NTTデータ、公共系システムのクラウド管理者アカウントに対する アクセス管理及び証跡管理のためESS AdminGateを採用
システム運用のリスク管理ソリューションを提供するエンカレッジ・テクノロジ株式会社(本社:東京都中央区、代表取締役社長兼CEO:石井 進也、以下、「当社」)は、株式会社エヌ・ティ・ティ・データ(本社:東京都江東区、代表取締役社長:岩本 敏男、以下、「NTTデータ」)の公共系システムにおける、クラウド管理者のセキュリティ対策として、当社の特権アカウント&証跡管理製品「ESS AdminGate」が採用されたことを発表いたします。
NTTデータがこの度手掛けた公共システムは、よりスピーディーにサービス提供が開始できるよう、SaaS(※1)やPaaS(※2)といった複数のクラウドサービスを構成する形でサービスを提供しています。
システムの保守・運用業務をNTTデータの運用担当者が行うにあたり、構成される複数のクラウドサービスの管理者アカウントをどのように管理すべきかについて課題となりました。例えば、保守・運用の業務上、クラウドサービスの管理者アカウントを使用することは避けられません。しかし、従来の仕組みでは運用者ごとに細かな権限設定をかけることが難しく、本来の業務に必要な操作しかできないことを担保する仕組みを実現するなどのセキュリティ性向上を重要な課題として捉えていました。
これに対し、当社では、ESS AdminGateにActive DirectoryおよびAD FS(※3)を組み合わせ、以下のような構成にすることで要件を満たす提案を行いました。
● AD FSを使用し、Active Directoryアカウント(ADアカウント)と管理対象のクラウドサービスの管理者アカウントを連携するとともにADアカウントによってクラウドサービスへのシングルサインオン(SSO)(※4)が可能となるように構成
● ESS AdminGateで上記ADアカウントを管理対象のアカウントとして設定することでパスワード自体を隠蔽し、ESS AdminGateを介して管理者アクセス専用サーバーにアクセスするには、ワークフローを用いて事前に承認が必要となるように設定
上記構成にすることで、運用者がクラウドサービスの管理者アカウントを使用するには、必ずESS AdminGateが提供するワークフローを用いて申請し、管理者の承認を得なければならないというアクセス制御の仕組みが成立します。
また、ESS AdminGateを介してアクセスを行うため、クラウドサービスの管理者アカウントを用いてブラウザ上で行う操作はすべてもれなく録画され、管理者は必要に応じて録画された操作記録を閲覧し、業務外の管理者アカウントの使用がなかったかを点検・監査をすることで、業務の正当性を担保できるようになります。
NTTデータでは、当社の提案を採用、ESS AdminGateとActive Directory、AD FSで構成されるシステムをAmazon Web Services(AWS)(※5)上に構築。設計から構築・テストまでを2か月程度で完了させ、2017年10月から正式稼働を開始しています。ESS AdminGateがLinux OS上にインストール済の仮想イメージとして提供される「仮想アプライアンス方式」で提供されるため、仮想イメージをAWS上にインポートすれば構築可能であった点も、短期にプロジェクトを完了させることができた要因でした。
今回対象とした公共系システムは、今後利用者の増加が見込まれており、サービスの重要性は益々高まることから、セキュリティに関しても徹底した対策が求められます。当社は、今後も製品・サービスの改善・改良を行い、お客様が安心してご利用いただけるサービスの実現に、貢献してまいります。
当社について
2002年に創業。金融、通信などの社会インフラの一端を担う大規模システム運用管理及び運用統制を実現するソフトウェアの開発・販売を手掛けています。システム証跡監査ツール8年連続市場シェア1位(※6)を確保している「ESS REC」をはじめ、当社ソフトウェアは多くの企業で採用されています。
社名 : エンカレッジ・テクノロジ株式会社
(東京証券取引所マザーズ 証券コード:3682)
代表者 : 代表取締役社長兼CEO 石井 進也
本社 : 東京都中央区日本橋浜町3-3-2 トルナーレ日本橋浜町7F
URL : http://www.et-x.jp/
資本金 : 5億738万円 (2016年9月末)
事業内容: コンピュータシステムソフトウェアの開発、保守ならびに販売
コンピュータ運用管理に関するコンサルティング
コンピュータ運用管理に関するBPOサービス
参考資料
ESS AdminGateとは
ESS AdminGateは承認ベースでのみユーザーにアクセス権限を与えるアクセス管理製品で、以下のような特徴があります。
● 申請と承認ベースでユーザーに特権IDを貸し出し、作業対象システムへのログインを代行して実施することで作業者が特権IDのパスワードを知らないまま作業することが可能
● ESS AdminGateを介して実施した作業内容は全て動画とテキストで操作内容を記録するため、不正操作や誤操作の発見と合わせて不正操作に対する高い抑止効果を発揮
● 管理対象サーバーへのファイルの持ち込みや、サーバーからのファイルの持ち出しは管理者の承認が必要となる仕組みにより、重要なシステムからの情報漏洩を防止
● 承認を得ていないアクセスがあった場合、アクセスの履歴を不正ログインとして検出しレポートに出力
詳細情報:http://www.et-x.jp/product/eag/
サービス内容に関するお問い合わせ
エンカレッジ・テクノロジ株式会社
ソリューション営業部
TEL : 03-3527-2624
FAX : 03-3660-5822
Email: etx-contact@et-x.jp
※1 SaaS(Software as a Service):必要な機能を必要な分のみサービスとしてユーザーが利用できるソフトウェア提供形態のこと。
※2 PaaS(Platform as a Service):アプリケーションを実行するためのプラットフォームをインターネットを介して提供するサービスのこと。
※3 AD FS(Active Directory フェデレーションサービス): Active Directoryのアカウントを使用し、Webアプリケーションするユーザーを認証ができるフェデレーション(認証連携)機能。
※4 シングルサインオン(SSO):1回の認証手続きで、複数のOSやアプリケーション、サービスなどにアクセスできること。
※5 AWS:Amazon Web Services社が提供しているパブリッククラウドサービス。EC2と呼ばれるIaaSを中心に様々なサービスを展開
※6 出典:
情報セキュリティソリューション市場の現状と将来展望 2010
同2011、2012、2013、2014、2015、2016、2017
【内部漏洩防止型ソリューション編】 株式会社ミック経済研究所
※文中に記載されている製品名及び会社名は、商標または商標登録です。
