ESS AdminGate(EAG)

オールインワンで実現するサーバーのセキュリティ対策

ゼロトラスト時代に講じるべきシステムのセキュリティ対策

システムがオンプレミスからクラウドに移行し、ユーザーはあらゆる場所からシステムにアクセスできるようになりました。
しかし、巧妙化するサイバー攻撃に対する脅威の高まりなどを背景に、今や社内のネットワークが安全であるという神話は通用しません。

そんなゼロトラスト時代に内外のセキュリティリスクからシステムを守るためには、以下のような考え方に基づくセキュリティ対策が必要です。

ESS AdminGateがサーバーやクラウドサービスのセキュリティリスクを包括的に解決します

特長1 シンプルな構成と簡単な導入設定

シンプルな構成

ESS AdminGate管理サーバー(コントローラー)を操作端末と管理対象システムの間に配置し、ゲートウェイとして構成することでセキュリティ対策・統制に必要な機能をオールインワンで提供します。
※利用方法によっては管理対象システムにプログラムの導入が必要です。

簡単な導入・設定

ESS AdminGate(EAG)は仮想アプライアンス方式のため、VMWare, Hyper-Vなどの仮想環境あるいはアマゾン ウェブ サービスなどのクラウド環境にデプロイすればすぐにご利用できます。 ソフトウェアやミドルウェアなどのインストール作業は不要です。

特長2 あらゆるシステムを管理可能

EAGでは、正規管理対象システムであるWindows ServerやLinux Server以外にシンプルノードやSSOオプションを利用することで、SaaS、アプリケーション、データベース、ネットワーク機器、IoT機器など様々なシステムを管理対象にすることが可能です。
特にシンプルノードは、エージェントプログラムのインストールも不要となるなど、EAGの設定に必要な要件も少なく、お客様が所有するシステムの運用のアウトソーシングを担っている場合など、管理対象システムに対する要件の具備が困難な環境にも最適です。

※対応可能なシステムの要件がございます。詳細はお問い合わせください。

シンプルノードで管理可能になるシステム機器の例
・エージェントプログラム等を許可なくインストールできない顧客システムのサーバー
・UNIX オペレーティングシステム
・Debian、SlackwareなどESS AdminGateで正式サポートとしていないLinux OS
・Windows 10などのクライアントOS
・Windows Storage Server
・SSH接続を行えるネットワーク機器、アプライアンス機器
・VMWare Hypervisor（SSH接続）

特長3 利用する機能・対象システムに合わせた柔軟な価格体系

2つのライセンス方式

年間ライセンス：1年単位でのご契約で、更新時に契約数の削減も含めご契約内容の見直しが可能
永久ライセンス：購入時にライセンス費用を一括でお支払い、長期的にご利用する場合に割安

規模や要件に合わせて選択できる2つのエディション

Lite Edition         ：主要な機能だけを使用する簡易版
Standard Edition：すべての機能が使用できる上位版

その他、個人や企業にITサービスを提供するためのシステムに適用可能なサービスプロバイダ向けライセンス方式もございます。

その他　使いやすいダッシュボード

ユーザーが自身のタスクやワークフローの状態を俯瞰的に確認できるなど、ユーザビリティの高いダッシュボードです。ワークフローにおける緊急申請の実行可否をノードグループ単位で設定可能となっている等、使いやすい設計となっています。

特権IDアクセス管理機能

アクセス制御とアクセス者の識別

ESS AdminGate(EAG)を使用すると管理者アカウントのパスワードは利用者に知らせずにアクセスを許可するため、パスワードが漏洩するリスクがなく安全です。またAdministratorアカウントなど、共有型のIDを使っても、実際の利用者が識別可能になります。

利用者個人の認証にワンタイムパスワードを組み合わせた多要素認証でよりセキュアに。ソフトウェアトークンおよびハードウェアトークンに対応します。

• ソフトウェアトークン：Google Authenticatorによるワンタイムパスワードに対応します。
• ハードウェアトークン：タイムベースドのワンタイムパスワード規格でTOTP RFC-6238に準拠し、OTPが6桁、更新周期が60秒の仕様で動作するハードウェアトークンに対応します。

定期パスワード変更の自動化

EAGは、管理対象ノードの特権IDのパスワードを自動的に変更する機能がございます。（通常ノードとして登録した場合）
複雑なパスワードを設定し、かつ定期変更を行うことでパスワード漏洩等による不正アクセスを防止できます。
固定パスワードでの運用にも対応可能です。

