BCP対策
大規模な自然災害や感染症の拡大、テロ事件など事業継続を脅かすリスク要因は年を追うごとに増加しています。
ITシステムに対する依存度が高い現在、事業を継続するために必要不可欠なのがITシステムの稼働と利用環境を如何に確保するかという点です。
これまで企業で行われてきたのは、データセンターの堅牢性、冗長性、あるいはデータのバックアップなど、システムおよびデータの可用性を高めるための取り組みでした。ところが、現実にはITシステムはシステム運用なしでは継続的に稼働することができません。
したがって、緊急時・災害時におけるシステム運用業務そのものの継続性の確保についても、重要な取り組みのひとつとして検討する必要があります。
システム運用業務継続には、非常時におけるアクセス環境の整備が重要
緊急時・災害時においてシステム運用業務を継続するためには、非常時におけるアクセス環境をどのように整備しておくかがポイントとなります。例えば、交通網の麻痺により出社が困難な事態であっても自宅から業務が継続できるよう在宅による運用オペレーションなどを想定しておく必要があります。
システム運用業務は、システムの管理者権限を有するアカウント(特権ID)を用いて行うため、操作ミスや不正によるシステム障害や情報漏洩などのリスクが高く、その対策として監視カメラや厳格な入退室管理が施された運用ルームで実施されています。単に遠隔地や自宅からシステムに対するアクセス経路を確保しただけでは、監視などセキュリティ対策が不十分で非常にリスクの高い環境になってしまうため、通常とは異なる環境下であってもリスクを低減する必要があります。
安全なリモートアクセス環境実現の鍵とは
運用ルームにおけるセキュリティ対策には以下のような対策が講じられていますが、リモートアクセス環境下であっても安全に実施するためには、これら物理的なセキュリティ対策を論理的な対策に置き換えていくことがポイントです。
運用ルームに立ち入る社員の限定と入退室管理
業務に関係のない社員の立ち入り禁止の他、入退室管理によって入室者の管理とトレースが可能な状況にしている。
監視カメラによる作業者の監視
監視カメラが設置され、運用ルーム内で行われている作業者の作業内容をすべて監視・記録している。
作業の立ち合い
重要なシステム操作や、協力会社・外部委託先ベンダーによる作業の場合には、単独での作業を禁止し、2人組による作業、社員の立ち合いにより監視する。
ファイル持ち込み・持ち出しの制御
サーバーへのファイルの持ち込み(パッチなど)やサーバーからのファイルの持ち出しについては、可搬媒体の持ち込み制限や第三者による許可制、インターネットを経由した受け渡しができないよう一定の制限を設けている。
エンカレッジ・テクノロジからのご提案
弊社は、運用ルームで講じられるシステム運用業務のセキュリティ対策に置き換わる特権アクセス管理ソフトウェア、証跡監査ソフトウェアを提供しています。
特権アクセス管理をオールインワンで実現 「ESS AdminONE」
特権IDおよびその証跡(作業ログ)を取得するオールインワンソフトウェアです。システム管理業務の安全なリモートアクセス環境を実現するコアのテクノロジーを提供します。
- 申請承認ワークフローと承認ベースの特権IDアクセス
- 特権IDを使用した作業ログの取得
- サーバーへのファイルの持ち込み・持ち出しの制御
作業の立ち合いやリモート環境での監視を実現「ESS REC 6」
監視をより強化する必要があるシステムや作業の立ち合いを行う必要があるシステムに対しては、ESS REC 6が有効です。
- システム作業開始時、その他設定によるリアルタイム検知・アラート
- 離れた環境からのリアルタイム監視(作業の立ち合いの代理手段)
- より詳細な作業ログ、監査ログの取得
ESS AdminONEとESS REC 6を用いた構成イメージ
ESS AdminONEとESS REC 6で安全なリモートアクセス環境を実現するイメージの例は下記の通りです。
1.特権を利用した申請承認ベースのアクセス許可
本番システムにアクセスする必要のある作業は、リモートからESS AdminONEにアクセスし、特権を使用した本番システムに対する作業申請書を起票し、提出します。
事前に設定された承認者はメールで送信される承認依頼をもとに、ESS AdminONEにアクセスし、作業申請内容を承認します。これにより作業は、許可された日時に限り、本番システムに特権を使ってアクセスすることができるようになります。
操作対象のシステムに限ってアクセス許可、他のシステムへの横入りなどのリスクを防止することも可能です。(中間に中継サーバーを設置した場合には、その先の各サーバーに対するアクセス制御には対応できません)
2.特権IDを使用した作業の詳細な記録
本番システムに対する操作は、ESS AdminONE内に動画(Windowsサーバーのデスクトップ操作の場合)やテキスト(Linux系システムのコマンド操作の場合)で記録します。監視カメラのない場所からの操作であっても、システム操作の内容はすべて克明に記録、管理者はいつでもその記録データを呼び出して確認することが可能です。
3.リアルタイム監視、作業の立ち合い
管理対象システムやESS AdminONEとの間の中継サーバーにESS REC 6を導入すれば、実際に作業者が本番システムにアクセスを開始した時点や、その他ルール定義によって任意のタイミングで管理者にメール送信などのアラートを送信することが可能になります。
また、作業の様子をリアルタイムで監視し、作業の立ち合いに代わる手段として活用することが可能です。
4.ファイルの持ち込み・持ち出しの制御
サーバーからファイルを持ち込む必要がある場合には、作業申請書に持ち込みファイルを添付することで、持ち込むファイルの内容も含めて承認を得る形となり、許可を得られたファイルだけが持ち込み可能になります。
サーバーからファイルを持ち出す場合には、対象のファイルを一旦、ESS AdminONEの所定の場所にアップロードをしておきますと、作業終了後、確認者による確認を経て持ち出すことが許可されます。
お問い合わせ