【全】ヘッダーリンク
【全】お問い合わせ
サイト内検索 検索
【全】メガメニュー
h1

ESS AdminGate(EAG)

オールインワンで実現するサーバーのセキュリティ対策

新規販売停止

「ESS AdminGate」新規販売停止のお知らせ(2021年10月1日掲載)

ESS AdminGateは、2021年9月30日を以て新規のお客様への販売を停止いたしました。
今後は後継製品である「ESS AdminONE」をご検討いただきますようお願いいたします。
尚、既存のお客様の追加ライセンスのご購入については2021年10月以降も引き続きご購入可能です。

タブ

ゼロトラスト時代に講じるべきシステムのセキュリティ対策

システムがオンプレミスからクラウドに移行し、ユーザーはあらゆる場所からシステムにアクセスできるようになりました。
しかし、巧妙化するサイバー攻撃に対する脅威の高まりなどを背景に、今や社内のネットワークが安全であるという神話は通用しません。

そんなゼロトラスト時代に内外のセキュリティリスクからシステムを守るためには、以下のような考え方に基づくセキュリティ対策が必要です。

ゼロトラスト時代のシステムセキュリティ対策

ESS AdminGateがサーバーやクラウドサービスのセキュリティリスクを包括的に解決します

特長1 シンプルな構成と簡単な導入設定

EAGの構成

シンプルな構成

ESS AdminGate管理サーバー(コントローラー)を操作端末と管理対象システムの間に配置し、ゲートウェイとして構成することでセキュリティ対策・統制に必要な機能をオールインワンで提供します。
※利用方法によっては管理対象システムにプログラムの導入が必要です。

簡単な導入・設定

ESS AdminGate(EAG)は仮想アプライアンス方式のため、VMWare, Hyper-Vなどの仮想環境あるいはアマゾン ウェブ サービスなどのクラウド環境にデプロイすればすぐにご利用できます。 ソフトウェアやミドルウェアなどのインストール作業は不要です。

特長2 あらゆるシステムを管理可能

EAGでは、正規管理対象システムであるWindows ServerやLinux Server以外にシンプルノードやSSOオプションを利用することで、SaaS、アプリケーション、データベース、ネットワーク機器、IoT機器など様々なシステムを管理対象にすることが可能です。
特にシンプルノードは、エージェントプログラムのインストールも不要となるなど、EAGの設定に必要な要件も少なく、お客様が所有するシステムの運用のアウトソーシングを担っている場合など、管理対象システムに対する要件の具備が困難な環境にも最適です。

提供機能 通常ノード シンプルノード SSOオプション
ポリシーベースのアクセス許可
申請承認ベースのアクセス許可
パスワード隠ぺいによる特権ID貸出
定期パスワード変更 - -
アクセスログ収集&検査 -
操作ログ管理
ファイル入出力管理
対応可能なシステム Windows/Linuxなどの
正規対象システム
RDP/SSHで接続可能な
システム(※)
SaaS、アプリ、DB、
ネットワーク機器、
IoT機器など(※)

※対応可能なシステムの要件がございます。詳細はお問い合わせください。

シンプルノードで管理可能になるシステム機器の例
・エージェントプログラム等を許可なくインストールできない顧客システムのサーバー
・UNIX オペレーティングシステム
・Debian、SlackwareなどESS AdminGateで正式サポートとしていないLinux OS
・Windows 10などのクライアントOS
・Windows Storage Server
・SSH接続を行えるネットワーク機器、アプライアンス機器
・VMWare Hypervisor(SSH接続)


特長3 利用する機能・対象システムに合わせた柔軟な価格体系

2つのライセンス方式

年間ライセンス:1年単位でのご契約で、更新時に契約数の削減も含めご契約内容の見直しが可能
永久ライセンス:購入時にライセンス費用を一括でお支払い、長期的にご利用する場合に割安

規模や要件に合わせて選択できる2つのエディション

Lite Edition         :主要な機能だけを使用する簡易版
Standard Edition:すべての機能が使用できる上位版

その他、個人や企業にITサービスを提供するためのシステムに適用可能なサービスプロバイダ向けライセンス方式もございます。

機能 Lite Edition Standard Edition
ワークフロー機能 -
定常アクセス許可(ワークフローOff)
メール連携機能 -
パスワード非ランダマイズ対応
定期パスワード変更
ファイル持ち込み・持ち出し管理 -
冗長構成 -
ログダウンロード
データアーカイブ
リソース監視

