機能と特長
特権IDの安全性を向上させる機能と特長
ESS AdminONEは、以下のような機能と特長により、特権IDに関わるリスクを包括的に低減しシステムの安全性を高めることが可能です。
- PROTECT (保護)
- アカウント・パスワード管理方式
- ネットワーク制御方式
- SAML認証制御方式
- 3つの方式から選択できるアクセス制御で特権IDを保護
- SECURE USE (安全な利用)
- 柔軟なポリシー定義
- 申請承認ワークフロー
- SSO技術を利用した安全なアクセス
- 認証連携・多要素認証で本人確認
- ファイルの受け渡しの制御と統制
- 正規ユーザーに対する安全な利用環境の提供
- DETECT (異常検知)
- アカウント棚卸
- 不正アクセス検出
- 不正アクセス試行検出
- 操作ログ取得
- 不正コマンド実行検出&アラート
- その他のレポート
- さまざまな点検機能で不正使用・異常を検出
- 4つの特長
- 汎用性の高い3つの外部インターフェイス
- API公開による他のシステムとの連携の容易性
- 管理レベルの濃淡による最適運用
- 充実したサポート
- ESS AdminONEならではの4つの特長
1.アカウント・パスワード管理方式
AdminONEサーバーがパスワードなど特権IDの認証情報の保管庫として機能し、強固な暗号化とアクセス制御によって内外のセキュリティ脅威から重要システムを保護する方式です。
特長① パスワードをAdminONEサーバーで安全に保管
Web UI、CSVファイル、公開APIなどさまざまな登録インターフェイスを用意。
登録されたパスワードは二重の暗号化で保護し、管理者であっても
保存されたパスワードの閲覧は原則不可能です。
特長② パスワード以外のシークレット情報も管理可能
SSH認証鍵、アクセスキー、シークレットキーなど、256文字以内の文字列で識別されるシークレット情報を一元管理します。
特長③ ポリシーに基づくパスワードの強制変更
あらかじめESS AdminONEにパスワードの桁数や使用文字種をポリシーとして設定することで、登録されたパスワードを強制的に基準に沿った内容へ変更できます。また、特定のアカウントを対象外として指定することも可能です。

2.ネットワーク制御方式
管理対象システムに対して、ネットワーク的に直接到達できない構成・仕組みによって、不正アクセスから保護する方式です。ESS AdminONEは、以下の2つのネットワーク制御方式から選択してご利用いただけます。
ゲートウェイ構成によるネットワーク制御
AdminONEサーバーを経由しないアクセスをできないように設定していただき、AdminONEを経由したアクセスはAdminONEの機能で制御することで、平時はネットワーク的に管理対象システムに到達できない状態となることにより、不正アクセス、ポリシー外のアクセスを防止する仕組みです。

接続元端末に導入するネットワーク制御エージェントを用いたネットワーク制御
アクセス元コンピューターにネットワーク監視・制御エージェントである「OA Access Control(OA AC)」をインストールすることで、AdminONEサーバー上で設定したネットワークのアクセス制御情報を参照し、制御対象へのネットワーク通信をブロックします。RDP/SSHだけではなくTCPベースのあらゆる通信をブロック対象に設定することが可能です。
アクセス元コンピューターにインストールするネットワーク監視・制御エージェントです。AdminONEサーバーからアクセス制御設定を参照し、コンピューター上のネットワーク通信を監視、ブロック対象の通信を検知し遮断します。
OA AC自体を停止・削除されないように以下のような保護機能が備わっています。
・OSログイン直後からネットワーク制御開始・管理者権限を用いても停止・アンインストール不可
・緊急時機能停止用パスワード設定
・AdminONEサーバー障害時も直前に取得したポリシーに基づく制御を維持

アカウント・パスワード管理方式とネットワーク制御方式の併用
アカウント・パスワード管理とネットワーク制御は、2つの方式を併用することが可能です。これにより、2つの保護策が無効化されない限り不正アクセスを許さない非常に強固な特権ID保護を実現できます。