操作ログ管理機能

特権IDを使用したシステム操作は、その権限の高さからあらゆる操作が可能であり、権限濫用によるリスクが伴います。そのため、操作内容は事後にトレースが可能な状態で記録し、保存しておく必要があります。

操作内容の動画記録(Windows)とコマンド入出力の記録(Linux)

EAGを介して行われたシステム操作の内容をログとして記録し保管します。Windowsサーバーに対する操作画面を一定間隔でキャプチャーし、動画形式で保存します。Linuxサーバーに対するSSH接続は、コマンドの入出力をすべてテキストとして記録します。
記録内容はブラウザを介して再生・閲覧が可能です。問題発生時の原因究明などを行うためのトレーサビリティを確保します。

禁止コマンド検知アラート(Linux)

実施する作業として申請されていない禁止コマンドを操作すると、即座に検知し管理者にアラートが送信されます。
これにより、不正操作に対する即時対応が可能です。

アクセスログ収集&不正アクセス検出機能

EAGには、システムから定期的にアクセスログを収集し、EAGを介したアクセス履歴には存在しない不審なアクセスを検出しレポートとして出力します。外部からの侵入者を含めアクセス許可を得ていない不正なアクセスを早期に発見できます。

 

ファイル入出力管理機能

特権IDを用いた操作の中で、最もリスクの高い操作の一つがファイルの持ち込み・持ち出しです。特にサーバーに保管された顧客情報などの重要情報を無断で持ち出すことは情報漏洩につながる可能性があり、注意が必要です。EAGには、サーバーへのファイルの持ち込み・サーバーからのファイルの持ち出しについて必ず第三者の確認を必要とするフローを提供することで、適切なファイルの取り扱いを支援する機能が実装されています。

ファイル持ち込み管理

システム操作申請時にサーバーに持ち込むファイルを添付し、事前に設定された責任者に承認されることで持ち込み可能になります。
  

 

ファイル持ち出し管理

持ち出したいファイルは一旦EAGにアップロード。作業終了後に、持ち出しファイルを責任者が確認することで、ダウンロード可能になります。

管理プロセスの自動化機能

EAGではポリシーベースのアクセス許可設定に加え、ワークフローを用いた申請承認ベースのアクセス許可設定を同梱しています。ワークフローの申請内容に従い、許可された日時になると自動でIDの貸出処理を行ったり、パスワードのリセットを自動化するなど、管理作業を自動化・省力化します。

　　

 

 

 

 

 

 

 

 

その他の機能・特長

• ダッシュボード機能　 ：各ユーザーが実行すべきタスクなど全体が把握可能なトップページ
• システム変更履歴 　　： EAGの設定変更の履歴を保存し、監査に対応
• 各種監査レポート出力 ： 特権IDやアクセス制御に関する各種レポートを出力しIT統制等各種ガイドラインに対応
• 冗長構成 　　　　　　：EAGコントローラーを2台構成で可用性を向上
• メール連携 　　　　   ：ワークフロー遷移に合わせアクションが必要なユーザーメールを送信
• 緊急作業申請　　　　 ： 夜間・週末対応など承認者不在時に、緊急作業等対応が可能な仕組み

セキュリティを向上させ、運用効率も併せて向上

それぞれの専用ツールなしに、システム証跡取得から特権ID管理までを一気通貫で安価に実現できます。

IT統制強化

組織内外からの不正アクセスを防止

監視体制の強化

監査・点検対応

重要情報の漏洩リスク低減

運用・管理負担の軽減

無数のパスワード管理からの解放

張り付き作業監視からの解放

管理プロセスの自動化

原因究明・復旧対応の早期化実現

外部からのリモートアクセス作業に対しての安全性向上

外部委託先からのリモート保守などの場合でもセキュリティ担保

内部作業同様の効果を実現

作業品質の標準化や向上を実現

手順書と併せて操作の動画記録も確認することで高い再現性を実現

作業手順の共有で属人化の排除

引き継ぎや教育でも大活躍

構成例

下図は、データセンターに設置したシステムに対し、ESS AdminGate(EAG)を利用して、システム保守・運用業務のアクセスおよび証跡の管理を行う構成例です。

