図1. ESS AdminONEの概要
図2. ESS AdminONEによるSAML連携の仕組み
図3. 最新バージョンESS AdminONE V1.3のアクセス制御方法
図4. アカウント制御による差分比較画面のイメージ
■ ESS AdminONEとは
ESS AdminONEは、コンピューターシステムに対してあらゆる権限を有する特権IDの適切な管理を行うことで、内外のセキュリティ脅威からシステムを守り、システム運用の安全と安定稼働を実現します。初版発売以降もバージョンアップやオプション提供により、機能拡張や管理対象システムの拡充を行ってまいりました。
◇ ESS AdminONE製品概要ページ: https://product.et-x.jp/adminone/
画像1: https://www.atpress.ne.jp/releases/391695/LL_img_391695_1.png
図1. ESS AdminONEの概要
■ ESS AdminONE V1.3の強化点
最新のバージョンとなるESS AdminONE V1.3では、以下のような点を強化・改善します。近年利用が増加しているSaaS/PaaSの、管理者アカウントにおける統制を強化する機能拡張により、より多様なシステムへの対応と、お客様の要件に対応いたします。
【1】 SAML(※1)連携対応により、SaaS/PaaSなどWebサービスの特権ID管理を強化
最新バージョンでは、特権アクセス制御の方式に「SAML連携方式」が追加されます。SAML連携方式とは、外部IDプロバイダ(IdP)(※2)を使用した認証プロセスにESS AdminONEが介在することでアクセス制御を行う方式です。ESS AdminONEで予めアクセス申請承認手続きをしておくことで、許可された作業者が特定のWebサービスに対してのみ期間限定でアクセスできる仕組みを提供します。
これにより、iDaaSで認証する複数Webサービスのシングルサインオン(※3)環境において、よりきめ細やかな統制を実現します。
画像2: https://www.atpress.ne.jp/releases/391695/LL_img_391695_2.png
図2. ESS AdminONEによるSAML連携の仕組み
従来提供しているパスワード管理方式と、最新バージョンで提供されるSAML連携方式の2種類を管理対象システムによって使い分けることで、OS、ミドルウェア、ネットワーク機器、SaaS/PaaSなどさまざまなシステムの特権IDを最適な方式を用いて一元的に管理することが可能となります。
画像3: https://www.atpress.ne.jp/releases/391695/LL_img_391695_3.png
図3. 最新バージョンESS AdminONE V1.3のアクセス制御方法
なお、連携可能なIdPは、Microsoft Entra ID、Okta、OneLoginとなります。
【2】 アカウント棚卸機能の新設
管理対象システム内に存在するアカウントの一覧を定期的に抽出し、管理外のアカウントが存在していないか、過剰な権限などが付与されていないかなどの棚卸を自動実行する機能が新たに追加されます。本機能では、前回または任意の棚卸実行結果と比較し、新たに作成されたアカウントや、削除されたアカウント、権限などの属性が変更されているアカウントなど、差分を出力する差分比較機能が搭載されています。そのため、前回の棚卸結果を目視で比較する必要がなく、効率的な棚卸を実現します。
画像4: https://www.atpress.ne.jp/releases/391695/LL_img_391695_4.png
図4. アカウント制御による差分比較画面のイメージ
【3】 より臨機応変なパスワード管理が可能に
従来バージョンにおいて選択いただけたパスワード管理方式は、システムとしてパスワード変更を行わない「パスワード・認証鍵固定」か、定期変更設定や貸出前後にランダム化処理を行う「パスワード・認証鍵 自動更新」の2種類でした。ESS AdminONE V1.3では前述に加え、定期変更の対象とするものの、貸出前後にはランダム化処理をしない管理方式を選択可能になりました。
また、不正アクセスの恐れを察知した場合など、管理者の任意のタイミングでパスワード変更処理を行ったり、API(※4)を介してパスワード変更処理を行うなど、より臨機応変なパスワード管理が可能となりました。
【4】 管理サーバー障害時の緊急アクセス手段の確保
AdminONE管理サーバーが障害等によりサービス利用できない状況となった場合でも、管理対象システムへ継続してアクセスできるように、緊急用アクセス手段を確保することが可能となります。
具体的には対象システムごとに緊急用アカウントを指定、パスワードが保存された暗号化圧縮ファイルをパスワード変更の度に生成します。緊急時は、暗号化圧縮ファイルを解凍することで、システムに接続するためのパスワードを入手可能となります。