3.SAML認証制御方式
SAML認証に対応するSaaS/Webサービスに対して、ESS AdminONEを見かけ上のIdPとして設定することで、SAML認証プロセスに介在し、実際のIdPの認証結果とESS AdminONEに設定されているユーザー自身のアクセス管理ポリシー(アクセスが承認ベースで許可されている期間かどうか等)に基づいて認証可否を判定する仕組みです。
許可期間外は認証結果をSaaSに返さないことでアクセスを制御し、ESS AdminONEのポリシーに反するアクセスを防止します。

- ・ AdminONEサーバーが、SaaSなど管理対象サービスのSAML連携先(IdP)として機能します。
- ・ IdPはMicrosoft Entra ID, Okta, OneLoginに対応しています。
- ・ 認証自体は、実際のIdPの仕組みを利用。ただし、SP-Initiatedおよびシングルサインオン/シングルサインアウトに対応するSaaS/Webサービスが対象となります。アサーションの暗号化には対応しません。
1.特権ID利用ポリシーの柔軟な定義
ユーザーが常時利用可能なアカウントを定義(時間帯による制限可)
都度申請等の手続きは不要だが、いつ・誰がどのアカウントを使用したかを記録可能
重要性の高くないシステム・権限の低いアカウントなどに適用することを想定
申請に基づき利用可能になるポリシー定義
期限が限定されており、申請期限が経過すると使用許可が剥奪される
常用されるとリスクになる重要性の高いシステム、高度な権限を有するアカウントに適用することで、統制強化につながる
申請に対して承認(設定により多段承認も可)を経て利用可能になるポリシー
承認されなければ利用できない強力な統制の仕組みとして機能
最も重要なシステムに対する高い権限を利用したリスクの伴う特権ID利用への適用を想定
2.申請承認ワークフロー
申請・申請承認制のポリシーとした場合には、同梱されるワークフローシステムで申請書を起票し提出することで、必要な承認手続きを取ることができます。また、承認された申請に基づいた特権IDの貸出処理や作業終了後の返却は自動で行われるため、人手による貸出、返却処理を行う必要がありません。
事前にメール通知設定を実施しておくことで、申請書の提出、ステータス変更時などに関係者にメールが送信され、自身のタスク発生を容易に把握することが可能です。

また、ESS AdminONEに同梱される申請承認ワークフローには、以下に記載するような多様な機能・設定が可能となっており、お客様の多様な要件に柔軟に対応できます。
| 設定・機能名 | 内容 |
|---|---|
| 簡易申請・詳細申請 | 用途に応じ、申請方法を使い分けが可能。基本的な申請であれば、簡易申請で入力項目数などを必要最小限にとどめ、申請にかかる工数を削減できます。 |
| 代理申請・複数人作業の一括申請機能 | 他の作業者の特権ID利用を代理で申請する設定や複数人の特権ID利用を一つの申請でまとめて行うことが可能です。 |
| 緊急作業申請設定 | 夜間休日などに承認ステップをスキップして緊急作業できる仕組み(事後の確認ステップを後追いで承認)。 |
| 特権ID利用期間上限設定 | 特権ID利用期間を1日単位で制限する設定。 |
| セルフ承認禁止設定 | 自身で起票した申請を自分自身で承認できるかどうか設定が可能。 |
| 同一アカウント重複利用設定 | 同一アカウントを重複した期間に申請できないようにする設定。 |
| カスタム項目設定 | 申請書様式に最大30項目のカスタム項目を追加可能(テキスト、プルダウン、チェックボックスなどから選択可)。 |
| 多段承認・多段確認 | 特権ID利用申請に対し、最大10段までの承認・確認ステップを設けて各ステップに承認者を割り当て。 |
| 一括承認処理機能 | 複数の申請書に対し、一括で承認や却下などの処理が可能なインターフェイス。 |
| グループ承認設定 | 承認ステップに割り当てられた承認者全員の承認を必要とするか、一人の承認で承認とするかの設定が可能。 |
| 差し戻し・引き戻し機能 | 提出した申請書を次の対応者が処理する前に引き戻し、受領した申請書を前の対応者に差し戻しする機能。却下のようなプロセスの中断・申請再起票が不要なため、効率的な業務が可能。 |
3.安全な特権IDの正規利用許可の仕組み
正規ユーザーが特権IDを利用する際は、セキュアな状態を保ったまま利用することができます。その方法は特権IDの保護方式によってそれぞれ適切な方法が用意されています。
SSO技術を用いたパスワード非開示の利用許可(アカウント・パスワード管理方式の場合)
アクセス許可されたユーザーに対し、ESS AdminONEが対象システムの資格情報を代行して認証することで、ユーザーにはパスワードが開示されない状態でアクセスできる仕組みです。これにより、パスワードを直接払い出す方法よりも、安全な特権ID利用を実現します。

