NRIセキュアテクノロジーズ

Home > サービス案内 > 特権ID管理ソリューション SecureCube / Access Check

特権ID管理ソリューション SecureCube / Access Check

TOP

今求められる特権IDのアクセス管理を短期間かつ低コストで実現

IT全般統制や情報漏えい対策のカギ!〜特権IDのアクセス管理〜

内部統制への取り組みに欠かせない「IT全般統制」。情報システムに対する統制を実効的に機能させるためには、アクセス管理が重要なカギとなります。
昨今、内部犯行による情報漏えい事故が後を絶たないことからも、特権IDは最高権限を持つため、より厳密なアクセス管理(アクセス制御、監査ログ管理)が強く求められます。
ところが各サーバに対して個別対策を実施するとなると、コストや導入期間、本番環境への影響、運用負荷増大といった壁に直面し、対策が遅れがちです。
そんないま、システムが安全に運用されていることを保証するとともに、増え続けるサーバ群に対して費用対効果が高く、かつ迅速に対応することが求められています。

そこで、NRIセキュアからのご提案です。

SecureCube / Access Checkとは

IT統制とシステム運用の現場を知り尽くしたNRIセキュアが提供する、エージェントの導入が不要なプロキシサーバ(踏み台)型のアクセス管理製品です。

稼働している本番サーバやクライアントに新たにエージェントをインストールする必要がないため、導入時のリスクやテスト工数を最小限に抑えることができます。また、本番サーバの台数変更やクライアント追加の際も、新しくライセンスをご購入頂く必要はなく、経済面でも効率的にお使い頂けます。

エージェントレス型としては、特権ID管理ツールで多数の実績があり、金融機関様をはじめとして、流通業、製造業のお客様からも多くお引き合いを頂いております。 2016年 1月現在、300社程のお客様に導入頂いており、自社開発製品ならではの、きめ細かい保守・サポート体制や、お客様の声を反映した機能拡張へも高い評価を頂いております。

多くの企業に選ばれてトップシェア

選ばれている理由

  • エージェントレスの為、本番サーバへの影響がありません。
  • 低コストで、短期間かつ現行運用に負荷の掛からない構築導入が可能。
    ※要件によっては最短1ヶ月の構築も可能。
  • サーバや利用端末の台数・規模、ネットワーク構成に関わらず1セットの導入で対応可能。
  • サーバOSに依存せず、UNIXサーバもWindowsサーバにおけるアクセス管理が可能。
  • LDAP認証との連携により、本番環境へアクセスするIDと一元管理が可能。
  • NRIグループのコンサルティングおよびシステム開発・運用の豊富なノウハウを蓄積。

なぜ、いまSecureCube / Access Checkの主な利用ケース

監査機能の短期強化
IT全般統制における監査法人の指摘レベルが年々高度化し、不備内容への迅速な対応が求められています。
SecureCube / Access Checkは、既存システムに影響を与えず短期間で導入出来るため、J-SOX(IT全般統制、18号監査)、SAS70やPCI DSSのための適切なアクセス管理基盤を短期間に構築できます。
監査業務の効率化
特権ID利用における「申請〜承認〜証跡取得〜事後確認」の監査業務は、システム化によって、より正確に、より効率化できます。
紙ベースの申請と承認、エクセルによる台帳管理、手作業での申請とログの突き合わせなどの業務を、SecureCube / Access Check上で運用することにより大幅な効率化が可能となります。
情報漏洩対策の強化
システム開発者がシステム運用をする…システムの内部を一番理解している人が運用まで行うことは、ITシステムの不正使用の温床となります。SecureCube / Access Checkで開発者と運用者のアクセス権限を変えることで職務権限分離を強力にサポートします。
また、SecureCube / Access CheckはサーバOSに依存せずに、UNIX系サーバも、Windowsサーバも操作ログを記録することで、内部不正への抑止効果と、不正操作の素早い検知が可能となります。
リモートアクセス環境の整備
自然災害やパンデミックなど、会社に出勤出来なくなる緊急事態に備え、リモートアクセス環境を強化するケースが増えています。
社外からのリモートアクセスによる本番作業を可能にするとともに、SecureCube / Access Checkによってアクセスした個人の特定や作業証跡の取得をすることで、セキュアなリモートアクセス環境を実現できます。
サイバー攻撃(標的型攻撃)への対策
社内OA環境と本番環境との境界に、SecureCube / Access Checkを監査ゲートウェイとして配置することで、万が一、マルウェア感染しても本番環境における特権ID不正利用のリスクを減らす効果が期待できます。