暗号化圧縮ファイルの保存先は、外部ストレージなどAdminONE管理サーバーとは別ノードに保存することが可能ですので、ハードウェア障害等によって暗号化圧縮ファイルそのものが失われるリスクに対しても対処が可能となっております。
【5】 その他の拡張・改良点
◇ 申請書番号のカスタマイズ性の向上
申請書を識別する番号について、これまでの単純なプレフィックス記号と連番の組み合わせによる定義を強化し、年月などを組み合わせることが可能になります。
◇ ESS AdminONEのWeb画面からのシームレスなゲートウェイ接続
専用ゲートウェイ構成で使用する場合に、これまで接続するシステムによってRDPやSSHターミナルソフトを起動し再度認証を行う手続きが必要だった点を改善し、ESS AdminONEのWeb画面上からゲートウェイにシームレスに接続する仕組みを新たに設けます。
これにより、作業者はESS AdminONEのWeb画面で1回認証手続きを行うだけで、ゲートウェイ経由による管理対象システムへのアクセスをシングルサインオンで提供します。
なお、サポートする接続ツールは、リモートデスクトップクライアント(Windows Serverの場合)とTera Term(UNIX/Linux及びSSH接続システム)となります。その他のツールを利用する場合は、セッショントークン(※5)を手動で入力します。
◇ 同一アカウントの排他制御
ESS AdminONEは同一の特権IDを同時に複数の作業者に貸し出しても、作業者の特定が可能であることから、特権IDの排他制御は機能として有していませんでした。しかしながら、一部システム側の仕様として同一アカウントを同時使用できない場合があり、最新バージョンでは、同一アカウントを同時に貸し出さないよう、新規申請時に既に利用予定のあるアカウントは対象にできないよう制御する設定が可能となります。
◇ レポート出力内容の改善
ESS AdminONEで出力されるレポートの一部を改善し、これまでは複数のレポートを横断的に確認する必要があった、申請時の終了時間を超過して行われた作業の有無などを一つのレポートで確認することが可能となります。
◇ その他使い勝手の向上
その他、ユーザーインターフェースの改善や、冗長構成パターンの見直し、過去データの一括削除などのメンテナンス機能を強化し、システム全体の使い勝手と運用性を向上します。
■ 販売開始時期
ESS AdminONE V1.3は2024年5月末に販売開始いたします。
当社では、今後もより多くのお客様の課題解決を目指し、ESS AdminONEの機能強化に邁進してまいります。
■ 当社について
2002年に創業。金融、公共、通信などの社会インフラの一端を担う大規模システム運用管理及び運用統制を実現するソフトウェアの開発・販売を手掛けています。システム証跡監査ツール14年連続市場シェア1位(※6)を獲得している「ESS REC」をはじめ、当社ソフトウェアは多くのお客様に採用されています。
名称 : エンカレッジ・テクノロジ株式会社
(東証スタンダード市場:3682)
代表者の役職・氏名: 代表取締役社長 石井 進也
本社 : 東京都中央区日本橋浜町3-3-2 トルナーレ日本橋浜町7F
URL : https://www.et-x.jp/
事業内容 : 金融、公共、通信などの社会インフラを担う
ITシステムの運用と統制強化を支援する
ソフトウェアを開発・販売。
14年連続市場シェア1位を獲得するESS RECを含め
累計での採用企業数は約750社。(2024年3月末現在)
資本金 : 5億738万円 (2024年3月末)
設立年月日 : 2002年11月1日
※1 SAML(Security Assertion Markup Language):Webサービス間で認証および認可情報を安全に共有するためのXMLベースの標準規格。
※2 IdP:(Identity Provider):SaaSなどWebサービス(Service Provider)が、SAML規格に沿ってユーザー認証・認可を行う際の利用するサービス。
※3 シングルサインオン:1度のユーザー認証で複数のシステムの利用が可能になる仕組み。
※4 API(Application Programming Interface):人の操作を介さずにシステム間で直接命令の受け渡しを行い連携ができるようにするシステム専用インターフェース。
※5 セッショントークン:認証されたクライアントとサーバー間のセッションを識別する識別子。
※6 出典:内部脅威対策ソリューション市場の現状と将来展望
2023年度版【サイバーセキュリティソリューション市場19版目】デロイト トーマツ ミック経済研究所株式会社及び同社における過去の調査結果 https://mic-r.co.jp/mr/03010/
※文中に記載されている会社名、製品名、サービス名は各社の登録商標または商標です。
