エンカレッジ・テクノロジは、内外のセキュリティリスクからシステムを守る次世代型特権ID管理ソフトウェア「ESS AdminONE(イーエスエス アドミンワン)」の最新バージョンV1.3を、2024年5月末に販売開始します。
エンカレッジ・テクノロジ「ESS AdminONE」
◇ ESS AdminONE製品概要ページ:
https://product.et-x.jp/adminone/
ESS AdminONEは、コンピューターシステムに対してあらゆる権限を有する特権IDの適切な管理を行うことで、内外のセキュリティ脅威からシステムを守り、システム運用の安全と安定稼働を実現します。
初版発売以降もバージョンアップやオプション提供により、機能拡張や管理対象システムの拡充を行なわれてきました。
■ ESS AdminONE V1.3の強化点
最新のバージョンとなるESS AdminONE V1.3では、以下のような点を強化・改善します。
近年利用が増加しているSaaS/PaaSの、管理者アカウントにおける統制を強化する機能拡張により、より多様なシステムへの対応と、お客様の要件に対応します。
【1】 SAML(※1)連携対応により、SaaS/PaaSなどWebサービスの特権ID管理を強化
最新バージョンでは、特権アクセス制御の方式に「SAML連携方式」が追加されます。
SAML連携方式とは、外部IDプロバイダ(IdP)(※2)を使用した認証プロセスにESS AdminONEが介在することでアクセス制御を行う方式です。
ESS AdminONEで予めアクセス申請承認手続きをしておくことで、許可された作業者が特定のWebサービスに対してのみ期間限定でアクセスできる仕組みを提供します。
これにより、iDaaSで認証する複数Webサービスのシングルサインオン(※3)環境において、よりきめ細やかな統制を実現します。
従来提供しているパスワード管理方式と、最新バージョンで提供されるSAML連携方式の2種類を管理対象システムによって使い分けることで、OS、ミドルウェア、ネットワーク機器、SaaS/PaaSなどさまざまなシステムの特権IDを最適な方式を用いて一元的に管理することが可能となります。
なお、連携可能なIdPは、Microsoft Entra ID、Okta、OneLoginとなります。
【2】 アカウント棚卸機能の新設
管理対象システム内に存在するアカウントの一覧を定期的に抽出し、管理外のアカウントが存在していないか、過剰な権限などが付与されていないかなどの棚卸を自動実行する機能が新たに追加されます。
本機能では、前回または任意の棚卸実行結果と比較し、新たに作成されたアカウントや、削除されたアカウント、権限などの属性が変更されているアカウントなど、差分を出力する差分比較機能が搭載されています。
そのため、前回の棚卸結果を目視で比較する必要がなく、効率的な棚卸を実現します。
【3】 より臨機応変なパスワード管理が可能に
従来バージョンにおいて選択いただけたパスワード管理方式は、システムとしてパスワード変更を行わない「パスワード・認証鍵固定」か、定期変更設定や貸出前後にランダム化処理を行う「パスワード・認証鍵 自動更新」の2種類でした。
ESS AdminONE V1.3では前述に加え、定期変更の対象とするものの、貸出前後にはランダム化処理をしない管理方式を選択可能になりました。
また、不正アクセスの恐れを察知した場合など、管理者の任意のタイミングでパスワード変更処理を行ったり、API(※4)を介してパスワード変更処理を行うなど、より臨機応変なパスワード管理が可能となりました。
【4】 管理サーバー障害時の緊急アクセス手段の確保
AdminONE管理サーバーが障害等によりサービス利用できない状況となった場合でも、管理対象システムへ継続してアクセスできるように、緊急用アクセス手段を確保することが可能となります。
具体的には対象システムごとに緊急用アカウントを指定、パスワードが保存された暗号化圧縮ファイルをパスワード変更の度に生成します。
緊急時は、暗号化圧縮ファイルを解凍することで、システムに接続するためのパスワードを入手可能となります。
暗号化圧縮ファイルの保存先は、外部ストレージなどAdminONE管理サーバーとは別ノードに保存することが可能ですので、ハードウェア障害等によって暗号化圧縮ファイルそのものが失われるリスクに対しても対処が可能となっています。
【5】 その他の拡張・改良点
◇ 申請書番号のカスタマイズ性の向上
申請書を識別する番号について、これまでの単純なプレフィックス記号と連番の組み合わせによる定義を強化し、年月などを組み合わせることが可能になります。
◇ ESS AdminONEのWeb画面からのシームレスなゲートウェイ接続
専用ゲートウェイ構成で使用する場合に、これまで接続するシステムによってRDPやSSHターミナルソフトを起動し再度認証を行う手続きが必要だった点を改善し、ESS AdminONEのWeb画面上からゲートウェイにシームレスに接続する仕組みを新たに設けます。
これにより、作業者はESS AdminONEのWeb画面で1回認証手続きを行うだけで、ゲートウェイ経由による管理対象システムへのアクセスをシングルサインオンで提供します。
なお、サポートする接続ツールは、リモートデスクトップクライアント(Windows Serverの場合)とTera Term(UNIX/Linux及びSSH接続システム)となります。
その他のツールを利用する場合は、セッショントークン(※5)を手動で入力します。
◇ 同一アカウントの排他制御
ESS AdminONEは同一の特権IDを同時に複数の作業者に貸し出しても、作業者の特定が可能であることから、特権IDの排他制御は機能として有していませんでした。
しかしながら、一部システム側の仕様として同一アカウントを同時使用できない場合があり、最新バージョンでは、同一アカウントを同時に貸し出さないよう、新規申請時に既に利用予定のあるアカウントは対象にできないよう制御する設定が可能となります。
◇ レポート出力内容の改善
ESS AdminONEで出力されるレポートの一部を改善し、これまでは複数のレポートを横断的に確認する必要があった、申請時の終了時間を超過して行われた作業の有無などを一つのレポートで確認することが可能となります。
◇ その他使い勝手の向上
その他、ユーザーインターフェースの改善や、冗長構成パターンの見直し、過去データの一括削除などのメンテナンス機能を強化し、システム全体の使い勝手と運用性を向上します。
■ 販売開始時期
ESS AdminONE V1.3は2024年5月末に販売開始します。
※1 SAML(Security Assertion Markup Language):Webサービス間で認証および認可情報を安全に共有するためのXMLベースの標準規格。
※2 IdP:(Identity Provider):SaaSなどWebサービス(Service Provider)が、SAML規格に沿ってユーザー認証・認可を行う際の利用するサービス。
※3 シングルサインオン:1度のユーザー認証で複数のシステムの利用が可能になる仕組み。
※4 API(Application Programming Interface):人の操作を介さずにシステム間で直接命令の受け渡しを行い連携ができるようにするシステム専用インターフェース。
※5 セッショントークン:認証されたクライアントとサーバー間のセッションを識別する識別子。
※6 出典:内部脅威対策ソリューション市場の現状と将来展望
2023年度版【サイバーセキュリティソリューション市場19版目】デロイト トーマツ ミック経済研究所株式会社及び同社における過去の調査結果
※文中に記載されている会社名、製品名、サービス名は各社の登録商標または商標です。