2021年10月26日 15:00
システム運用のリスク管理ソリューションを提供するエンカレッジ・テクノロジ株式会社(本社:東京都中央区、代表取締役社長:石井 進也、以下、「当社」)は、次世代型特権ID管理ソフトウェアの最新バージョン「ESS AdminONE V1.1(イーエスエス アドミンワン)」を2021年11月2日(火)より販売開始することになりましたので、お知らせいたします。本年3月に新製品として販売開始して以降、最初の大型バージョンアップとなります。
■「ESS AdminONE」とは
コンピューターシステムに対してあらゆる権限を有する特別なアカウント「特権ID」は、その性質上、不正使用・権限濫用などのリスクが高いことから適切な管理が必要とされています。
図1. ESS AdminONEのユーザーインターフェイス(特権ID貸出履歴・録画機能)
ESS AdminONEは、特権IDの適切な管理を行うことで、特権IDの管理不備に係るセキュリティリスクを低減し、コンピューターシステムの安全を担保するソフトウェアで、以下のような機能・特長を有します。
●さまざまなシステムを統合的に管理
オンプレミスのOS・ミドルウェアはもちろん、クラウドサービス(IaaS・SaaS)、カスタムアプリケーション、ネットワーク機器、IoT機器など、さまざまなシステムを統合的に管理することが可能。
●特権IDの管理に必要十分な機能をワンパッケージで提供
アクセス制御、パスワード・鍵管理、証跡取得、ファイル受け渡し管理、ログ検査など特権IDの管理に必要な要件を標準パッケージとして提供、オプション費用を掛けることなく利用可能。
●全面API公開によるシステム連携
ESS AdminONEサーバーはREST API(※1)を全面的に公開しており、システム間連携やRPA(※2)を使った運用自動化における特権IDの一時貸与が可能。
●ゼロトラストネットワーク(※3)を前提とした多層的な防御
委託先によるリモートアクセス、クラウド上のシステムなど、ネットワークの境界をまたぐ特権アクセスに対して、正規アクセスのみを正しく識別できるよう多要素認証、ゲートウェイによるアクセス制御など複数の要素を多層的に組み合わせ対応するといった、ゼロトラストネットワークの考えに基づく安全なアクセス環境を実現。
■最新バージョン「ESS AdminONE V1.1」の強化点
新製品として販売以来、最初の大型バージョンアップであるESS AdminONE V1.1は、「(1)さまざまなシステムへの対応をより汎用的に」「(2)特権IDに係るリスクをより確実かつ早期に発見」というテーマに沿って、以下のような新機能の提供・既存機能の強化を行いました。
●汎用パスワード変更インターフェイス
さまざまなシステムの特権IDのパスワード変更処理を可能にする、「汎用パスワード変更インターフェイス」を新たに実装しました。本インターフェイスに合わせた外部プログラムと連携することで、Windows/Linux Server以外の特権IDについてもパスワード変更処理を行うことができるようになります。
インターフェイスの仕様は公開されており、お客様自身で外部プログラムを開発することが可能です。また、ニーズの多いシステムの汎用的な外部プログラムについては、当社が外部モジュールパッケージとして提供するため、お客様自身が外部プログラムを開発することなく、パスワード変更処理を行うことが可能となります。
●Amazon Web Services、Microsoft Azure、Microsoft 365の特権IDのパスワード変更に対応
ESS AdminONE V1.1のリリースに合わせて、Amazon Web Services、Microsoft Azure及びMicrosoft 365の特権IDのパスワード変更処理を行うことが可能となりました。本対応は、前述した汎用パスワード変更インターフェイスと連携する外部モジュールパッケージとして提供されます。
Amazon Web Servicesについては、IAMユーザーがWebベースの管理コンソールへログインする際に使用するパスワードの変更処理に加え、API/CLI(※4)アクセスの際に使用するアクセスキーの有効化・無効化処理にも対応します。
Microsoft Azure、Microsoft 365については、Azure ADのパスワード変更処理を行う外部モジュールパッケージを提供します。なお、Azure AD用の外部モジュールパッケージは、12月初旬の提供開始を予定しております。
●Chrome/Edgeブラウザ専用のパスワードレスアクセス「OA for Browser」
SaaS、IaaS管理コンソール、Webシステムなどブラウザを使ってアクセスするシステムに対し、パスワードを開示しない「パスワードレスアクセス」が可能となる専用ツール「OA for Browser」を新たに提供します。
パスワードレスアクセスの設定は、認証画面に合わせてお客様自身が設定できる専用の定義ツール「OA Prep for Browser」を用いることで、ノンコードでさまざまなシステムのパスワードレスアクセスが設定可能となります。また、動的にURLやHTML要素が変更するシステムや画面遷移を伴うインターフェイスなど多様な認証インターフェイスに対応しています。(※5)
尚、「OA for Browser」は、ESS AdminONEサーバー本体のバージョンに依存せずご利用いただけます。そのため旧バージョンをご使用されているお客様は、ESS AdminONEサーバーをバージョンアップすることなく、Chrome/Edgeを使用したWebシステムへのパスワードレスアクセスを実現することが可能です。
図4. 「OA for Browser」の動作イメージ(AWSマネジメントコンソールへのパスワードレスアクセスの例)
当社では、「OA for Browser」を使用してパスワードレスアクセスが実現可能なSaaS・Webサービスの検証を行っており、現時点で以下のようなWebサービスについて動作確認をしております。(※6)
・Amazon Web Services (IAMユーザーを使用したマネジメントコンソールへのログイン)
・Microsoft Azure管理ポータル
・Microsoft 365管理センター
・Google Cloudコンソール
・Salesforce
・Slack
・Okta
・OneLogin
・VMware vSphere Client
・Tableau
