エンカレッジ・テクノロジ、 「ESS AdminONE V1.3」を5月31日より販売開始

システム運用のリスク管理ソリューションを提供するエンカレッジ・テクノロジ株式会社(本社：東京都中央区、代表取締役社長：石井 進也、以下「当社」)は、内外のセキュリティリスクからシステムを守る次世代型特権ID管理ソフトウェア「ESS AdminONE(イーエスエス アドミンワン)」の最新バージョンV1.3を、2024年5月31日から販売開始いたします。

ESS AdminONEは、コンピューターシステムに対してあらゆる権限を有する特権IDの適切な管理を行うことで、内外のセキュリティ脅威からシステムを守り、システム運用の安全と安定稼働を実現する特権ID管理ソフトウェアです。初版発売以降もバージョンアップやオプション提供により、機能拡張や管理対象システムの拡充を行い、販売から3年で累計180プロジェクトを超えるお客様にご採用いただいております。
＞ESS AdminONE製品概要ページ： https://product.et-x.jp/adminone/

図1. ESS AdminONEのアップデート状況

最新のバージョンとなるESS AdminONE V1.3では、以下のような点を強化・改善しました。近年利用が増加しているSaaS/PaaSの、管理者アカウントにおける統制を強化する機能拡張により、より多様なシステムへの対応と、お客様の要件に対応いたします。

【1】 SAML(※1)連携対応により、SaaS/PaaSなどWebサービスの特権ID管理を強化
最新バージョンでは、特権アクセス制御の方式に「SAML認証制御方式」が追加されました。SAML連携方式とは、外部IDプロバイダ(IdP)(※2)を使用した認証プロセスにESS AdminONEが介在することでアクセス制御を行う方式です。ESS AdminONEで予めアクセス申請承認手続きをしておくことで、認可された作業者が特定のWebサービスに対してのみ期間限定でアクセスできる仕組みです。
これにより、iDaaSで認証する複数Webサービスのシングルサインオン(※3)環境において、よりきめ細やかな統制を実現します。

図2. ESS AdminONEによるSAML連携の仕組み

従来提供しているパスワード管理方式と、最新バージョンで提供されるSAML認証制御方式の2種類を管理対象システムによって使い分けることで、OS、ミドルウェア、ネットワーク機器、SaaSなどさまざまなシステムの特権IDを最適な方式を用いて一元的に管理することが可能となりました。

図3. 最新バージョンESS AdminONE V1.3のアクセス制御方法

なお、連携可能なIdPは、Microsoft Entra ID、Okta、OneLoginとなります。

【2】 アカウント棚卸機能の新設
管理対象システム内に存在するアカウントの一覧を定期的に抽出し、管理外のアカウントが存在していないか、過剰な権限などが付与されていないかなどの棚卸を自動実行する機能が新たに追加されました。本機能では、前回または任意の棚卸実行結果と比較し、新たに作成されたアカウントや、削除されたアカウント、権限などの属性が変更されているアカウントなど、差分を出力する差分比較機能が搭載されています。そのため、前回の棚卸結果を目視で比較する必要がなく、効率的な棚卸を実現します。

図4. アカウント制御による差分比較画面のイメージ

【3】 より臨機応変なパスワード管理が可能に
従来バージョンにおいて選択いただけたパスワード管理方式は、システムとしてパスワード変更を行わない「パスワード・認証鍵固定」か、定期変更設定や貸出前後にランダム化処理を行う「パスワード・認証鍵 自動更新」の2種類でした。ESS AdminONE V1.3では前述に加え、定期変更の対象とするものの、貸出前後にはランダム化処理をしない管理方式を選択可能になりました。
また、不正アクセスの恐れを察知した場合など、管理者の任意のタイミングでパスワード変更処理を行ったり、API(※4)を介してパスワード変更処理を行うなど、より臨機応変なパスワード管理が可能となりました。

【4】 管理サーバー障害時の緊急アクセス手段の確保
AdminONE管理サーバーが障害等によりサービス利用できない状況となった場合でも、管理対象システムへ継続してアクセスできるように、緊急用アクセス手段を確保することが可能となりました。具体的には対象システムごとに緊急用アカウントを指定、パスワードが保存された暗号化圧縮ファイルをパスワード変更の度に生成します。緊急時は、暗号化圧縮ファイルを解凍することで、システムに接続するためのパスワードを入手可能となります。
暗号化圧縮ファイルの保存先は、外部ストレージなどAdminONE管理サーバーとは別ノードに保存することが可能ですので、ハードウェア障害等によって暗号化圧縮ファイルそのものが失われるリスクに対しても対処が可能となっております。

