エンカレッジ・テクノロジは2月14日、都内で記者説明会を開き、3月にシステム証跡監査ツール「ESS REC」の最新版「ESS REC 6」と、次世代型特権ID管理ソフトウェア「ESS AdminONE(イーエスエス アドミンワン)」の最新バージョンのV1.2を発売すると明らかにした。
リモート環境でもシステム運用を実現する「ESS REC 6」
冒頭、エンカレッジ・テクノロジ 代表取締役社長の石井進也氏は「クラウド利用の拡大や対象の広がりなど、オープンな形にするためプラットフォームとアーキテクチャの統合に加え、リモート環境でシステム運用できないという固定観念を打破して新たな市場を創造する。また、さまざまなワークフローと連携しないことから、運用が定着しない課題を解消するために両製品を開発した」と狙いを説明した。
ESS RECはコンピュータ操作の内容をデスクトップ動画とテキスト情報で取得し、証跡として保存するシステム証跡監査ツール。
最新版は、従来バージョンで採用していたWindowsのプラットフォームを抜本的に見直し、ESS AdminONEと共通となるLinuxをベースとしたコンテナ技術を採用したアーキテクチャに刷新した。
サポートするOS・プラットフォームはUbuntu Server + Docker、RedHat Enterprise Linux + Podman。
Ubuntu Serverを利用する場合はサードパーティのライセンスは不要で、OSのバージョン、パッチ、同居するアプリケーションなどによる動作への影響が少なく、安定した稼働環境を実現しているほか、OSなどプラットフォームのライフサイクルポリシーに依存しないという。アプリケーションのアーキテクチャにコンテナ技術を採用することで、OSのバージョンや構成などに依存せず、安定したアプリケーション稼働環境を提供できるとしている。
また、カメラデバイスを使用してシステム操作者の常時認証や操作環境といったコンピューター外の周辺環境も監視・記録することを可能としている。
従来の認証システムは、本人による認証手続き後に他人へすり替わっても認識できないといった限界が存在していたが、AIによりカメラデバイスに写る操作者の顔を識別し、システムのログインユーザーと比較して本人が操作しているかを判別することで、なりすましや覗き込みなどの異常判定とアラート発報を行う。
顔情報は独自技術でさまざまな角度の画像情報から特徴点を算出しているため、あらゆる角度の顔においても高い精度で正しく本人性を確認し続けることが可能なほか、カメラデバイスで操作環境を撮影することでプライバシーが保てない公共の場所での業務防止、人、監視カメラなどによる物理的監視の効かないリモートやテレワーク環境でのカメラ・スマートフォンによるコンピューター画面の撮影などを抑止することができる。
そのほか、ユーザーインタフェース(UI)をWeb化し、管理用・監査用のツールをコンピューターにインストールする必要がなくなり、各種設定や検知ルール定義などの管理作業、記録データ・レポートの閲覧といった監査業務はすべてブラウザで実施。
さらに、監視対象コンピューターに配布するESS REC 6に関わるプログラムの自動配布やインストール、設定内容の集中管理を管理サーバで一元的に実施できる。検知ルールは、ログインユーザーやドメイン、対象コンピューター、アクセス元IPなどを条件に動的に割り当てることができ、アクセス環境・条件によって異なるリスク検知を可能としている。
今回、実装された新機能により入退室管理や監視カメラなどによる物理的な対策が機能しないリモートやテレワーク環境においても安全に重要システムにアクセスできるようになるため、システム部門においても出社を前提とした働き方にとらわれることなく、システム運用業務を実施できるようになるという。
これにより、夜間や休日におけるシステム障害への対応も容易とし、パンデミックや自然災害などの非常時においても業務が継続できることから、システム運用業務の継続性向上・対応スピードの向上にも貢献するとしている。
サポートは、旧バージョンでも利用し続ける限りサポートを提供する、永久サポートを提供。また、既存ユーザーは無償でESS REC 6へライセンス移行が可能なほか、有償の移行支援プランも用意し、従来バージョンで記録・蓄積した記録データや、定義済みの検知ルールなどの設定を移行することで継続利用ができる。今後、3年で500プロジェクトの採用を目指す。
