機能と特長
特権IDの安全性を向上させる機能と特長
ESS AdminONEは、以下のような機能と特長により、特権IDに関わるリスクを包括的に低減しシステムの安全性を高めることが可能です。
多様な要件に基づくアクセス制御
特権ID使用のアクセス許可は、同梱されるワークフローシステムを用いた申請承認ベースのアクセス許可の方法と使用の都度申請が不要なポリシーベースのアクセス許可を併用可能。
ユーザーやシステムの重要度に応じて柔軟なアクセス制御を実現します。
申請(承認)ベースのアクセス許可
重要システムに対する申請・承認ベースのアクセス許可を実現するためにワークフローシステムが同梱されています。
簡易申請
一般的な申請であれば、最小ステップで申請可能
![簡易申請](/dcms_media/image/af-22-01.jpg)
詳細申請
複数の作業者に対する一括申請などは、詳細申請で細かく申請可能
![詳細申請](/dcms_media/image/af-22-02.jpg)
申請に対する承認プロセスなどの処理フローの定義は、自由にカスタマイズすることも可能です。
標準で設定済の定義
もっともシンプルなワークフロー。申請のみで承認不要。
![簡易WF](/dcms_media/image/af-03_01.png)
標準的なワークフロー。承認ベースのアクセス許可、終了後作業結果を報告し、確認を経て終了。
(上記をベースに夜間・休日の緊急ワークフローを許可することも可能)
![通常WF](/dcms_media/image/af-03_02.png)
カスタム定義の例
大規模な組織における多段承認・多段確認を行うケース。承認、確認それぞれ最大10段までの設定が可能。
![多段WF](/dcms_media/image/af-03_03.png)
ポリシーベースのアクセス許可
利用の度に申請・承認を行うほどのアクセス制限が不要なシステムに対しては、ポリシーベースのアクセス許可をご利用いただくことも可能です。誰がどのシステムのどの特権IDを利用できるかを設定し、アクセス許可がないユーザーには使用させない仕組みを実現します。 同一アカウントを複数ユーザーが同時に使用しても、使用者の特定が可能です。
![ポリシーベースのアクセス許可](/dcms_media/image/af-05.png)
パスワード管理方式
パスワード管理方式は、ESS AdminONEが対象システムのパスワードを掌握・管理してアクセス制御する仕組みです。パスワードレスアクセスや貸与時のパスワードのワンタイム化といったアクセス許可の仕組みだけでなく、パスワード変更・鍵交換の機能も提供しています。
パスワードレスアクセスで安全かつ広範なシステムを管理対象に
「パスワードレスアクセス」とは、特権IDのパスワードをユーザーに開示しない状態で、アクセス許可を行う仕組みのことです。
パスワードを払い出す方法と比べてよりセキュアな運用を可能にします。
![パスワードレスアクセスで安全かつ広範なシステムを管理対象に](/dcms_media/image/af-06.jpg)
パスワードのワンタイム化
アクセス許可のタイミングに合わせたパスワード変更処理とは別に、30日や90日など企業のポリシーで決められた頻度での定期パスワード変更処理を自動で行うことが可能です。手動による任意のタイミングのランダム化にも対応しており、ESS AdminONEの簡単なGUI操作でランダム化を行えます。
![](/dcms_media/image/af-09.png)
多要素認証を用いた本人確認
正規ユーザーのなりすましを防止するために、ワンタイムパスワードによる多要素認証を設定可能です。
※ユーザーとしてドメインユーザーやESS AdminONEのローカルアカウントを使用する場合に対応します。
SAML認証制御方式の場合は、Webサービス側の機能の多要素認証を設定します。
![多要素認証を用いた本人確認](/dcms_media/image/af-07.jpg)
SAML認証制御方式
SAML認証制御方式は、外部IDプロバイダ(IdP)※を使用した認証プロセスにESS AdminONEが介在することで、承認された期間に限り、特定のSaaSなどのWebサービスにのみアクセス可能にする仕組みです。主に以下の2つの目的でご利用いただけます。
※連携可能なIdPは、Microsoft Entra ID、OneLoginとなります。
iDaaSによるシングルサインオン環境における特権利用時の統制
SaaS管理者権限が付与されたユーザーに対し、申請・承認ベースで特定のSaaSのみ期間限定でアクセスを許可する仕組みを提供します。これにより、常時アクセス可能な状況から生じる不正アクセスや権限誤用・濫用などのリスクを低減します。