【5】 その他の拡張・改良点
◇ 申請書番号のカスタマイズ性の向上
申請書を識別する番号について、これまでの単純なプレフィックス記号と連番の組み合わせによる定義を強化し、年月などを組み合わせることが可能になりました。
◇ ESS AdminONEのWeb画面からのシームレスなゲートウェイ接続
専用ゲートウェイ構成で使用する場合に、これまで接続するシステムによってRDPやSSH
ターミナルソフトを起動し再度認証を行う手続きが必要だった点を改善し、ESS AdminONEのWeb画面上からゲートウェイにシームレスに接続する仕組みを新たに設けました。
これにより、作業者はESS AdminONEのWeb画面で1回認証手続きを行うだけで、ゲートウェイ経由による管理対象システムへのアクセスをシングルサインオンで提供します。
なお、サポートする接続ツールは、リモートデスクトップクライアント(Windows Serverの場合)とTera Term(UNIX/Linux及びSSH接続システム)となります。その他のツールを利用する場合は、セッショントークン(※5)を手動で入力します。
◇ 同一アカウントの排他制御
ESS AdminONEは同一の特権IDを同時に複数の作業者に貸し出しても、作業者の特定が可能であることから、特権IDの排他制御は機能として有していませんでした。しかしながら、一部システム側の仕様として同一アカウントを同時使用できない場合があり、最新バージョンでは、同一アカウントを同時に貸し出さないよう、新規申請時に既に利用予定のあるアカウントは対象にできないよう制御する設定が可能になりました。
◇ レポート出力内容の改善
ESS AdminONEで出力されるレポートの一部を改善し、これまでは複数のレポートを横断的に確認する必要があった、申請時の終了時間を超過して行われた作業の有無などを一つのレポートで確認することが可能になりました。
◇ その他使い勝手の向上
その他、ユーザーインターフェースの改善や、冗長構成パターンの見直し、過去データの一括削除などのメンテナンス機能を強化し、システム全体の使い勝手と運用性を向上しました。

＞ ESS AdminONE Base 10 LE (10ノードまでの定額ライセンス、簡易機能版)
永久ライセンス価格：792,000円／年間ライセンス価格：396,000円
＞ ESS AdminONE Base 120 SE(120ノードまでの定額ライセンス、一部機能限定版)
永久ライセンス価格：7,150,000円／年間ライセンス価格：3,806,000円
＞ ESS AdminONE Base 500 EE(500ノードまでの定額ライセンス、フル機能版)
永久ライセンス価格：15,400,000円／年間ライセンス価格：8,206,000円

※永久ライセンスの場合は、保守サービス費用が別途発生。
※年間ライセンスの場合は、同期間における保守サービス費用を含む。

当社では、今後もより多くのお客様の課題解決を目指し、ESS AdminONEの機能強化に邁進してまいります。

2002年に創業。金融、公共、通信などの社会インフラの一端を担う大規模システム運用管理及び運用統制を実現するソフトウェアの開発・販売を手掛けています。システム証跡監査ツール14年連続市場シェア1位(※6)を獲得している「ESS REC」をはじめ、当社ソフトウェアは多くのお客様に採用されています。

名称　　　　　　　：エンカレッジ・テクノロジ株式会社
　　　　　　　　　　(東証スタンダード市場：3682)
代表者の役職・氏名：代表取締役社長　石井 進也
本社　　　　　　　：東京都中央区日本橋浜町3-3-2 トルナーレ日本橋浜町7F
URL　　　　　　　 ：https://www.et-x.jp/
事業内容　　　　　：金融、公共、通信などの社会インフラを担う
　　　　　　　　　　ITシステムの運用と統制強化を支援する
　　　　　　　　　　ソフトウェアを開発・販売。
　　　　　　　　　　14年連続市場シェア1位を獲得するESS RECを含め
　　　　　　　　　　累計での採用企業数は約750社。(2024年3月末現在)
資本金　　　　　　：5億738万円(2024年3月末)
設立年月日　　　　：2002年11月1日

※1 SAML(Security Assertion Markup Language)：Webサービス間で認証および認可情報を安全に共有するための
XMLベースの標準規格。
※2 IdP(Identity Provider): SaaSなどWebサービス(Service Provider)が、SAML規格に沿ってユーザー認証・
認可を行う際の利用するサービス。
※3 シングルサインオン：1度のユーザー認証で複数のシステムの利用が可能になる仕組み。
※4 API(Application Programming Interface)：人の操作を介さずにシステム間で直接命令の受け渡しを行い連携
ができるようにするシステム専用インターフェース。
※5 セッショントークン：認証されたクライアントとサーバー間のセッションを識別する識別子。
※6 出典：内部脅威対策ソリューション市場の現状と将来展望
2023年度版【サイバーセキュリティソリューション市場19版目】デロイト トーマツ ミック経済研究所株式会社及び同社における過去の調査結果 https://mic-r.co.jp/mr/03010/

※文中に記載されている会社名、製品名、サービス名は各社の登録商標または商標です。