パスワード非開示のため返却時に変更不要
共有IDの使用時の利用可否を選択可能(同時利用の機能も可能)
パスワードの漏洩・なりすまし防止
特権ID利用箇所を限定できる
ネットワーク疎通許可・ブロック解除による利用許可(ネットワーク制御方式の場合)
ネットワーク制御方式によってアクセス制御を行っている場合、許可されたユーザーが許可された期間だけ対象システムへの通信が可能となるよう通信許可・通信ブロックの解除が行われます。
ゲートウェイ構成におけるネットワーク通信許可
- ・AdminONEサーバー(ゲートウェイ)がポリシーや申請承認ステータスに基づき対象システムへの通信を代行
- ・接続時の認証情報(アカウント、パスワード)は接続時にユーザーが入力したものをオンデマンドで利用
- ・アクセス許可されているノード以外は、アクセス制御を継続
- ・RDP/SSHでの接続に対応

クライアントエージェントによる通信ブロックの解除
- ・ESS AdminONEに付属する常駐ツール(Operation Authenticator/OA for Browser)にて利用者の認証・本人確認
- ・接続先の種別・接続方法に合わせてネットワーク通信を開放
- ・同時に認証情報を要求してオンデマンドで自動ログイン処理を行うことも可能
- ・許可されていないノード、他のポートでの接続は通信不可
- ・RDP/SSHに加えあらゆるTCP通信のポートに対応可能

4.認証システム連携・多要素認証による本人性の確認
ESS AdminONEでは正規ユーザーを識別するための本人認証ついて、多様な選択肢をご用意しております。
さまざまな認証の仕組みを併用可
利用できる認証情報には以下の3種類をご用意しております。(混在して運用が可能です)
- (1) ESS AdminONEサイト上に固有のユーザー情報を登録(ローカルユーザー)
- (2) Active Directoryと連携してドメインユーザーを使用
- (3) IdP(Microsoft Entra ID、Okta、OneLogin)とSAML連携を設定しIdPユーザーを使用

独自に多要素認証(MFA)の設定で厳格な本人確認
ローカルユーザー、Active Directory連携によるドメインユーザーを利用する場合、ESS AdminONE独自でワンタイムパスワード(OTP)を用いた多要素認証の設定が可能です

多様な方式に対応
Google Authenticator/Microsoft AuthenticatorなどTime-based One-time Password(TOTP)の規格に対応したアプリ使用してワンタイムパスワードを発行
以下の仕様に沿ったハードウェアトークン
・ワンタイムパスワードの桁数が6桁
・生成アルゴリズムはTOTP(RFC-6238)
・ワンタイムパスワードの発行・更新周期が30秒または60秒
5.ファイル入出力管理
ESS AdminONEでは以下のような仕組みによって、特権IDを用いてファイルをシステムに持ち込む、またはファイルを持ち出す行為を作業者単独で行えないように統制を効かせることが可能です。
また、本仕組みによって持ち込み・持ち出しされたファイルの履歴が記録されるため、問題発生時の確認や監査等でもご利用いただけます。

1.アカウント棚卸機能
管理対象システムから一定間隔でアカウント情報を参照し、存在するアカウントの一覧を出力する機能です。また前回棚卸結果と比較し差分を出力します。これにより無断で作成・属性変更が行われたアカウント、消し忘れのアカウントなどを容易に発見できます。

ノード名、アカウント名、ドメイン名、所属するグループ、ログインシェルの名称(Linuxの場合)最終ログイン日時、最終パスワード変更日時
- 新たに作成されたアカウント
- 削除されたアカウント
- 属性が変更になったアカウント
- 定期実行は、ノードグループ単位で日時、週次、月次より設定可能な他、即時実行も可能
- 棚卸に失敗したノードが存在する場合は、再実行により再棚卸が可能
- 直前の棚卸結果との差分レポートの自動出力
- 任意の2つの棚卸結果を比較したレポートの手動出力
2.不正アクセス検出(ノードログイン履歴)
管理対象ノードからログイン履歴を定期的に収集し照合することで、不審なアクセスの有無を洗い出し、レポートとして出力します。これにより、外部からの侵入者を含めアクセス許可を得ていない不正なアクセスを早期に発見できます。