・Webex
・Zoom
●汎用ログイン履歴収集インターフェイス
さまざまなシステムに対してアクセスログの収集と突合を実現するため新しく提供される機能です。
ESS AdminONEは、自身が保持する特権IDの貸し出し履歴と対象システムが保持するアクセスログを照合し、ESS AdminONEが掌握していない不審なアクセスを抽出します。従来のバージョンでは、Windows/Linux ServerなどOSのアクセスログに対応していましたが、本機能によって、OS以外のさまざまなシステムにも同等の処理が可能となります。
画像5: https://www.atpress.ne.jp/releases/281950/LL_img_281950_5.png
図5. 汎用ログイン履歴収集インターフェイスの概念図
対象システムごとに指定するフォルダに配置されたCSVファイルやイベントログアーカイブ形式のログを一定間隔で取り込み、突合結果をレポートとして表示します。ESS AdminONEが取り込むファイルの形式に合わせて中間加工を施せば、どのようなシステムであっても対応可能です。
●ログイン失敗履歴の収集
対象システムから収集するアクセスログについて、従来のログイン成功ログに加え、ログイン失敗ログを収集し、レポート表示できるようになりました。
ログイン失敗ログは、パスワード総当たり攻撃いわゆるブルートフォースアタック(※7)などセキュリティ脅威にさらされている場合に発生するものであり、本機能によって早期にリスクを察知し対処にあたることが可能となります。
画像6: https://www.atpress.ne.jp/releases/281950/LL_img_281950_6.png
図6. ログイン失敗履歴レポート
●ログ収集頻度の短縮化
ログイン成功ログは、従来のバージョンと比較し大幅に収集頻度を短縮し、最短で1時間おきに収集できるようになりました。この収集頻度は、ログイン失敗履歴にも適用されます。
これにより不正アクセスの発見をよりタイムリーに行い早期に対処することが可能となります。
■参考価格情報(消費税別)
・ESS AdminONE Base 10 SE (10ノードまでの定額ライセンス、一部機能限定版)
永久ライセンス価格:1,125,000円/年間ライセンス価格:600,000円
・ESS AdminONE Base 120 EE(120ノードまでの定額ライセンス、フル機能版)
永久ライセンス価格:8,000,000円/年間ライセンス価格:4,260,000円
・外部モジュールパッケージ:
1種類につき 永久ライセンス価格:200,000円/年間ライセンス価格:105,000円
※永久ライセンスの場合は、保守サービス費用が別途発生。
※年間ライセンスの場合は、同期間における保守サービス費用を含む。
■販売開始日
2021年11月2日(予定)
■関連リンクのご案内
ESS AdminONE製品概要ページ: https://www.et-x.jp/product/adminone/
■当社について
2002年に創業。金融、通信などの社会インフラの一端を担う大規模システム運用管理及び運用統制を実現するソフトウェアの開発・販売を手掛けています。システム証跡監査ツール11年連続市場シェア1位(※8)を獲得している「ESS REC」をはじめ、当社ソフトウェアは多くのお客様に採用されています。
名称 : エンカレッジ・テクノロジ株式会社(東証第一部:3682)
代表者の役職・氏名: 代表取締役社長 石井 進也
本社 : 東京都中央区日本橋浜町3-3-2 トルナーレ日本橋浜町7F
URL : https://www.et-x.jp/
事業内容 : 金融、通信、公共などの社会インフラを担う
ITシステムの運用と統制強化を支援する
ソフトウェアを開発・販売。
11年連続市場シェア1位(※8)を獲得するESS RECを含め
累計での採用企業数は約670社。(2021年9月末現在)
資本金 : 5億738万円 (2021年9月末)
設立年月日 : 2002年11月1日
※1 API(Application Programming Interface):人の操作を介さずにシステム間で直接命令の受け渡しを行い連携ができるようにするシステム専用インターフェイス。REST APIはAPIの一種で、Webシステムと同様にHTTPSでシステム間連携を行う規格。
※2 RPA(Robotic Process Automation):人が手作業で行う操作を自動で実行するソフトウェアロボット。
※3 ゼロトラストネットワーク:ファイアウォールの内側は安全、外側は危険といった境界防御の考え方ではなく、社内ネットワークであっても不正アクセスのリスクがあり、完全に安全な領域は存在しないという前提に立つ考え方。昨今のサイバー攻撃の巧妙化に伴い境界防御が成立しなくなっている状況において、セキュリティ対策はこのゼロトラストネットワークを前提として考えなければならないと言われている。
※4 CLI(Command Line Interface): Windowsデスクトップのようなグラフィックのインターフェイスではなく、命令文をテキストで送信し実行結果をテキストで受信する対話型のユーザーインターフェイス、Amazon Web Servicesでは、Webブラウザを使ったユーザーインターフェイスとは別にCLIベースのインターフェイスが用意されており、コマンド操作で管理できる。
※5 認証インターフェイスの仕様によっては対応できないシステムがございます。
※6 2021年10月時点の情報。認証インターフェイスの変更によって対応状況は変更される場合がございます。
※7 パスワードクラックに用いられる手法の1つで、特定の文字数および文字種で設定される可能性のある組み合わせのすべてを試すことで不正ログインを試みる攻撃手法。
※8 出典:情報セキュリティソリューション市場の現状と将来展望2010
同2011、2012、2013、2014、2015、2016、2017【内部漏洩防止ソリューション編】株式会社ミック経済研究所
サイバーセキュリティソリューション市場の現状と将来展望 2018年版 同2019年版【ガバナンス&監査編】株式会社ミック経済研究所
内部脅威対策ソリューション市場の現状と将来展望2020年度【サイバーセキュリティソリューション市場16版目】デロイト トーマツ ミック経済研究所株式会社
※文中に記載されている製品名及び会社名は、商標または商標登録です。