1. ESS AdminONE
  2. 機能と特長

機能と特長

特権IDの安全性を向上させる機能と特長

ESS AdminONEは、以下のような機能と特長により、特権IDに関わるリスクを包括的に低減しシステムの安全性を高めることが可能です。

お問い合わせ

特権IDの不正使用を防止する仕組み

ESS AdminONEは、特権IDを正規ユーザーに対し適切な形で利用を許可する一方、承認外ユーザーによる不正使用や、サイバー攻撃による不正アクセスを招かないようにするための各種機能が備わっています。

アクセス制御

特権IDを用いたアクセスを制御する機能として、「申請承認ベースのアクセス許可」「ポリシーベースのアクセス許可」を併用する形で定義できます。
また、ユーザーにパスワードを意識させずに特権IDが利用できる「パスワードレスアクセス」が利便性と安全性の両立を実現します。

申請(承認)ベースのアクセス許可

重要システムに対する申請・承認ベースのアクセス許可を実現するためにワークフローシステムが同梱されています。

簡易申請

作業者本人による申請
持ち込みファイルなし

一般的な申請であれば、最小ステップで申請可能

簡易申請

詳細申請

代理申請
持ち込みファイルあり
複数人による作業

複数の作業者に対する一括申請などは、詳細申請で細かく申請可能

詳細申請

申請に対する承認プロセスなどの処理フローの定義は、自由にカスタマイズすることも可能です。

標準で設定済の定義

簡易ワークフロー

もっともシンプルなワークフロー。申請のみで承認不要。

簡易WF
通常ワークフロー

標準的なワークフロー。承認ベースのアクセス許可、終了後作業結果を報告し、確認を経て終了。
(上記をベースに夜間・休日の緊急ワークフローを許可することも可能)

通常WF

カスタム定義の例

多段ワークフロー

大規模な組織における多段承認・多段確認を行うケース。承認、確認それぞれ最大10段までの設定が可能。

多段WF

ポリシーベースのアクセス許可

利用の度に申請・承認を行うほどのアクセス制限が不要なシステムに対しては、ポリシーベースのアクセス許可をご利用いただくことも可能です。誰がどのシステムのどの特権IDを利用できるかを設定し、アクセス許可がないユーザーには使用させない仕組みを実現します。

同一アカウントを複数ユーザーが同時に使用しても、使用者の特定が可能です。

ポリシーベースのアクセス許可

パスワードレスアクセスで安全かつ広範なシステムを管理対象に

「パスワードレスアクセス」とは、特権IDのパスワードをユーザーに開示しない状態で、アクセス許可を行う仕組みのことです。
パスワードを払い出す方法と比べてよりセキュアな運用を可能にします。

パスワードレスアクセスで安全かつ広範なシステムを管理対象に

パスワード管理機能

パスワード管理機能として「貸与時のワンタイム化」「定期パスワード変更・鍵交換の設定」を提供します。パスワードレス方式の対応が難しいシステムや、パスワードレスアクセスとパスワード変更処理を組み合わせることでさらにセキュアにするケースなどに適用することが可能です。

またアクセス許可のタイミングに合わせたパスワード変更処理とは別に、30日や90日など企業のポリシーで決められた頻度での定期パスワード変更処理を自動で行うことが可能です。

多要素認証を用いた本人確認

正規ユーザーのなりすましを防止するために、ワンタイムパスワードによる多要素認証を設定可能です。

多要素認証を用いた本人確認

点検・監査を実現する仕組み

ESS AdminONEでは、設定された特権ID管理の仕組みがうまく回っているか、異常が発生していないかを点検・監査を行う各種機能が備わっています。

特権ID操作の録画・記録(ゲートウェイ構成の場合のみ)

ESS AdminONEでは、正規ユーザーが特権IDを用いて行った操作内容を事後にトレースできるようすべて記録します。

  • WindowsシステムのデスクトップやブラウザなどのGUI操作は動画で記録
  • SSH接続によるUNIX/Linuxシステムやネットワーク機器・IoT機器などの操作はコマンドの入出力内容をテキストで取得し記録
特権ID操作の録画・記録(ゲートウェイ構成の場合のみ)

リスク操作の検知とアラート(ゲートウェイ構成の場合のみ)

UNIX/Linuxシステムやネットワーク機器などに対するSSHを用いた操作については、事前に要注意操作を検知ルールとして定義しておくことが可能です。作業完了後ただちに操作内容がチェックされ、該当コマンドが実行されていた場合に管理者へメールで通知されます。

リスク操作の検知とアラート(ゲートウェイ構成の場合のみ)

構成によって選択可能な操作証跡取得方法

ESS AdminONEを用いた特権ID管理の構成には「①ゲートウェイ構成」と「②貸出ツール構成」があり、構成によって操作証跡の取得方法が異なります。

①ゲートウェイ構成
ESS AdminONEが提供する範囲の操作証跡取得、検知ルールをご利用いただけます。
②貸出ツール構成
システム操作証跡監査ツール 「ESS REC」を組み合わせることで、より詳細な操作内容の記録・点検が可能になります。さらに、SSH接続操作以外のあらゆる操作に対するルールベースのリアルタイム検知が可能となります。

ESS AdminONEとESS RECは連携設定を行うことで、作業申請に紐づく形で操作記録を管理することが可能となります。

不正アクセス検知

対象システムからログイン履歴を定期的に収集し照合することで、ESS AdminONEを経由していないアクセス有無をレポートとして出力します。これによりアクセス許可を得ていない不正なアクセスを早期に発見できます。