3.不正アクセス試行検出
ログイン失敗(アクセス試行)に関するログを収集しレポート表示することが可能です。ブルートフォース(総当たり攻撃)やパスワードスプレーなどの攻撃に晒されている場合に大量のログイン試行が発生することがあり、不正アクセスを招きかねない予兆を検知することが可能です。

4.操作ログ取得(動画/コマンドテキスト)
ESS AdminONEを専用ゲートウェイとして構成する場合、操作内容を証跡として保管することが可能です。Windows Serverに対する操作はデスクトップの動きを動画形式で取得、Linux等SSHで接続するシステムについては、コマンド入出力の内容をテキストで記録します。

5.不正コマンド実行検出&アラート
単に操作内容を記録するだけでなく、SSHコマンドについては、不正操作・異常操作をルールとして定義しておくことで当該操作が発生した際に即時検知・アラートを発報することが可能です。

【参考】 ESS RECを組み合わせた構成とルール検知
別製品ESS RECを組み合わせることで、GUI操作、ブラウザ操作、コマンド操作などさまざまな操作のログをより詳細に取得できるほか、SSHコマンド以外に対するルール定義&アクション設定が可能です。また、AdminONEサーバーとESS RECサーバーを連携設定することで、ESS AdminONEのレポートとESS RECの証跡レポートを連携させることも可能です。

6.その他のレポート機能
ESS AdminONEではその他さまざまなレポートを出力します。これらのレポートを参照することで特権IDの利用状況の把握、規定したルール通りに運用できているか、不審なアクセスがなかったかなどの点検が可能になります。

各ユーザーログイン後に表示されるページです。自身のタスクなどを優先的に確認することができます。

申請ベースで利用する特権IDの起票済申請書の一覧画面です。条件で一覧を絞りこんだり、特定の申請書を選択して詳細を確認することができます。

特権IDを使用した履歴が閲覧できるレポートです。誰が、いつ、どの特権IDを使用してどのシステムにアクセスしたかを確認できます。特権利用の根拠となる申請書や操作ログ証跡レポートへも遷移できます。また各操作に関するメモを任意に記録することが可能です。

定義したルールに抵触するSSHコマンドの履歴を参照します。
1.ESS AdminONEの汎用性を支える3つのインターフェイス・機能
ESS AdminONEの特長の一つ「さまざまなシステムの特権アクセス管理が可能」を実現できる背景として、オープンで汎用性のあるインターフェイスを備えている点があります。特長のあるインターフェイス・機能は以下の通りです。
(1)汎用パスワード変更インターフェイス
パスワード強制変更を行う汎用インターフェイスです。本インターフェイスでは、パスワード変更命令を受け対象システムのパスワード変更処理を行う外部プログラムを対象システムに合わせて開発することで、さまざまなシステムのパスワード強制変更が可能になります。

(2)汎用ログイン履歴収集インターフェイス
システムのログを収集し、不正アクセスやアクセス試行の有無を発見するためのレポートを出力する汎用的な仕組みです。対象システムからログを収集し、ESS AdminONEへ配置する仕組みを中間プログラムとして開発すれば、さまざまなシステムのアクセスログの点検が可能になります。

(3)自動ログイン定義
正規ユーザーに対し、パスワードを非開示で利用できる仕組みを、さまざまなシステム・ツールに対応させるための汎用定義ツールです。これを用いることで、お客様独自のシステムや利用ツールを利用しつつ、パスワードを開示しない安全なアクセスを実現できます。