SecureCube / Access Check サービス紹介動画

PAGE TOP

概要サービス開始年月 | 2005年5月 |

システム管理運用の現場の声から生まれたアクセス管理のベストプラクティス

エージェントレスのアクセス管理ツールであるSecureCube / Access Checkは、既存システムに影響を与えずに導入できるのが特徴です。

SecureCube / Access CheckのIDを利用して個人を特定するため、各サーバ上に開発者、運用者ごとのIDを発行する必要はありません。

サーバとクライアントの間に設置するだけで、厳密なアクセス制御を行えるだけではなく、「誰が・いつ・どのPCから・どのプロトコルで・どのサーバにアクセスをし、何をしたか」をモニタリングできるようになります。

エージェントレス型の実践的な仕組みで、特権IDの予防的統制と発見的統制を実現

各サーバの既存ID/パスワードをそのまま活用して、運用者や開発者のサーバへのアクセス制御が可能です。
各サーバの特権ID/パスワードを複数の運用者や開発者が共有している場合でも、SecureCube / Access Check上でユーザごとのきめ細やかなアクセス制御/ログ管理を実現します。

予防的統制
利用者の本番サーバへのアクセスは、どの端末から、どのプロトコルで、どのサーバへアクセスできるかを制御することが可能です。さらに、ワークフロー制御を利用すれば、事前に申請し、申請が承認されないと本番サーバに接続できません。また、特権IDのパスワード管理機能によって、利用者にパスワードを共有しない運用も可能です。
こうした多層型の予防的統制により、堅牢な情報漏洩対策を実現します。
発見的統制
アクセス時のすべての操作履歴が取得、保存されます。また、事前に申請した内容と操作ログを自動的に紐づけられるため、申請内容と操作内容の突合せ監査作業が効率的にできます。

運用イメージ

利用者は、まずアクセス申請をSecureCube / Access CheckのWeb画面上で登録します。申請登録時に、利用者、および承認者宛てに通知メールが送付されます。
承認者は、申請された内容をSecureCube / Access CheckのWeb画面上で確認し、問題なければ承認します。承認時には、利用者、および承認者宛てに通知メールが送付されます。
本番サーバへアクセスする際には、まずSecureCube / Access CheckへアクセスしてSecureCube / Access Checkのユーザ認証を行います。SecureCube / Access Checkの認証後、アクセスしたい本番サーバを指定し、従来通りrootやAdministratorなどの特権IDで本番サーバへログインします。
利用者が本番サーバで操作した内容は、SecureCube / Access Checkでログ取得され、アクセス申請と合わせて保存されるため、内部監査のモニタリングに役立ちます。

スケールアウトにも対応可能なシステム構成

SecureCube / Access Checkは、アクセス制御を行うための各種情報やアクセスログを管理する「Gateway Manager」と、接続先サーバへの中継機能を担う「Gateway Server」から構成されます。
利用者は、接続先サーバへアクセスする場合、初めにGateway Serverにアクセスします。その際、Gateway ServerとGateway Manager間でユーザ情報や制御情報のやり取りを行い、Gateway Managerによってアクセスが許可された場合のみ、接続先サーバへアクセスすることが可能となります。
Gateway Serverは、利用されるシステムの規模や要件に応じて、簡単にスケールアウト可能です。

PAGE TOP

特長

Point.1 大規模環境でもエージェントレスだからスムーズに導入可能

サーバやクライアントにアプリケーションをインストールする必要がないため、導入が簡単で早いのはもちろんのこと、本番サーバの既存アプリケーション動作に不具合が出るなどのリスクも軽減されます。

さらに、サーバや利用端末の規模・台数に関わらず、1セットで運用して頂けます。また、異なるセグメントの間にSecureCube / Access Checkを置くことにより、双方の異なるネットワークに対してアクセス管理が可能となります。

