ソリューション・サービス

特権ID管理

ESS AdminControl(EAC) 製品概要

ESS AdminControl(EAC)ロゴ

ESS AdminContorol (EAC) は、内外のセキュリティ脅威から重要システムを守るために行うべき特権IDの管理プロセスを実現するシステムです。

■特権ID管理のあるべきプロセス

特権ID管理のあるべきプロセスとは、事前申請の基づくID貸与、ID・パスワードの厳格な管理、不正使用を防止する安全なID貸与、定期的な点検・監査を経て行われます

事前申請に基づくID貸与

高い権限を有する特権IDは、システム管理担当者にその管理を委ねるのではなく、使用する必要がある場合にのみ使用できるよう、事前の申請・承認を経て、貸し出すような管理プロセスを構築する必要があります。

ID・パスワードの厳格な管理

パスワードの漏えい等による不正使用を防止するために、特権IDのパスワードは、十分に複雑かつ規則性のない設定を行うとともに、定期的に変更を行う必要があります。
また、一時的に使用されたIDの抹消忘れなど、管理されていないIDの不正使用を防止するために定期的なIDの棚卸しを行うことが必要です。

不正使用を防止する安全なID貸与

特権IDの貸与に当たっては、不正に第三者に使用されないよう、十分な安全性を確保することが必要です。

定期的な点検・監査

構築した管理プロセスが正常に機能していることを常にモニタリングし、管理プロセスの不備によるセキュリティ上の問題があれば、改善を行っていくことが重要です。
特に特権IDの場合、その権限の高さゆえ、正当なプロセスによって貸与された使用者の権限濫用および誤用リスクについても、点検・監査の対象とすべきポイントになります。

■EAC で実現する機能

申請・承認のプロセスに基づいた特権IDの貸与

申請・承認のプロセスに基づいた特権IDの貸与をEAC、及びESS SmartIT Operationワークフロー(SIOワークフロー)で実現することが可能です。
SIOワークフローは、EACで同梱される機能です。
また、EACで申請・承認のプロセスの管理や特権ID貸与等のタスクを実施することが可能です。

定期パスワード変更処理

EACは、管理対象としているシステムの特権IDのパスワードについて定期的に変更処理を自動化します。
完全にランダムな文字列をパスワードとして自動で設定するため、推測されづらい強固なパスワードが設定されます。
変更スケジュール、パスワードの複雑性に関する定義はシステムごとに設定できます。
パスワードの変更実行履歴は、レポートで確認できます。

パスワードを知らせず特権IDを貸与

EACでは、特権IDを貸与する際に、専用の貸出ツール「Operation Authenticator」を使用すると、特権IDのパスワードを知らせずに貸与することが可能です。(パスワード隠蔽方式による貸与)
そのため、パスワードが第三者に漏れることによる、なりすまし等のリスクが低下します。
また、使用する特権IDが共有型であっても、その利用者を特定することで、共有ID利用の問題についても解消します。

※パスワード隠蔽方式は、OSアカウントに対するリモートデスクトップ接続(Windows)およびTera Termを使用したSSH接続(UNIX/Linux)に対応します。データベースのアカウントやOSアカウントに対するその他の接続方法については、パスワード通知方式で貸与することが可能です。

各種監査用レポート

EACには、ログイン履歴やログイン試行、パスワード変更履歴、アカウント貸与履歴など、特権IDの点検・監査に利用できる監査用レポートのテンプレートが標準で用意されており、これらのレポートを使って特権ID管理状況のモニタリングを確認することができます。
レポートは、カスタマイズすることも可能です。

EAC の導入による効果

共有IDの利用で管理対象のアカウント数を大幅に削減

EACは共有IDを使用していても、作業者を特定できる環境を提供します。
従来は作業者を特定するため、個人ごとにアカウントを用意する必要がありましたが、EAC導入後はそれらのアカウントを削減し、グループや業務といった単位で特権IDを共有することが可能になります。

申請・承認、アカウント払出しなど一連のプロセスを効率化・省力化

EACでは、申請・承認、アカウントの準備、作業の報告、点検・監査まで一連のプロセスをSIOワークフロー上で行うため、紙ベースでの申請・承認手続きやID管理を実施している企業の負荷を軽減します。

特権ID利用時の統制強化

これまで特権ID管理の強化が実現できていなかった企業にとっては、システム管理者の作業工数を増やすことなく、効率的な特権ID管理を実現できます。

また、アカウント管理者の負荷増大を懸念して作業者にアカウントを配布したまま、管理を各作業者の良識に任せていた企業にとっては、アカウント管理者の負担を増大することなく承認ベースでの権限付与の仕組みを導入することができます。

システム構成

システム内にEACサーバ(EAC、SIOワークフロー)を導入することにより、以下のことが実現できます。

  • 特権ID貸与の申請・承認、及び点検と監査の実現
  • 作業者への特権IDの貸与
  • 作業者から管理対象(各種データベース、UNIX/Linuxサーバ、Windowsサーバ(AD))への特権IDを使用したログイン
EACサーバーをシステム内に導入すると、作業対象に応じた特権IDの貸与・管理が可能になります