その他 使いやすいダッシュボード

ユーザーが自身のタスクやワークフローの状態を俯瞰的に確認できるなど、ユーザビリティの高いダッシュボードです。ワークフローにおける緊急申請の実行可否をノードグループ単位で設定可能となっている等、使いやすい設計となっています。

使いやすいダッシュボード

特権IDアクセス管理機能

システムの管理者アカウント(特権ID)は、あらゆる権限を有する特別なアカウントであるため、管理不備による不正使用は情報漏洩などのインシデントを招く恐れがあります。そのため、適切な管理が求められます。

アクセス制御とアクセス者の識別

ESS AdminGate(EAG)を使用すると管理者アカウントのパスワードは利用者に知らせずにアクセスを許可するため、パスワードが漏洩するリスクがなく安全です。またAdministratorアカウントなど、共有型のIDを使っても、実際の利用者が識別可能になります。

EAGのアクセス制御とアクセス者の識別

利用者個人の認証にワンタイムパスワードを組み合わせた多要素認証でよりセキュアに。ソフトウェアトークンおよびハードウェアトークンに対応します。

  • ソフトウェアトークン:Google Authenticatorによるワンタイムパスワードに対応します。
  • ハードウェアトークン:タイムベースドのワンタイムパスワード規格でTOTP RFC-6238に準拠し、OTPが6桁、更新周期が60秒の仕様で動作するハードウェアトークンに対応します。

定期パスワード変更の自動化

EAGは、管理対象ノードの特権IDのパスワードを自動的に変更する機能がございます。(通常ノードとして登録した場合)
複雑なパスワードを設定し、かつ定期変更を行うことでパスワード漏洩等による不正アクセスを防止できます。
固定パスワードでの運用にも対応可能です。

定期パスワード変更の自動化

操作ログ管理機能

特権IDを使用したシステム操作は、その権限の高さからあらゆる操作が可能であり、権限濫用によるリスクが伴います。そのため、操作内容は事後にトレースが可能な状態で記録し、保存しておく必要があります。

操作内容の動画記録(Windows)とコマンド入出力の記録(Linux)

EAGを介して行われたシステム操作の内容をログとして記録し保管します。Windowsサーバーに対する操作画面を一定間隔でキャプチャーし、動画形式で保存します。Linuxサーバーに対するSSH接続は、コマンドの入出力をすべてテキストとして記録します。
記録内容はブラウザを介して再生・閲覧が可能です。問題発生時の原因究明などを行うためのトレーサビリティを確保します。

操作内容を動画形式で全て記録操作内容の動画記録(Windows)とコマンド入出力の記録(Linux)





禁止コマンド検知アラート(Linux)

実施する作業として申請されていない禁止コマンドを操作すると、即座に検知し管理者にアラートが送信されます。
これにより、不正操作に対する即時対応が可能です。

禁止コマンド検知アラート(Linux)

アクセスログ収集&不正アクセス検出機能

EAGには、システムから定期的にアクセスログを収集し、EAGを介したアクセス履歴には存在しない不審なアクセスを検出しレポートとして出力します。外部からの侵入者を含めアクセス許可を得ていない不正なアクセスを早期に発見できます。

アクセスログ収集&不正アクセス検出機能

 

管理ノードログイン履歴

ファイル入出力管理機能

特権IDを用いた操作の中で、最もリスクの高い操作の一つがファイルの持ち込み・持ち出しです。特にサーバーに保管された顧客情報などの重要情報を無断で持ち出すことは情報漏洩につながる可能性があり、注意が必要です。EAGには、サーバーへのファイルの持ち込み・サーバーからのファイルの持ち出しについて必ず第三者の確認を必要とするフローを提供することで、適切なファイルの取り扱いを支援する機能が実装されています。


ファイル持ち込み管理

システム操作申請時にサーバーに持ち込むファイルを添付し、事前に設定された責任者に承認されることで持ち込み可能になります。
  

ファイル持ち込み管理
 

ファイル持ち出し管理

持ち出したいファイルは一旦EAGにアップロード。作業終了後に、持ち出しファイルを責任者が確認することで、ダウンロード可能になります。

ファイル持ち出し管理

管理プロセスの自動化機能

EAGではポリシーベースのアクセス許可設定に加え、ワークフローを用いた申請承認ベースのアクセス許可設定を同梱しています。ワークフローの申請内容に従い、許可された日時になると自動でIDの貸出処理を行ったり、パスワードのリセットを自動化するなど、管理作業を自動化・省力化します。

管理プロセスの自動化機能

  管理作業の自動化・省力化

 
 