自動ログイン定義のイメージ
- 1.ログイン画面のID、パスワード、ログインボタンなどをクリック操作によって指定
- 2.定義ファイルが自動で生成
- 3.実際のID/パスワードを用いて動作テスト
- 4.テスト結果に基づき定義修正
- 5.定義ファイルの完成
- 6.定義ファイルをAdminONEサーバーに登録
「自動ログイン定義」検証済み/動作確認済みシステム
検証済み・動作確認済みのシステム・接続方法については、以下のようなものがございます。下記以外にもさまざまなシステム・接続方法に対して自動ログイン定義を行うことができます。
RDPクライアント / Tera Term / PuTTY / WinSCP / FFFTP
Oracle SQL*Plus / SI Object Browser / SQL Server Management Studio / PSqlEdit / A5:SQL Mk-2 / MySQL Workbench / DBeaver
AWSマネジメントコンソール / AWS Identity Center ポータル / Microsoft 365 管理センター / Azure Portal / Oracle Cloud Infrastructure / Citrix Cloud / Google Cloud Console / Amazon AppStream 2.0
サイボウズクラウド / Tableau / カオナビ / Backlog / Slack / 楽々ワークフロー / Confluence / Salesforce / SPIRL / Box / DocuSign / eセールスマネージャー / Remix / ServiceNow / JP1 Cloud Service Job Management / New Relic / GitLab / Akamai / Apple Developer Program / CrowdStrike / Google Workspace
※対象システムの仕様変更により対応可否が変更になる場合があります。システム及び接続ツールの仕様により正しく自動ログイン定義が行えない場合がございます。
※表記の製品・サービス名称は各社の商標または登録商標です。
2.API公開による他のシステムとの連携の容易性
ESS AdminONEではWeb UIで行える操作の多くをAPIとして公開しています。公開APIを利用して連携プログラムや外部プログラムを開発することで他システムとの連携や設定メンテナンスの自動化などを行うことが可能です。ESS AdminONEのAPIはREST APIを採用しており、さまざまな開発言語、開発環境でのご利用が可能です。

3.管理レベルの濃淡による最適運用
ESS AdminONEでは管理対象システムの重要度、特権ID侵害発生時の影響やリスク度合いから、管理するレベルの濃淡を設定することが可能です。簡易的な管理レベルを適用する場合、管理対象システムに対する要件を軽減できるためコストを削減でき、すべてのシステムの特権IDを同一レベルで管理する場合と比較すると費用対効果を最適化できます。
ESS AdminONEが提供するすべての保護・安全な利用・点検機能が適用されます。重要なシステム、侵害による影響の大きな特権IDを管理する場合に最適です。管理対象システムに対する要件が多い事例の場合にお薦めです。
特権IDの保護、安全に利用可能な一部機能が適用されます。重要性がそれほど高くないシステム、侵害の影響の程度が低い特権IDを管理する場合に最適です。管理対象システムに対する要件が限定的で、事前の準備はほとんど不要となります。

通常ノードとシンプルノードの比較
| 提供機能 | 通常ノード | シンプルノード | |
|---|---|---|---|
| ①保護機能 | アカウント・パスワード管理方式での保護 | ○ | △ |
| ネットワーク制御方式での保護 | ○ | ○ | |
| SAML認証制御方式での保護 | ○ | - | |
| ポリシーの設定 | ○ | ○ | |
| ②安全な利用 | 申請承認ワークフロー機能 | ○ | ○ |
| 安全な正規利用の仕組み | ○ | △ | |
| 多要素認証・外部認証システム連携 | ○ | ○ | |
| ファイルの受け渡しの制御と統制 | ○ | ○ | |
| ③異常検知 | アカウント棚卸 | ○ | - |
| 不正アクセス検出 | ○ | - | |
| 不正アクセス試行検出 | ○ | - | |
| 操作ログ取得 | ○ | ○ | |
| SSHコマンド検知 | ○ | ○ |
4.充実したサポート
ESS AdminONEも含め、エンカレッジ・テクノロジのメーカーサポートには以下のような特長を有しており、長く安定的なご利用をいただける体制・仕組みを提供しております。
内容が充実
ソフトウェア版で提供される保守サービスは、製品のQA対応、パッチ適用などの過去のサポートに加え、バージョンアップの権利が提供されます。そのため、バージョンアップに際してライセンス再購入などの一時費用は発生しません。
ソフトウェアライフサイクルポリシー上、サポート期限を設けない「永久サポート」を採用しており、旧バージョンであってもサポート終了の設定は行いません。したがってメーカー都合によるバージョンアップは不要です。
製品の基本機能が動作しないなど、障害・不具合の緊急性が高い問題については、24時間365日お問合せに対応します。