※1セットで運用されているユーザ例(ご参考)
企業 利用ユーザ数 本番サーバ数
証券業 約1,000 約1,650
情報処理業 約2,200 約300
教育関連業 約700 約300
金融情報業 約300 約300

Point.2 アクセス申請/承認によりアクセス統制を実現

ユーザからのアクセス申請に対して、承認/却下のコントロールが可能なほか、アクセスの目的や時間などの申請内容や、アクセス承認の履歴が記録されます。これにより、日本版SOX法のIT全般統制やSAS70や、18号監査で必要とされる、アクセス制御、アクセス申請に対する承認、実際の操作内容の記録を実現しており、内部統制の証明としても有効です。

【アクセス承認 /申請画面】
【アクセス承認 /申請画面】 ※画面のクリックで拡大表示します。

特権パスワード管理機能【オプション機能】

より厳格に特権IDを管理する手法として、SecureCube / Access Checkでは特権IDのパスワードを共有せずに運用することが可能です。
定期的に特権IDのパスワードを変更し、特権IDのパスワードを隠蔽することが可能です。

ユーザが利用する際には、申請された接続先サーバへ自動ログインするため、申請されていない他サーバへの不正ログインを防ぐことができ、より強固なアクセス制御を可能にします。

  • ※ 特権IDパスワード管理システムの利用には、オプション購入が必要です。
  • ※ NRIセキュアでは、特権IDパスワード管理システムとして「PowerBrokerR Password Safe」「iDoperation IM」を販売しております。また、それ以外の製品との連携も可能です。

Point.3 ログ取得、レポーティングにより監視・監査業務が効率化

サーバへアクセスした際の操作ログを記録します。TELNET/SSH, FTP, HTTP, CIFS, SCP/SFTP, RDPは全文ログ(操作ログ)が取得でき、入力されたコマンドなどすべての操作履歴が取得可能です。その他のTCPプロトコルについても、サマリーログ(アクセス記録)が取得可能です。

取得した記録は日次で集計し、管理者にメールで通知を行います。メールには、サマリーログの集計の他、アクセス拒否されたログの一覧、アクセス申請のアクセス予定時間を超過したログの一覧が含まれます。内容を確認し、気になるアクセスがある場合には詳細なログをSecureCube / Access CheckのWeb画面から確認していただくことが可能です。

【アクセス承認 /申請画面】
【Windowsログ取得イメージ】

リモートデスクトップ接続を行った時の操作ログは動画(.avi形式)で取得されます。動画のログは、監査で必要な「作業を実施したアクティブな操作時のみのログ」を取得しているため、ログファイルサイズは小さくなります。

アクセス履歴を集中管理できるログ検索画面

【ログ検索結果の画面】
監査証跡となる申請書、ログ全文も添付されていて監査資料としても流用可能。

※画面のクリックで拡大表示します。

プロトコル アクセス制御※1 ログ取得 外部システム連携
ユーザ
認証
ポリシー※2 申請・
承認
サマリ
ーログ
操作ログ 外部
LDAP
特権PW
管理
Telnet
SSH
FTP
SFTP
SCP
RDP
HTTP(S) ※3 ※4 ×
CIFS ×
DB※5 ※6 ×
その他TCP※7 ※8 ×
  • ※1 SecureCube / Access Checkの認証方式はパスワード認証(チャレンジ・レスポンス除く)となります。
  • ※2 利用者の本番サーバへのアクセスを、どの端末から、どのプロトコルで、どのサーバへアクセスできるかを制御することが可能です。
  • ※3 HTTP / HTTPS中継では、ポリシーに設定された「アクセス承認レベル」(承認の要否)のみを利用します。
    また、Gateway Server 毎に保存された設定ファイルにて、接続元のIPアドレス制限、および接続先のURL規制を行います。
  • ※4 HTTP / HTTPS中継で取得される操作ログは、Web画面上で検索・閲覧・取得することはできません。
  • ※5 DB中継機能は、Oracle SQL *Plusを利用した接続に限ります。
  • ※6 DB中継の操作ログは、リクエストのみ取得されます。
  • ※7 その他TCP中継を利用する際は、最低限、下記の条件を満たす必要があり、検証が必要です。
    ・ TCPプロトコルでサーバポート固定
    ・ クライアント側で明示的に接続先IPアドレス・ポート番号を指定(変更)可能
    ・ 接続後に、サーバ側からクライアントへセッションを張り直すようなことをしないこと
  • ※8 その他TCP中継の操作ログは、TCPダンプレベルでの取得が可能ですが、バイナリ形式や暗号化されているため必ずしも監査に有効なログが取得できるとは限りません。