不正アクセス検知

ログ収集と突合処理は、最短1時間おきに行う設定が可能です。
そのため、不審なアクセスが発生した場合に遅滞なくそれを検知し、必要な対策を打つことができます。

ログイン失敗履歴の収集

ログイン成功履歴とは別にログイン失敗履歴を定期的に収集することで、ブルートフォース、パスワードスプレーなど攻撃者によるアクセス試行を早期に発見することが可能になります。

特権IDの濫用による情報漏洩を防止する仕組み

ファイル入出力管理

システムからの機密情報・個人情報の不適切な持ち出しは特権ID管理の不正使用の中でも特にリスクの高い操作です。そのためファイルの持ち込みや持ち出しには一定の統制が必要です。
ESS AdminONEは、特権IDを使用した重要システムに対するファイルの持ち込み・持ち出しに際して第三者のチェックを必要とする仕組みを提供します。

ファイル入出力管理

その他運用管理を効率化するための仕組み

ダッシュボード

各ユーザーに必要な情報が一元的に表示されます。

Active Directory連携

ユーザーを独自で作成・管理する必要がなく、ユーザーの異動などの際に設定変更が省力化できます。

メール通知連携

ワークフローステータスの変更により必要なアクションがメールで通知されます。

ノード・作業用アカウント一括登録・変更

大量のノード・作業用アカウントをCSV形式で準備し一括登録・変更することで設定のための工数を大幅に削減します。

柔軟なノード変更・ユーザー変更

管理対象ノード変更やユーザーの削除・変更は、運用中であっても業務を止めずに実行できます。

マルチ言語対応

ユーザー単位で表示言語を日本語・英語から設定可能です。

要件に応じたアクセスポリシーの設定

作業終了予定時間超過後のアクセス許可自動延長の可否をポリシーに応じて設定可能です。

記録データのアーカイブ

蓄積された操作証跡データは、コマンドを用いて外部ストレージに圧縮保存。アーカイブ後のデータもユーザーは意識せず閲覧可能です。

主な特長

ESS AdminONEは、昨今のシステム環境の変化に対応するべく、新たなアーキテクチャを採用した次世代型の特権ID管理ツールとして、以下のような特長を備えています。

ゼロトラストセキュリティ

ゼロトラストを前提として考え、管理対象システムやネットワーク通信に対し、高いセキュリティレベルを維持したまま特権IDの管理が可能となるように考慮しています。

  • 通信の暗号化

管理対象システムとの通信はすべて暗号化に対応させることが可能です。

  • ポート変更に対応

SSH、RDPなどのポートスキャンに狙われやすいプロトコルは、ポート番号の変更に対応します。

 

汎用インターフェイスによる高い拡張性

ESS AdminONEの特長の一つが、さまざまなシステムを管理対象として設定できる点があります。その汎用性を実現しているのが、以下にご紹介する3つの汎用インターフェイスになります。

パスワード変更インターフェイス

標準では対応していないシステムのパスワード変更処理を実現するためのインターフェイスです。
本インターフェイスに合わせてパスワード変更処理を行う外部プログラムを開発・配置することで、ESS AdminONEからのパスワード変更要求に合わせてパスワード変更処理が可能となります。

パスワード変更インターフェイス

ログイン履歴収集インターフェイス

標準では不正アクセス検知に対応していないシステムに対し、同様にログ検査機能を提供できるようにするためのインターフェイスです。対象システムからアクセスログを収集し、ESS AdminONEが必要な形式に変換する外部プログラムを用いることで実現します。

ログイン履歴収集インターフェイス
  • パスワード変更インターフェイス、ログイン履歴収集インターフェイスは、仕様が公開されており、お客様自身で外部プログラムを開発いただくことも可能です。また、弊社がニーズに合わせて開発した外部プログラムをESS AdminONEのオプションとして販売しておりますので、AdminONEサーバーのバージョンアップを行わなくても新たなシステムを管理対象に加えることが可能となります。

自動ログイン定義

特権IDを使用してシステムに接続するためのツールやSaaS・Webシステムを「パスワードレスアクセス」に対応させるために定義・設定を行うことが可能です。

定義は、SaaS/Webアプリケーションなどブラウザを用いてアクセスするシステム、データベースなどWindows上で動作する専用ツールを使用するシステム両方対応しています。定義の作成は、専用ツールを用いてノンコードで対応できますので、お客様自身で定義を行うことが可能です。

「パスワードレスアクセス」により、必ずしもパスワード変更処理に対応しなくても、申請承認ベースのアクセス許可を実現できるため、管理可能となるシステムの汎用性を高めるツールとしてご利用いただけます。

自動ログイン定義

API公開

人による特権IDの使用だけではなく、システム連携やRPAなどを用いてシステム管理の自動化を行う際に使用される管理者権限の管理にも対応。さらに、ESS AdminONEのインターフェイスはREST APIをベースとし公開もしているため、外部システムやRPAとデータ連携ができ、システム運用における自動化・効率化に貢献します。

API公開

コンテナ技術を採用

特権ID管理ツールとしては業界で初めてコンテナ技術を採用していますので、OSのバージョンや種類に依存せずESS AdminONEを稼働させることができます。プラットフォームの種類やバージョンに依存せず、長期にわたり安定的な継続稼働を実現します。

コンテナ技術を採用

お問い合わせ

ESS AdminONEを
もっと知りたい方へ

製品の詳しい情報をまとめたカタログや製品のトライアル、お見積り等は以下より承っております。
どうぞお気軽にお問い合わせくださいませ。

資料請求

ESS AdminONEの製品カタログや事例集はこちらよりご請求いただけます。

製品トライアル

ESS AdminONEの無償トライアルは
こちらで承っております。

お見積り・お問い合わせ

製品に関するご質問やお見積りのご依頼はこちらで承っております。

製品の概要・運用イメージがすぐわかる

忙しいシステム担当者のための

無料オンデマンドセミナー

詳細はこちら

20240423webinar_banner.png