同製品の説明を行ったエンカレッジ・テクノロジ 取締役の上田浩氏は「従来のバージョンにシステム操作環境の監視と常時顔認証により、システム運用は出社前提かつ監視カメラや入退室管理が整備されたセキュアルームで行うものといった固定観念を打破することで、適用シーンを拡げるとともに、課題に対処する」と述べていた。
機能強化した「ESS AdminONE」の最新版
一方、ESS AdminONEはコンピューターシステムに対して、あらゆる権限を有する特権ID の適切な管理を行うことで、内外のセキュリティ脅威からシステムを守り、システム運用の安全と安定稼働を実現するというもの。初版発売以降もバージョンアップやオプション提供により、機能拡張や管理対象システムの拡充を行っている。
エンカレッジ・テクノロジ 研究開発部長の山﨑正雄氏は「ランサムウェアなどサイバー攻撃が激化し、重要システムのクラウド利用も広がっている。また、コロナ禍で急速にテレワークが普及するととも、特権ID管理システムにおけるプレーヤーの変遷に伴うシステム更新など、特権ID管理におけるニーズが高まっている」と説く。
V1.2では、ユーザーによる特権IDの不正使用を防止する仕組みとして、ワークフローシステムを用いた申請(および承認)ベースのアクセス許可の仕組みを提供することに加え、ポリシーベースのアクセス許可を設定することが可能。
ポリシーベースのアクセス許可は、ユーザーやユーザーグループごとに使用可能な特権IDを定義しておくことで、許可されたユーザーだけが特定の特権ID を定常的に使用することが可能となる仕組みだ。
申請承認ベースのアクセス許可と比較すると、使用機会を最小限まで減らす効果は期待できないものの、複数ユーザーに同一の特権IDのアクセス許可を与えた場合であっても、ユーザーの特定・識別と操作内容の記録で一定の統制が実現できるという。
申請承認ベースとポリシーベースのアクセス許可は、ユーザーの属性や対象システムの重要度に合わせて最適な設定が可能となり、運用業務における特権ID利用の際の過剰なプロセスを省略し、業務効率とセキュリティの両立ができる。
新プランとして「ライトエディション」を追加し、ポリシーベースのアクセス許可のみで運用することを想定したエディションとなり、都度申請を行うような統制が不要な簡易的な要件に対応するものとなる。
これまでのエディションよりも安価な価格での提供を予定しており、小規模なシステムや重要度がそれほど高くないシステムに必要最小限の対策を講じるケースで最適なエディション。3種類のエディションを提供することにより、ニーズに幅広く対応していくことができるという。
さらに、システム連携のためのAPIの公開範囲を拡充、ワークフローシステムに関わる操作を、APIを介して行えるようになる。
APIコールの際に使用する認証チケットの取得方法として、ID・パスワードを用いる方法に加え、API用の認証チケットを取得する場合のみに使用可能なアクセスキーを用いる方法を追加アクセスキーに対するアクセス元IPの制御も設定することで、セキュアなAPIを使ったシステム連携が可能。
さらに、申請承認ワークフロー設定のカスタマイズ性を向上しており、例えば承認プロセスは有効なまま特権ID使用後の確認プロセスを省略することや、自身の申請を自分で承認する「セルフ承認」のオン/オフをシステムごとに定義できるようになる。
また、新たにRed Hat Enterprise Linux 9、Ubuntu Server 22.04 LTS、Oracle Linux 9、Amazon Linux 2022などのシステムを通常ノードとして管理することができる。
そのほか、ESS AdminONE の特権ID 点検機能の1つである、ログイン履歴を収集する機能において、収集する際の除外設定を可能とし、システム監視ツールなどシステムが動作することで出力される監査ログを収集対象から除外し、不審なアクセスの検出精度を高めることも可能。
管理対象システムに対しカスタム項目を追加し、ノード固有の情報を保存できるようになる。カスタム項目に保存された値は、外部連携の際に使用できるため、特権ID のパスワード変更を外部プログラムと連携して実行する際に、ノード固有の設定値として利用することが可能となります。例えば、権限昇格用のパスワード(Enable モード用のパスワード)が必要なCiscoなどネットワーク機器のパスワード変更処理ができるという。