各種監査や基準(J-SOX、SAS70、PCIDSS、FISC等)において、アクセス管理は重要なカギです。また、委託先や内部の不正による情報漏えい事件や標的型サイバー攻撃が後をたたず、最近ではクラウド環境増加に伴い、重要資産がインターネット環境にさらされる機会も増えています。
そんな中、最高権限を持つ特権IDのアクセス管理(アクセス制御、監査ログ管理)をより厳密、かつ喫緊に対策することが強く求められます。

ところが各サーバに対して個別対策を実施するとなると、コストや導入期間、本番環境への影響、運用負荷増大といった壁に直面し、対策が遅れがちです。
システムが安全に運用されていることを保証するとともに、増え続けるサーバ群に対して費用対効果が高く、かつ迅速に対応することが求められています。

SecureCube / Access Checkとは

SecureCube / Access Checkは、IT統制とシステム運用の現場を知り尽くしたNRIセキュアが提供する、プロキシサーバ(踏み台)型のアクセス管理製品です。

本番サーバーの手前にゲートウェイとして設置し、予防的統制と発見的統制を厳密に、かつ効率化できます。それにより、特権ID利用における「申請」「承認」「証跡取得」「事後確認」といった監査業務をより正確かつ効率化できます。

金融機関様をはじめ、流通業、製造業など業種問わず様々なお客様に導入いただいており、シェアNo1です。自社開発製品ならではの、きめ細かい保守・サポート体制や、お客様の声を反映した機能拡張へも高い評価を頂いております。

エージェントレス型の実践的な仕組みで、特権IDの予防的統制と発見的統制を実現

各サーバの既存ID/パスワードをそのまま活用して、運用者や開発者のサーバへのアクセス制御が可能です。
各サーバの特権ID/パスワードを複数の運用者や開発者が共有している場合でも、SecureCube / Access Check上でユーザごとのきめ細やかなアクセス制御/ログ管理を実現します。

予防的統制

利用者の本番サーバへのアクセスは、どの端末から、どのプロトコルで、どのサーバへアクセスできるかを制御することが可能です。さらに、ワークフロー制御を利用すれば、事前に申請し、申請が承認されないと本番サーバに接続できません。また、特権IDのパスワード管理機能によって、利用者にパスワードを共有しない運用も可能です。
こうした多層型の予防的統制により、堅牢な情報漏洩対策を実現します。

発見的統制

アクセス時のすべての操作履歴が取得、保存されます。また、事前に申請した内容と操作ログを自動的に紐づけられるため、申請内容と操作内容の突合せ監査作業が効率的にできます。

多くの企業に選ばれてトップシェア

選ばれている理由

・エージェントレスの為、本番サーバへの影響がありません。
・低コストで、短期間かつ現行運用に負荷の掛からない構築導入が可能。※要件によっては最短1ヶ月の構築も可能。
・サーバや利用端末の台数・規模、ネットワーク構成に関わらず1セットの導入で対応可能。
・サーバOSに依存せず、UNIXサーバもWindowsサーバにおけるアクセス管理が可能。
・LDAP認証との連携により、本番環境へアクセスするIDと一元管理が可能。
・NRIグループのコンサルティングおよびシステム開発・運用の豊富なノウハウを蓄積。

主な利用ケース

監査機能の短期強化

IT全般統制における監査法人の指摘レベルが年々高度化し、不備内容への迅速な対応が求められています。
SecureCube / Access Checkは、既存システムに影響を与えず短期間で導入出来るため、J-SOX(IT全般統制、18号監査)、SAS70やPCI DSSのための適切なアクセス管理基盤を短期間に構築できます。

監査業務の効率化

特権ID利用における「申請~承認~証跡取得~事後確認」の監査業務は、システム化によって、より正確に、より効率化できます。
紙ベースの申請と承認、エクセルによる台帳管理、手作業での申請とログの突き合わせなどの業務を、SecureCube / Access Check上で運用することにより大幅な効率化が可能となります。

情報漏洩対策の強化

システム開発者がシステム運用をする...システムの内部を一番理解している人が運用まで行うことは、ITシステムの不正使用の温床となります。SecureCube / Access Checkで開発者と運用者のアクセス権限を変えることで職務権限分離を強力にサポートします。
また、SecureCube / Access CheckはサーバOSに依存せずに、UNIX系サーバも、Windowsサーバも操作ログを記録することで、内部不正への抑止効果と、不正操作の素早い検知が可能となります。