 
 
 
 
 
 

その他の機能・特長

  • ダッシュボード機能  各ユーザーが実行すべきタスクなど全体が把握可能なトップページ
  • システム変更履歴   : EAGの設定変更の履歴を保存し、監査に対応
  • 各種監査レポート出力 : 特権IDやアクセス制御に関する各種レポートを出力しIT統制等各種ガイドラインに対応
  • 冗長構成       EAGコントローラーを2台構成で可用性を向上
  • メール連携        :ワークフロー遷移に合わせアクションが必要なユーザーメールを送信
  • 緊急作業申請     : 夜間・週末対応など承認者不在時に、緊急作業等対応が可能な仕組み

セキュリティを向上させ、運用効率も併せて向上

それぞれの専用ツールなしに、システム証跡取得から特権ID管理までを一気通貫で安価に実現できます。

IT統制強化

組織内外からの不正アクセスを防止
監視体制の強化
監査・点検対応
重要情報の漏洩リスク低減

 

運用・管理負担の軽減

無数のパスワード管理からの解放
張り付き作業監視からの解放
管理プロセスの自動化
原因究明・復旧対応の早期化実現

外部からのリモートアクセス作業に対しての安全性向上

外部からのリモートアクセス作業に対しての安全性向上

外部委託先からのリモート保守などの場合でもセキュリティ担保
内部作業同様の効果を実現

作業品質の標準化や向上を実現

作業品質の標準化や向上を実現

手順書と併せて操作の動画記録も確認することで高い再現性を実現
作業手順の共有で属人化の排除
引き継ぎや教育でも大活躍

構成例

下図は、データセンターに設置したシステムに対し、ESS AdminGate(EAG)を利用して、システム保守・運用業務のアクセスおよび証跡の管理を行う構成例です。

EAGの構成例

EAGコントローラーの設置

管理対象のシステムへのアクセス経路にEAGコントローラーを設置します。EAGコントローラーは、仮想アプライアンス方式で提供されるEAGのコアコンポーネントです。 運用者の端末から、EAGコントローラーを介さないとアクセスできないようにネットワーク的に設計する必要はございません。
EAGは、たとえネットワーク的に管理対象サーバーにアクセスが可能であっても、特権IDのパスワードを隠ぺいしているため、EAGを経由して承認ベースでアクセスする必要がある点に特長・メリットがあります。

Windows用エージェントプログラムの導入

通常ノードとして設定するWindowsサーバーには、EAGエージェントを導入します。

稼働要件

EAGコントローラー稼動要件

対応する仮想環境・クラウドサービス VMware vSphere (ESXi)
Microsoft Hyper-V
アマゾン ウェブ サービス(AWS)

正規管理対象システムの要件

OS Microsoft Windows Server 2012 / 2012 R2
Microsoft Windows Server 2016 / 2019 / 2022
Amazon Linux V2
Ubuntu Server 14.04 LTS, 16.04 LTS, 18.04 LTS
CentOS 6, 7, 8(x64)
SUSE Linux Enterprise Server 11, 12, 15(x64)
Red Hat Enterprise Linux 5, 6, 7, 8(x64)
 ※Windows Serverにはエージェントプログラムが必要です
管理対象アカウント 上記管理対象サーバーOSのローカルアカウント
Windows Active Directoryユーザーアカウント
 (Windows Server 2012 以降の機能レベル)
接続方式 Windowsサーバーに対するリモートデスクトップ接続
Linuxサーバーに対するID/パスワード認証または鍵認証方式によるSSH接続

その他の管理対象システムの要件

シンプルノード対象システム 上記正規管理対象システム以外でも下記要件を満たすシステムについては、シンプルノードとして一部機能を使った管理が行えます。
・リモートデスクトップを使ってI D・パスワード認証で接続するシステム
(RDP8.0以降、TLS 1.1/1.2)
・SSHを使用してID・パスワード認証または鍵認証で接続するシステム
(SSH 2.0以降)
SSO対象システム(オプション) オプション製品「Password Assistant」を使用することで、アプリケーション、ネットワーク機器、IoT機器、SaaSなどのID・パスワード方式で認証されるシステムを管理することが可能です。

クライアント要件

サポートするブラウザ Internet Explorer 11
Google Chrome 38以上
サポートするリモートデスクトップクライアント Windowsのリモートデスクトップクライアントソフト Ver.6.1以上