Point.4 アクセス申請内容と実操作ログを突合せし不正な操作を検知

事前申請と操作ログが一括管理されているため、申請内容と照合しながら操作内容を確認する事が可能です。大量のログと、紙ベースやメールベースで保管されている事前申請をIDや日時で突合せをする、といった手間・工数を大幅に削減致します。
また、ログ監査の強化として、telnet・sshの操作ログに対して、コマンドの検知が可能になります。あらかじめ登録しておいたコマンド操作が行われている場合、セッション終了と同時に取得した操作ログからキーワードを自動検索し、管理者に通知します。

アクセス申請内容と実操作ログを突合せし不正な操作を検知
【操作ログと申請書の突合せイメージ】
※画面のクリックで拡大表示します。
アクセス申請内容と実操作ログを突合せし不正な操作を検知

Point.5 LDAP連携により利用IDの一元管理が可能(オプション)

SecureCube / Access Checkの管理者・ユーザの認証に、外部のActive DirectoryサーバやLDAPサーバのID・パスワードを利用することが可能です。既存のLDAP環境を流用または、新規にLDAP環境を準備することにより、本番環境へアクセスするための利用IDを一元管理することが可能となります。

SecureCube / Access Check 利用フロー
アクセス申請内容と実操作ログを突合せし不正な操作を検知
PAGE TOP

導入事例

内部統制のためのアクセス管理ツールとしてSecureCube / Access Checkを導入。効率的なセキュリティ管理策を低コストで実現。 
		出光興産株式会社 様

27,000ノードにのぼるサーバへの社内アクセスを集中的に管理アクセス制御の品質と効率を大幅にアップ 
		株式会社インターネットイニシアティブ 様

中国現地法人にも必要な金融商品取引法対応をSecureCube / Access Checkの導入で解決。中国ならではの課題に対応して早期導入を実現
		コニカミノルタビジネスソリューションズ(中国)有限公司 様

自社の運用実態に即した厳密なアクセス管理を、プロジェクト開始から3ヶ月で実現。
		ヤマハ発動機株式会社 様

PAGE TOP

料金表

商品 監視
対象数※注2
価格 保守費
(年額)※注3
基本ライセンス※注1 1〜10 290万円 58万円
11〜50 680万円 136万円
51〜200 945万円 189万円
無制限 1280万円 256万円
オプション
ライセンス
Gateway Server追加オプション 320万円 64万円
動画変換オプション 160万円 32万円
LDAP連携オプション 160万円 32万円
連携製品※注4 特権パスワード管理オプション 1〜10 140万円〜 28万円〜
11〜50 260万円〜 52万円〜
51〜200 400万円〜 80万円〜
201〜 個別見積 左記の20%
構築支援※注5 初期構築パック(Platinum) 240万円
初期構築パック(Gold) 160万円
初期構築パック(Silver) 24万円
遠隔出張構築パック※注6 20万円

※表記金額は税別料金です。消費税が別途加算されます。

  • ※注1 基本ライセンスには、「Gateway Manager 1台 (HA構成用のインストールは含む) / Gateway Server 2台」が上限として含まれます。
  • ※注2 監視対象数は、SecureCube / Access Checkは論理IPアドレス数が基準になります。
  • ※注3 ライセンスの保守費用は、初年度よりライセンス価格(定価)の20%となります。
  • ※注4 NRIセキュアでは、「PowerBrokerR Password Safe」「iDoperation IM」を取扱販売しております。
  • ※注5 初期構築パックは、(Platinum)(Gold)(Silver)のいずれかを選択していただきます。
  • ※注6 構築パック購入時に、日本国内で弊社本社から100km以上の移動を伴う際に本パッケージをご利用頂きます。(離島は除く)
PAGE TOP
お問い合わせ / 資料請求

ご不明な点、ご要望、ご相談等ありましたら、お気軽にお問い合わせください。資料請求も承っております。

お問い合わせ 資料請求

このページを印刷