リモートアクセス環境の整備

自然災害やパンデミックなど、会社に出勤出来なくなる緊急事態に備え、リモートアクセス環境を強化するケースが増えています。
社外からのリモートアクセスによる本番作業を可能にするとともに、SecureCube / Access Checkによってアクセスした個人の特定や作業証跡の取得をすることで、セキュアなリモートアクセス環境を実現できます。

サイバー攻撃(標的型攻撃)への対策

社内OA環境と本番環境との境界に、SecureCube / Access Checkを監査ゲートウェイとして配置することで、万が一、マルウェア感染しても本番環境における特権ID不正利用のリスクを減らす効果が期待できます。


SecureCube / Access Check サービス紹介動画

特長

Point.1 大規模環境でも短期間で容易に導入可能、拡張も容易に可能

サーバやクライアントにアプリケーションをインストールする必要がないため、導入が簡単で早いのはもちろんのこと、本番サーバの既存アプリケーション動作に不具合が出るなどのリスクも軽減されます。
さらに、サーバや利用端末の規模・台数に関わらず、1セットで運用して頂けます。1セットで1万台以上の本番サーバのアクセス制御をした実績もあります。
また、異なるセグメント間にSecureCube / Access Checkを置くことにより、双方の異なるネットワークに対してアクセス管理が可能です。

SecureCube / Access Checkは、アクセス制御を行うための各種情報やアクセスログを管理する「Gateway Manager」と、接続先サーバへの中継機能を担う「Gateway Server」から構成されます。
利用者は、接続先サーバへアクセスする場合、初めにGateway Serverにアクセスします。その際、Gateway ServerとGateway Manager間でユーザ情報や制御情報のやり取りを行い、Gateway Managerによってアクセスが許可された場合のみ、接続先サーバへアクセスすることが可能となります。
Gateway Serverは、利用されるシステムの規模や要件に応じて、簡単にスケールアウト可能です。

Point.2 アクセス申請/承認によりアクセス統制を実現

利用者は、まずアクセス申請をSecureCube / Access CheckのWeb画面上で登録します。承認者は、申請された内容をSecureCube / Access CheckのWeb画面上で確認し、問題なければ承認します。

【アクセス承認 /申請画面】

本番サーバへアクセスする際には、まずSecureCube / Access CheckへアクセスしてSecureCube / Access Checkのユーザ認証を行います。その後、アクセスしたい本番サーバを指定し、従来通りrootやAdministratorなどの特権IDで本番サーバへログインします。申請が却下された場合は、該当のアクセスは切断され、本番サーバへはログインできません。

アクセスの目的や時間などの申請内容や、アクセス承認の履歴、利用者が本番サーバで操作した内容は、SecureCube / Access Checkで記録され、内部監査のモニタリングや、内部統制の証明として有効です。

Point.3 ログ取得、レポーティングにより監視・監査業務が効率化

サーバへアクセスした際の操作ログを記録します。TELNET/SSH, FTP, HTTP, CIFS, SCP/SFTP, RDPは全文ログ(操作ログ)が取得でき、入力されたコマンドなどすべての操作履歴が取得可能です。その他のTCPプロトコルについても、サマリーログ(アクセス記録)が取得可能です。

取得した記録は日次で集計し、管理者にメールで通知を行います。メールには、サマリーログの集計の他、アクセス拒否されたログの一覧、アクセス申請のアクセス予定時間を超過したログの一覧が含まれます。内容を確認し、気になるアクセスがある場合には詳細なログをSecureCube / Access CheckのWeb画面から確認していただくことが可能です。

【アクセス承認 /申請画面】

リモートデスクトップ接続を行った時の操作ログは動画(.avi形式)で取得されます。動画のログは、監査で必要な「作業を実施したアクティブな操作時のみのログ」を取得しているため、ログファイルサイズは小さくなります。

アクセス履歴を集中管理できるログ検索画面

【ログ検索結果の画面】


監査証跡となる申請書、ログ全文も添付されていて監査資料としても流用可能。

プロトコルアクセス制御※1ログ取得外部システム連携
ユーザ
認証
ポリシー※2申請・
承認
サマリ
ーログ
操作ログ外部
LDAP
特権PW
管理
Telnet
SSH
FTP
SFTP
SCP
RDP
HTTP(S) ※3 ※4 ×
CIFS ×
DB※5 ※6 ×
その他TCP※7 ※8 ×

