エンカレッジ・テクノロジは2022年5月24日、特権ID管理ソフトウェア「ESS AdminONE」を強化すると発表した。特権IDによる情報システムへのアクセスを一元管理/制御するソフトウェアである。今回、「パスワード変更オプション」を拡充し、特権IDパスワードを変更可能なバックエンドシステムを増やした。2022年6月頃から提供する。価格(税別)は、接続先ごとに20万円(年間保守料が別途必要)または年額10万5000円。
ESS AdminONEは、特権IDによる情報システムへのアクセスを一元管理/制御するソフトウェアである(関連記事:特権アクセス管理「ESS AdminONE」、閉域網へのアクセスなどデータセンター固有の構成に対応)。業務サーバーやデータベースサーバーへのアクセスを仲介するゲートウェイ「ESS AdminGate」と、個々のアクセス端末に対して一時的に特権IDのアクセス権限を払い出す「ESS AdminControl」という2つの従来製品の機能を包括して統合している。
ESS AdminONEを介した情報システムへのアクセス方法は、大きく2つある。1つは、情報システムへのアクセスを、ESS AdminONEのゲートウェイで仲介するやり方。アクセス仲介時に、ログインに必要なID/パスワードを隠蔽する仕組み。Linuxサーバーに対してはSSHログインによるターミナル(CLI)操作を仲介する。Windows Serverに対してはシンクライアント(RDPプロトコル)による画面操作を仲介する。
もう1つのやり方は、アクセスする端末上で稼働する専用のソフトウェア「専用貸出ツール」(Operation Authenticator)に対し、情報システムへのアクセスに必要なパスワードを、ESS AdminONEのサーバーから都度払い出すやり方。この形態においても、ゲートウェイによる仲介アクセスと同様、エンドユーザーは特権IDのID/パスワードを知ることなくログインできる。
Oracle DBなどの特権パスワードを定期的に変更可能に
ESS AdminONEは、特権IDでアクセスするバックエンドシステムの特権IDパスワードを変更するための汎用インタフェースを備えている(関連記事:特権ID管理「ESS AdminONE V1.1」、特権IDパスワード変更のための汎用インタフェースを追加)。Windows ServerとLinuxは標準でESS AdminONEからパスワードを変更できるが、データベースサーバーなどWindows/Linux以外のシステムに対しては共通インタフェースを介してパスワードを変更する。
ESS AdminONEから汎用インタフェース経由で指示を受けた外部モジュールが、対象システムの特権IDパスワードを変更する仕組みである。これまでは、AWSとAzureのアカウントパスワードを変更する外部モジュールを用意していたが、今回、新たに3つの接続先に対応した外部モジュールを用意した。SSH接続サーバー向け、Oracle Database向け、PostgreSQL向け、である。
「SSH接続システムパスワード変更オプション」は、SSHで接続して管理作業を行うシステムの特権IDパスワードを定期的に変更するモジュールである(図1)。使用を許可した期間に限って有効なパスワードを払い出す運用もとれる。SSH接続後(コンソールへのログイン後)のコマンドシーケンスも独自に設定可能である。販売開始時点では、Solaris OS(Solaris 10/11)向けのコマンドシーケンスをあらかじめ設定した状態で提供する。
拡大画像表示
「Solarisログイン履歴収集オプション」と「Oracle DBログイン履歴収集オプション」は、データベースの管理用アカウントを対象に、特権IDパスワードを定期的に変更するモジュールである(図2)。使用を許可した期間に限って有効なパスワードを払い出す運用もとれる。Oracle Database 10g/11g/12c/19cと、PostgreSQL 10/11/12/13/14が対象である。
今回、パスワード変更オプションの拡充に加えて、ログイン履歴収集オプションも用意した。「Solarisログイン履歴収集オプション」と「Oracle DBログイン履歴収集オプション」である。いずれも、監査ログを定期的に収集してAdminONEサーバーに取り込む機能を提供する。取り込んだログイン履歴は、ESS AdminONEが保持するアクセス許可および特権ID貸出履歴と突合し、許可を得ずにアクセスした不審なアクセスの有無を検出する。監査ログの収集と検査頻度は最短1時間おきに設定可能である。
なお、各オプションはDockerコンテナとして提供する。AdminONEサーバー本体とは切り離されており、オプションを追加配置するだけで、各システムに対してパスワード変更やログイン履歴収集が可能である。AdminONEサーバー本体とはREST APIで通信する。
提供時期は、パスワード変更オプション(SSH接続、Oracle DatabasePostgreSQL)が2022年6月頃。ログイン履歴収集オプション(Solaris、Oracle Database)が2022年7月頃。価格(税別)は、各オプションにつき、永久ライセンスが20万円(年間保守サービス費用が別途発生)、年間ライセンスが10万5000円(年間保守サービス費用を含む)。