日本CAは11月10日、アクセス管理製品の最新版「CA Access Control r12.5 Premium Edition」を発表した。同製品には、特権を持たせたユーザーのパスワード発行の運用を自動化し、システム上で一元管理できる機能「特権ユーザ・パスワード管理」が追加されている。

CA Access Controlは、ユーザーのリクエストをサーバOSが制御する前にフックして、ポリシーに基づいてリクエストの内容を判定することで、サーバOSだけでは満たせないアクセス管理を実現する。リクエストの判定内容は、監査ログとして記録される。

CA Access Controlのカーネルインターセプションの仕組み

日本CA マーケティング部 プロダクトマーケティング マネージャー 金子以澄氏

マーケティング部プロダクトマーケティング マネージャーを務める金子以澄氏は、「こうしたアクセス制御の仕組みは"カーネルインターセプション"と呼ばれるが、他社の競合製品には採用されておらず、CA Access Controlの強みの1つ」と説明した。

また同製品は、特権ユーザーのIDの管理を厳密に行える点を特徴とする。UNIXのsuユーザーやWindowsのAdministratorといった特権ユーザーのアクセス制御に始まり、suを実行した後もログインユーザーのIDによるアクセスイベントログの記録、実ユーザーIDと実効ユーザーIDの双方によるイベントログの記録などが行える。

特権ユーザーも実ユーザーIDと実効ユーザーIDの双方についてイベントログが記録される

金子氏は、「OSのシステムログは本来、システムの状況を確認することを目的としている。そのため、コンプライアンスのための機能までは網羅されていない。コンプライアンスを目的としたアクセス管理を行うには、詳細なアクセスログを取得する必要がある」と指摘した。

最新版で拡張された主な機能は「特権ユーザ・パスワード管理」、「UNIX Authentication Broker」、「統合Webユーザ・インタフェース」の3点だ。

特権ユーザ・パスワード管理は、特権ユーザーや共有アカウントのパスワードの発行を管理する機能だ。管理対象はOSだけでなく、DBMSやERPまで含まれる。同機能では、従来手作業で行われていた仕組みを自動化するため、IDの無効化などの作業の漏れを防ぐことができる。

UNIX Authentication Brokerは、マイクロソフトのディレクトリサービスであるActive Directoryに登録されているユーザー名とパスワードを用いて、UNIXのホストにログインすることを可能にする仕組みだ。ユーザーの管理はすべてActive Directoryで行え、UNIXにCA Access Controlのエンドポイントを導入する必要はない。

最新版では、特権ユーザ・パスワード管理、UNIX Authentication Broker、レポートなど、すべての機能を統合管理することができる。

同製品の参考価格は5ライセンスで240万円となっている。