![iDaaSによるシングルサインオン環境における特権利用時の統制](/dcms_media/image/af_iDaaS01_01.png)
共有型のIdPユーザーの使用者本人特定
管理者権限が付与されたIdPユーザーを複数のユーザーで共有して使用する場合、共有型IdPユーザーでSaaSにログインする際、ESS AdminONEサーバーがSAML認証し、個人IDで使用者を特定してアクセス可否を判断します。
![共有型のIdPユーザーの使用者本人特定](/dcms_media/image/af_iDaaS02.png)
2つの制御方式によるメリット
パスワード管理方式とSAML認証制御方式を使い分けることにより、さまざまなシステムの特権アクセスを一元的に管理し、包括的なリスク対策を講じることが可能です。
![2つの制御方式によるメリット](/dcms_media/image/af_access.png)
点検・監査を実現する仕組み
ESS AdminONEでは、設定された特権ID管理の仕組みがうまく回っているか、異常が発生していないかを点検・監査を行う各種機能が備わっています。
特権ID操作の録画・記録(ゲートウェイ構成の場合のみ)
ESS AdminONEでは、正規ユーザーが特権IDを用いて行った操作内容を事後にトレースできるようすべて記録します。
- WindowsシステムのデスクトップやブラウザなどのGUI操作は動画で記録
- SSH接続によるUNIX/Linuxシステムやネットワーク機器・IoT機器などの操作はコマンドの入出力内容をテキストで取得し記録
![特権ID操作の録画・記録(ゲートウェイ構成の場合のみ)](/dcms_media/image/af-08.png)
リスク操作の検知とアラート(ゲートウェイ構成の場合のみ)
UNIX/Linuxシステムやネットワーク機器などに対するSSHを用いた操作については、事前に要注意操作を検知ルールとして定義しておくことが可能です。作業完了後ただちに操作内容がチェックされ、該当コマンドが実行されていた場合に管理者へメールで通知されます。
![リスク操作の検知とアラート(ゲートウェイ構成の場合のみ)](/dcms_media/image/af-10.png)
構成によって選択可能な操作証跡取得方法
ESS AdminONEを用いた特権ID管理の構成には「①ゲートウェイ構成」と「②貸出ツール構成」があり、構成によって操作証跡の取得方法が異なります。
![](/dcms_media/image/af-11.png)
ESS AdminONEとESS RECは連携設定を行うことで、作業申請に紐づく形で操作記録を管理することが可能となります。
不正アクセス検知
対象システムからログイン履歴を定期的に収集し照合することで、ESS AdminONEを経由していないアクセス有無をレポートとして出力します。これによりアクセス許可を得ていない不正なアクセスを早期に発見できます。
![不正アクセス検知](/dcms_media/image/af-12.png)
ログ収集と突合処理は、最短1時間おきに行う設定が可能です。
そのため、不審なアクセスが発生した場合に遅滞なくそれを検知し、必要な対策を打つことができます。
ログイン失敗履歴の収集
ログイン成功履歴とは別にログイン失敗履歴を定期的に収集することで、ブルートフォース、パスワードスプレーなど攻撃者によるアクセス試行を早期に発見することが可能になります。
アカウント棚卸
管理対象システムに一定間隔でアカウント情報を参照し、存在するアカウントの一覧や前回の棚卸結果と比較し差分をレポートとして出力します。不正に作成されたアカウント、属性変更が行われたアカウント、消し忘れのアカウントを容易に発見可能です。
![コンテナ技術を採用](/dcms_media/image/af_account_01.png)
特権IDの濫用による情報漏洩を防止する仕組み
ファイル入出力管理
システムからの機密情報・個人情報の不適切な持ち出しは特権ID管理の不正使用の中でも特にリスクの高い操作です。そのためファイルの持ち込みや持ち出しには一定の統制が必要です。
ESS AdminONEは、特権IDを使用した重要システムに対するファイルの持ち込み・持ち出しに際して第三者のチェックを必要とする仕組みを提供します。
![ファイル入出力管理](/dcms_media/image/af-13.jpg)
その他運用管理を効率化するための仕組み
ダッシュボード
各ユーザーに必要な情報が一元的に表示されます。
Active Directory連携
ユーザーを独自で作成・管理する必要がなく、ユーザーの異動などの際に設定変更が省力化できます。
メール通知連携