EAGコントローラーの設置

管理対象のシステムへのアクセス経路にEAGコントローラーを設置します。EAGコントローラーは、仮想アプライアンス方式で提供されるEAGのコアコンポーネントです。 運用者の端末から、EAGコントローラーを介さないとアクセスできないようにネットワーク的に設計する必要はございません。
EAGは、たとえネットワーク的に管理対象サーバーにアクセスが可能であっても、特権IDのパスワードを隠ぺいしているため、EAGを経由して承認ベースでアクセスする必要がある点に特長・メリットがあります。

Windows用エージェントプログラムの導入

通常ノードとして設定するWindowsサーバーには、EAGエージェントを導入します。

稼働要件

EAGコントローラー稼動要件

正規管理対象システムの要件

その他の管理対象システムの要件

クライアント要件

多要素認証デバイスの要件

• 対応言語：日本語
• ESS AdminGateコントローラーを稼働させるハードウェア要件については、ご利用環境によって異なります。詳しくは弊社までお問い合わせください。
• 本ソフトウェアは、不正アクセスを完全に防止するものではありません。
• 本ソフトウェアは改良のため事前に告知することなくバージョンアップすることがあります。
• 本ソフトウェアに使用されている一部の技術は特許出願中または取得済みです。
• ESS AdminGateは、エンカレッジ・テクノロジ株式会社の登録商標または商標です。
• Microsoft, Windows, Windows Serverは、米国 Microsoft Corporation、およびその他の国における登録商標または商標です。
• 記載されているその他の会社名、製品名、サービス名は、各社の登録商標または商標です。

パブリッククラウドサービスへの対策

ESS AdminGate は、特権ID管理や証跡管理などのサーバーセキュリティ対策を、クラウド・オンプレミス等多様なシステム環境に共通して適用が可能です。

パブリッククラウドサービスAWSへの対応

ESS AdminGate は、VMWare Hypervisor、Microsoft Hyper-Vなどのプライベートクラウド環境（仮想化環境）は勿論のこと、クラウドワークロードを活用することも可能です。大手パブリッククラウドサービスのアマゾン ウェブ サービス（AWS）を正式稼働環境としており、AWS上へのデプロイ手順やIaaS（EC2）としての稼働に関して弊社によるサポートの提供の他、Amazon Linux2を管理対象のシステムとすることも正式にサポートしています。
クラウドのSDN（Software Defined Networking）環境にて仮想マシンインスタンスをインフラとしたシステムを構築することが一般的になった現代でも、オンプレミス環境での運用と同様にセキュアな特権ID管理は重要です。

更に、弊社は2020年アマゾン ウェブ サービス ジャパン株式会社より「AWS Partner Network（APN）セレクトテクノロジーパートナー」に認定されており、今後もますます加速するシステム環境の変革に追従し支援できるよう、更なるAWSサービスとの連携強化やサービスレベル向上に取り組んで行く予定です。
　>詳しくはこちら

Linux Serverの鍵認証に対応、鍵認証方式のまま、管理対象ノードとして設定可能

パブリッククラウド環境でLinux Serverの認証方式としてデフォルトになっている場合が多い、鍵認証に対応しています。これにより、パスワード方式に変更をすることなく、EAGでこれらのLinux Serverを管理対象に設定することが可能です。
鍵認証の場合であっても、パスワードと同様に固定鍵方式、ワンタイムで鍵を使い捨てする方法が選択可能です。

ワンタイムパスワードによる多要素認証に標準で対応、なりすましを防止

ESS AdminGateはその性質上、管理対象システムへのアクセス経路として機能するため、ESS AdminGateに対する不正アクセスは、管理対象システムへの不正アクセスに直結することになります。

そこで、EAGの利用ユーザーに対する認証をID、パスワードに加えて、ワンタイムパスワード（OTP）による多要素認証を追加することで、なりすましの危険性を低減させることができ、クラウド時代では重要かつ前提となる不正認証対策の強化を実現します。





多要素認証については、以下のような拡張機能を提供しています。

• OTPの方式として、Google Authenticatorを利用する方法（ソフトウェアトークン）とハードウェアトークンをご選択可能。ハードウェアトークンはTOTP RFC-6238に準拠し、OTPが6桁、更新周期が60秒の仕様のデバイスに対応
• ユーザー単位でOTPの適用有無を設定可能。例えば、サーバーアクセスを実際に行わない承認行為だけのユーザーにはOTPを適用しないといった形の設定が可能