エンカレッジ・テクノロジは2021年10月26日、特権ID管理ソフトウェア「ESS AdminONE」の新版「V1.1」を発表した。同年11月2日に販売開始する。特権IDによる情報システムへのアクセスを一元管理/制御する。新版では、より汎用的な方法で各種システムと連携できるようにしたほか、取得可能なログを増やしてセキュリティを向上させている。
エンカレッジ・テクノロジの「ESS AdminONE」は、特権IDによる情報システムへのアクセスを一元管理/制御するソフトウェアである(画面1)。仮想アプライアンスまたはコンテナの形で提供する。業務サーバーやデータベースサーバーへのアクセスを仲介するゲートウェイ型の「ESS AdminGate」と、個々のアクセス端末に対して一時的に特権IDのアクセス権限を発行する「ESS AdminControl」の2つの従来製品の機能を包括して統合している(関連記事:特権IDアクセスを管理/制御する新製品「ESS AdminONE」、従来製品を統合しWeb APIを追加)。
画面1:ESS AdminONEのユーザーインタフェース(特権ID貸出履歴・録画機能)(出典:エンカレッジ・テクノロジ) ESS AdminONEを導入した情報システムへのアクセス方法は、大きく2つある。1つは、情報システムへのアクセスを、ESS AdminONEのゲートウェイで仲介する方法。アクセス仲介時に、ログインに必要なID/パスワードを隠蔽する仕組み。Linuxサーバーに対してはSSHログインによるターミナル(CLI)操作を仲介する。Windows Serverに対してはシンクライアント(RDPプロトコル)による画面操作を仲介する。
もう1つは、アクセスする端末上で稼働する専用のソフトウェア「専用貸出ツール」(Operation Authenticator)に対して、情報システムへのアクセスに必要なパスワードを、ESS AdminONEのサーバーから都度発行する方法。この形態においても、ゲートウェイによる仲介アクセスと同様、エンドユーザーは特権IDのID/パスワードを知ることなくログインできる。
Web APIも備えており、一時的な特権IDの発行申請などは、対話型のWebインタフェース画面からだけでなく、Web APIを用いて行え。外部の運用管理ソフトウェアの自動化スクリプトなどからWeb APIを利用して特権IDのアクセス権限を取得するといった運用に対応する
バックエンドシステムのパスワードを変更する汎用I/Fを追加
新版の「ESS AdminONE V1.1」では、より汎用的な方法で各種システムと連携できるようにしたほか、取得可能なログを増やしてセキュリティを向上させている。
まず、特権IDでアクセスするバックエンドシステムの特権IDパスワードを変更するための汎用インタフェースを追加した(図1)。Windows ServerとLinuxについては従来もESS AdminONEからパスワードを変更できていたが、データベースサーバーなどWindows/Linux以外のシステムに対しても汎用の共通インタフェースを介してパスワードを変更できるようにした。
図1:特権IDパスワードを変更するための汎用インタフェースを追加した(出典:エンカレッジ・テクノロジ)拡大画像表示
パスワード変更用の汎用インタフェースを利用する例として、AWSとAzureのアカウントパスワードを変更するための外部モジュールも用意した。ESS AdminONEから汎用インタフェース経由で指示を受けた外部モジュールが、AWS/Azureのパスワードを変更する。汎用インタフェースの仕様を公開しているので、仕様に則った形で任意の外部モジュールを開発できる。
特権IDでアクセスするバックエンドシステムとして、Webシステムにもアクセスできるようにした。このための仕組みとして、Webブラウザ(Google ChromeとMicrosoft Edge)にインストールする拡張モジュールを用意した。WebブラウザからESS AdminONEにログインしてバックエンドシステムへの接続ボタンをクリックすると、対象システムへと画面が遷移し、ESS AdminONEがID/パスワードを入力する。
新版では、取得可能なログを増やしている。まず、ログイン成功履歴だけでなくログイン失敗履歴も収集できるようにした。ログ収集の頻度も短くできるようにした。さらに、バックエンドシステムのログイン履歴を収集するためのインタフェースを用意した。これまでもWindowsとLinuxのログイン履歴を収集していたが、新版では汎用のインタフェースを用意する。所定の形式でログデータを用意することで、ESS AdminONEにログを取り込めるようにしている。
