術は特許取得済みまたは特許申請中です。
• ESS AdminControl for Client は、エンカレッジ・テクノロジ株式会社の商標または登録商標です。
• Microsoft, Windows, Internet Explorer, Microsoft Edge, Active DirectoryおよびWindows Serverは、米国Microsoft Corporationの、米国およびその他の国における登録商標または商標です。
• 記載されているその他の会社名、製品名、サービス名は、各社の商標または登録商標です。