エンカレッジ・テクノロジは4月17日、内外のセキュリティリスクからシステムを守る特権ID管理ソフトウェア「ESS AdminONE(イーエスエス アドミンワン)」の最新バージョン「V1.3」を5月末にシステム証跡監査ツール「ESS REC 6」の最新バージョン「V6.1」を同月中旬にそれぞれ販売を開始すると発表した。

○ESS AdminONEの最新版

ESS AdminONEの最新版であるV1.3では、特権アクセス制御の方式に「SAML(Security Assertion Markup Language)連携方式」を追加。ESS AdminONEであらかじめアクセス申請承認手続きをしておくことで、許可された作業者が特定のWebサービスに対してのみ期間限定でアクセスできる仕組みを提供する。

従来から提供しているパスワード管理方式と、最新バージョンで提供されるSAML連携方式の2種類を管理対象システムで使い分け、OS、ミドルウェア、ネットワーク機器、SaaS/PaaSなどさまざまなシステムの特権IDを最適な方式を用いて一元的に管理することを可能としている。

ESS AdminONEによるSAML連携の仕組み

また、管理対象システム内に存在するアカウントの一覧を定期的に抽出し、管理外のアカウントが存在していないか、過剰な権限などが付与されていないかなどの棚卸を自動実行する機能が新たに追加された。

同機能では前回または任意の棚卸実行結果と比較し、新たに作成されたアカウントや、削除されたアカウント、権限などの属性が変更されているアカウントなど、差分を出力する差分比較機能が搭載されていいる。そのため、前回の棚卸結果を目視で比較する必要がなく、効率的な棚卸を実現するという。

さらに、従来バージョンにおいて選択したパスワード管理方式は「パスワード・認証鍵固定」と「パスワード・認証鍵 自動更新」の2種類だったが、最新版では定期変更の対象とするものの、貸出前後にはランダム化処理をしない管理方式を選択可能になった。

不正アクセスの恐れを察知した場合など、管理者の任意のタイミングでパスワード変更処理を行ったり、APIを介してパスワード変更処理を行うなど、臨機応変なパスワード管理を可能としている。

そして、AdminONE管理サーバが障害などでサービス利用できない状況となった場合でも、管理対象システムに継続してアクセスできるように、緊急用アクセス手段を確保することが可能。

具体的には対象システムごとに緊急用アカウントを指定、パスワードが保存された暗号化圧縮ファイルをパスワード変更の度に生成し、緊急時は暗号化圧縮ファイルを解凍することで、システムに接続するためのパスワードの入手を可能としている。暗号化圧縮ファイルの保存先は外部ストレージなどAdminONE管理サーバとは別ノードに保存することが可能なため、ハードウェア障害などで暗号化圧縮ファイルそのものが失われるリスクに対しても対処が可能となっている。

加えて、申請書番号のカスタマイズ性の向上やESS AdminONEのWeb画面からのシームレスなゲートウェイ接続、同一アカウントの排他制御、レポート出力内容の改善などを実施している。

○ESS REC 6の最新版

一方、ESS REC 6は特権IDを用いて重要システムを保守・運用する際、リスクの高いコンピューター操作を監視・記録することで、誤操作や不正操作によるシステム障害・情報漏洩のリスクを低減するシステム証跡監査ツールだ。

2004年に初期バージョンを販売開始し、昨年4月にアーキテクチャやUIを刷新したESS REC 6をリリース。V6.1では、クラウド利用の増加や在宅からのリモートシステム運用など、コンピューターシステムの保守・運用環境の変化・多様化に対応する機能強化を行った。

システム操作環境をカメラデバイスで記録・監視する機能のカメラセンサーで、システム操作者の本人確認が可能な機能を上位エディションで提供。

従来の上位エディションは常時本人確認のみだったが、V6.1では重要システムへのアクセス時など、特定の条件を満たす操作が発生した際に本人確認を行う「スポット本人確認」機能を追加した。これにより、常時本人確認と「スポット本人確認を状況に合わせて使い分けることで、最適な本人確認環境を実現するという。

スポット本人確認の仕組み

また、相互リモートでの作業監視に関する機能追加として、監視者が管理コンソールを使い、作業者に対して任意のメッセージを送信する機能や、監視者が管理コンソール上から任意のタイミングでシステム操作中の画面をロックアウトする機能を提供する。

さらに、ブラウザ操作の監視・証跡機能を強化し、具体的には、ブラウザのメイン画面上に表示された文字列を検索・分析可能な文字列として取得する新オプション「ブラウザセンサーオプション」を販売開始する。

これにより、ブラウザ上に表示された文字列を検索・分析可能なテキスト情報として取得し、デスクトップやGUI操作と同じように、特定操作の検索や抽出、違反操作などのルール定義が可能になる。なお、対応するブラウザはMicrosoft EdgeとGoogle Chromeブラウザとなる。

加えて、Linux OSに対応したREC Agentを追加し、Linux ServerにREC Agentを導入するとSSHやTelnetまたは直コンソールにおけるコマンド操作などによるリモートまたは直コンソールによるGUI操作を監視・記録することが可能。対応するLinux OSは、Amazon Linux 2, 2023、CentOS 7、同8、Red Hat Enterprise Linux 7、同8、同9、Ubuntu Server 20.04 LTS, 22.04 LTS。

Linux版Agentに対しては、Windows版Agentと同じようにルールや設定の集中管理とAgentの配布をESS REC管理コンソールからできる(Agentプログラムの配布とインストールは、直接Linux Serverに実施)という。

そのほか、アーカイブ機能の改善、冗長構成の選択肢の追加、アクセスキーによるAPI認証の採用などシステム構成・運用面の改善に加え、リアルタイム監視開始通知機能、セッション記録ユーザーフィルタリング機能、REC Agent記録開始通知機能、ポップアップアクション機能といった使い勝手を向上させる機能の追加も行っている。

ESS REC 6」のライセンスはシステム規模や要件に合わせて選択できる3つのエディションと、ソフトウェアを導入する環境や数量によって選択できるAgentライセンスの組み合わせで購入できる。参考価格は「Starter Edition」でクライアント端末5台にAgentを導入した場合、年間ライセンス価格は79万1000円(税別、保守サービス費用を含む)となる。