多要素認証デバイスの要件

ソフトウェアトークン Google Authenticator
EAGコントローラー内にGoogle Authenticatorモジュールが内包されており、スマートフォン、タブレット上にQRコードを読み込み、ワンタイムパスワードを発行するアプリをインストールすれば使用可能となります。
ハードウェアトークン ハードウェアトークン:TOTP RFC-6238に準拠し、OTPが6桁、更新周期が60秒であること
【検証済デバイス】
飛天ジャパン カード型ワンタイムパスワードトークン(VC標準)
飛天ジャパン キーホルダー型(C200 Type H3)
  • 対応言語:日本語
  • ESS AdminGateコントローラーを稼働させるハードウェア要件については、ご利用環境によって異なります。詳しくは弊社までお問い合わせください。
  • 本ソフトウェアは、不正アクセスを完全に防止するものではありません。
  • 本ソフトウェアは改良のため事前に告知することなくバージョンアップすることがあります。
  • 本ソフトウェアに使用されている一部の技術は特許出願中または取得済みです。
  • ESS AdminGateは、エンカレッジ・テクノロジ株式会社の登録商標または商標です。
  • Microsoft, Windows, Windows Serverは、米国 Microsoft Corporation、およびその他の国における登録商標または商標です。
  • 記載されているその他の会社名、製品名、サービス名は、各社の登録商標または商標です。

パブリッククラウドサービスへの対策

ESS AdminGate は、特権ID管理や証跡管理などのサーバーセキュリティ対策を、クラウド・オンプレミス等多様なシステム環境に共通して適用が可能です。

パブリッククラウドサービスAWSへの対応

パブリッククラウドサービスAWSへの対応ESS AdminGate は、VMWare Hypervisor、Microsoft Hyper-Vなどのプライベートクラウド環境(仮想化環境)は勿論のこと、クラウドワークロードを活用することも可能です。大手パブリッククラウドサービスのアマゾン ウェブ サービス(AWS)を正式稼働環境としており、AWS上へのデプロイ手順やIaaS(EC2)としての稼働に関して弊社によるサポートの提供の他、Amazon Linux2を管理対象のシステムとすることも正式にサポートしています。
クラウドのSDN(Software Defined Networking)環境にて仮想マシンインスタンスをインフラとしたシステムを構築することが一般的になった現代でも、オンプレミス環境での運用と同様にセキュアな特権ID管理は重要です。


AWS Partner Network(APN)セレクトテクノロジーパートナー

更に、弊社は2020年アマゾン ウェブ サービス ジャパン株式会社より「AWS Partner Network(APN)セレクトテクノロジーパートナー」に認定されており、今後もますます加速するシステム環境の変革に追従し支援できるよう、更なるAWSサービスとの連携強化やサービスレベル向上に取り組んで行く予定です。
 >詳しくはこちら




Linux Serverの鍵認証に対応、鍵認証方式のまま、管理対象ノードとして設定可能

Linux Serverの鍵認証に対応パブリッククラウド環境でLinux Serverの認証方式としてデフォルトになっている場合が多い、鍵認証に対応しています。これにより、パスワード方式に変更をすることなく、EAGでこれらのLinux Serverを管理対象に設定することが可能です。
鍵認証の場合であっても、パスワードと同様に固定鍵方式、ワンタイムで鍵を使い捨てする方法が選択可能です。








ワンタイムパスワードによる多要素認証に標準で対応、なりすましを防止

ワンタイムパスワードによる多要素認証に標準で対応ESS AdminGateはその性質上、管理対象システムへのアクセス経路として機能するため、ESS AdminGateに対する不正アクセスは、管理対象システムへの不正アクセスに直結することになります。

そこで、EAGの利用ユーザーに対する認証をID、パスワードに加えて、ワンタイムパスワード(OTP)による多要素認証を追加することで、なりすましの危険性を低減させることができ、クラウド時代では重要かつ前提となる不正認証対策の強化を実現します。





多要素認証については、以下のような拡張機能を提供しています。

  • OTPの方式として、Google Authenticatorを利用する方法(ソフトウェアトークン)とハードウェアトークンをご選択可能。ハードウェアトークンはTOTP RFC-6238に準拠し、OTPが6桁、更新周期が60秒の仕様のデバイスに対応
  • ユーザー単位でOTPの適用有無を設定可能。例えば、サーバーアクセスを実際に行わない承認行為だけのユーザーにはOTPを適用しないといった形の設定が可能




製品カタログ
製品トライアル
【参】お問い合わせエリア

エンカレッジ・テクノロジ株式会社
〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F
TEL 03-5623-2622 (平日 9:00~17:30)

メールマガジン購読お問い合わせ