ワークフローステータスの変更により必要なアクションがメールで通知されます。
ノード・作業用アカウント一括登録・変更
大量のノード・作業用アカウントをCSV形式で準備し一括登録・変更することで設定のための工数を大幅に削減します。
柔軟なノード変更・ユーザー変更
管理対象ノード変更やユーザーの削除・変更は、運用中であっても業務を止めずに実行できます。
マルチ言語対応
ユーザー単位で表示言語を日本語・英語から設定可能です。
要件に応じたアクセスポリシーの設定
作業終了予定時間超過後のアクセス許可自動延長の可否をポリシーに応じて設定可能です。
記録データのアーカイブ
蓄積された操作証跡データは、コマンドを用いて外部ストレージに圧縮保存。アーカイブ後のデータもユーザーは意識せず閲覧可能です。
主な特長
ESS AdminONEは、昨今のシステム環境の変化に対応するべく、新たなアーキテクチャを採用した次世代型の特権ID管理ツールとして、以下のような特長を備えています。
ゼロトラストセキュリティ
ゼロトラストを前提として考え、管理対象システムやネットワーク通信に対し、高いセキュリティレベルを維持したまま特権IDの管理が可能となるように考慮しています。
- 通信の暗号化
管理対象システムとの通信はすべて暗号化に対応させることが可能です。
- ポート変更に対応
SSH、RDPなどのポートスキャンに狙われやすいプロトコルは、ポート番号の変更に対応します。
汎用インターフェイスによる高い拡張性
ESS AdminONEの特長の一つが、さまざまなシステムを管理対象として設定できる点があります。その汎用性を実現しているのが、以下にご紹介する3つの汎用インターフェイスになります。
パスワード変更インターフェイス
標準では対応していないシステムのパスワード変更処理を実現するためのインターフェイスです。
本インターフェイスに合わせてパスワード変更処理を行う外部プログラムを開発・配置することで、ESS AdminONEからのパスワード変更要求に合わせてパスワード変更処理が可能となります。
![パスワード変更インターフェイス](/dcms_media/image/af-14.png)
ログイン履歴収集インターフェイス
標準では不正アクセス検知に対応していないシステムに対し、同様にログ検査機能を提供できるようにするためのインターフェイスです。対象システムからアクセスログを収集し、ESS AdminONEが必要な形式に変換する外部プログラムを用いることで実現します。
![ログイン履歴収集インターフェイス](/dcms_media/image/af-15.png)
- パスワード変更インターフェイス、ログイン履歴収集インターフェイスは、仕様が公開されており、お客様自身で外部プログラムを開発いただくことも可能です。また、弊社がニーズに合わせて開発した外部プログラムをESS AdminONEのオプションとして販売しておりますので、AdminONEサーバーのバージョンアップを行わなくても新たなシステムを管理対象に加えることが可能となります。
自動ログイン定義
特権IDを使用してシステムに接続するためのツールやSaaS・Webシステムを「パスワードレスアクセス」に対応させるために定義・設定を行うことが可能です。
定義は、SaaS/Webアプリケーションなどブラウザを用いてアクセスするシステム、データベースなどWindows上で動作する専用ツールを使用するシステム両方対応しています。定義の作成は、専用ツールを用いてノンコードで対応できますので、お客様自身で定義を行うことが可能です。
「パスワードレスアクセス」により、必ずしもパスワード変更処理に対応しなくても、申請承認ベースのアクセス許可を実現できるため、管理可能となるシステムの汎用性を高めるツールとしてご利用いただけます。
![自動ログイン定義](/dcms_media/image/af-16.jpg)
API公開
人による特権IDの使用だけではなく、システム連携やRPAなどを用いてシステム管理の自動化を行う際に使用される管理者権限の管理にも対応。さらに、ESS AdminONEのインターフェイスはREST APIをベースとし公開もしているため、外部システムやRPAとデータ連携ができ、システム運用における自動化・効率化に貢献します。
![API公開](/dcms_media/image/af-17.jpg)
コンテナ技術を採用
特権ID管理ツールとしては業界で初めてコンテナ技術を採用していますので、OSのバージョンや種類に依存せずESS AdminONEを稼働させることができます。プラットフォームの種類やバージョンに依存せず、長期にわたり安定的な継続稼働を実現します。
![コンテナ技術を採用](/dcms_media/image/af-20.jpg)