    ※1 SecureCube / Access Checkの認証方式はパスワード認証(チャレンジ・レスポンス除く)となります。
    ※2 利用者の本番サーバへのアクセスを、どの端末から、どのプロトコルで、どのサーバへアクセスできるかを制御することが可能です。
    ※3 HTTP / HTTPS中継では、ポリシーに設定された「アクセス承認レベル」(承認の要否)のみを利用します。
     また、Gateway Server 毎に保存された設定ファイルにて、接続元のIPアドレス制限、および接続先のURL規制を行います。
    ※4 HTTP / HTTPS中継で取得される操作ログは、Web画面上で検索・閲覧・取得することはできません。
    ※5 DB中継機能は、Oracle SQL *Plusを利用した接続に限ります。
    ※6 DB中継の操作ログは、リクエストのみ取得されます。
    ※7 その他TCP中継を利用する際は、最低限、下記の条件を満たす必要があり、検証が必要です。
    ・ TCPプロトコルでサーバポート固定
    ・ クライアント側で明示的に接続先IPアドレス・ポート番号を指定(変更)可能
    ・ 接続後に、サーバ側からクライアントへセッションを張り直すようなことをしないこと
    ※8 その他TCP中継の操作ログは、TCPダンプレベルでの取得が可能ですが、バイナリ形式や暗号化されているため必ずしも監査に有効なログが取得できるとは限りません。

Point.4 アクセス申請内容と実操作ログを突合せし不正な操作を検知

事前申請と操作ログが一括管理されているため、申請内容と照合しながら操作内容を確認する事が可能です。大量のログと、紙ベースやメールベースで保管されている事前申請をIDや日時で突合せをする、といった手間・工数を大幅に削減致します。
また、ログ監査の強化として、telnet・sshの操作ログに対して、コマンドの検知が可能になります。あらかじめ登録しておいたコマンド操作が行われている場合、セッション終了と同時に取得した操作ログからキーワードを自動検索し、管理者に通知します。

アクセス申請内容と実操作ログを突合せし不正な操作を検知
【操作ログと申請書の突合せイメージ】
※画面のクリックで拡大表示します。
アクセス申請内容と実操作ログを突合せし不正な操作を検知

Point.5 様々な外部システムとの連携が可能(オプション)

SecureCube / Access Checkは、外部の「ワークフローシステム」、「LDAP/ActiveDirectory」、「高度認証システム」、「特権IDパスワード管理システム」、「統合ログ管理システム」と連携します。

「ワークフローシステム」連携
国内シェアNo.1のITIL/全般統制ツールSenjuServiceManagerと連携することにより本番アクセスに関連する変更管理、リリース管理などの業務プロセスとアクセス申請を一本化できます。

「LDAP/ActiveDirectory」連携

SecureCube / Access Checkの管理者・ユーザの認証に、外部のActive DirectoryサーバやLDAPサーバのID・パスワードを利用することが可能です。既存のLDAP環境を流用または、新規にLDAP環境を準備することにより、本番環境へアクセスするための利用IDを一元管理できます。

「高度認証システム」連携

SecureCube / Access Checkへログインする際に、多要素認証としてワンタイムパスワード(OTP)入力を必須化することで、PCI DSS Ver3.2の要件8.3に準拠する強固な高度認証を実現します。

「特権IDパスワード管理システム」連携

特権IDパスワード隠匿機能に加えて、サーバ側IDの定期パスワード自動変更を提供します。
特権IDを利用するユーザへ特権IDのパスワードを開示する必要はありません。
NRIセキュアでは、特権IDパスワード管理システムとして「PowerBroker® Password Safe」、および「iDoperation IM」を販売しております。また、それ以外の製品との連携も可能です。

「統合ログ管理システム」連携

統合ログ管理システムは、SecureCube / Access Checkが記録するサーバ機器へのアクセスログと、当該サーバ機器で記録されたシステムログを自動収集し、横断的な検索、分析、レポートを可能にします。

アクセス申請内容と実操作ログを突合せし不正な操作を検知

パンフレット

導入事例

関連情報