各種監査や基準(J-SOX、SAS70、PCIDSS、FISC等)において、アクセス管理は重要なカギです。また、委託先や内部の不正による情報漏えい事件や標的型サイバー攻撃が後をたたず、最近ではクラウド環境増加に伴い、重要資産がインターネット環境にさらされる機会も増えています。
そんな中、最高権限を持つ特権IDのアクセス管理(アクセス制御、監査ログ管理)をより厳密、かつ喫緊に対策することが強く求められます。

ところが各サーバに対して個別対策を実施するとなると、コストや導入期間、本番環境への影響、運用負荷増大といった壁に直面し、対策が遅れがちです。
システムが安全に運用されていることを保証するとともに、増え続けるサーバ群に対して費用対効果が高く、かつ迅速に対応することが求められています。

特権ID管理とは~特権IDの特徴と課題~

特権IDはLinuxでは「root」、Wndowsでは「Administrator」が代表的な例ですが、いずれも【 OS1つに対して1のみ】【絶対的な権限を有する】という大きな特徴があります。そのため、重要な権限にも関わらず、そのIDとパスワードは複数名で共有されることが多く、共有されるが故に、容易に想像可能なパスワードにしていることがしばしばあります。

「特権ID」が共有されており、かつ次のいずれかの状況に当てはまる場合は極めてリスクが高く、急ぎの対応が求められます。これらの問題を解決するために特権ID管理ソリューションの導入を検討されます。

・いつでも誰でもアクセス可能

利用者の心理的ハードルが低くなり、不要に特権IDを利用する、内部不正を引き起こす、などの要因になります。

・利用者個人を特定できない、または利用時の作業内容を把握できない

事件、事故が起きた場合、実際にどのユーザがどのような作業を実施したかを検証することが難しく、影響範囲の特定に時間・コストがかかる要因になります。調査したが原因不明という事態にもなりかねません。

SecureCube / Access Checkとは

SecureCube / Access Checkは、IT統制とシステム運用の現場を知り尽くしたNRIセキュアが提供する、プロキシサーバ(踏み台)型の特権IDアクセス管理製品です。

本番サーバーの手前にゲートウェイとして設置し、予防的統制と発見的統制を厳密に、かつ効率化できます。それにより、特権ID利用における「申請」「承認」「証跡取得」「事後確認」といった監査業務をより正確かつ効率化できます。

金融機関様をはじめ、流通業、製造業など業種問わず様々なお客様に導入いただいており、シェアNo1です。自社開発製品ならではの、きめ細かい保守・サポート体制や、お客様の声を反映した機能拡張へも高い評価を頂いております。

エージェントレス型の実践的な仕組みで、特権IDの予防的統制と発見的統制を実現

各サーバの既存ID/パスワードをそのまま活用して、運用者や開発者のサーバへのアクセス制御が可能です。
各サーバの特権ID/パスワードを複数の運用者や開発者が共有している場合でも、SecureCube / Access Check上でユーザごとのきめ細やかなアクセス制御/ログ管理を実現します。

・予防的統制

利用者の本番サーバへのアクセスは、どの端末から、どのプロトコルで、どのサーバへアクセスできるかを制御することが可能です。ワークフロー制御を利用すれば、事前に申請し、申請が承認されないと本番サーバに接続できません。また、特権IDのパスワード管理機能によって、利用者にパスワードを共有しない運用も可能です。さらに、あらかじめ登録した不正とみなす行為が行われると即時に接続を遮断することも可能です。
こうした多層型の予防的統制により、堅牢な情報漏洩対策を実現します。

・発見的統制

アクセス時のすべての操作履歴が取得、保存されます。また、事前に申請した内容と操作ログを自動的に紐づけられるため、申請内容と操作内容の突合せ監査作業が効率的にできます。

多くの企業に選ばれてトップシェア

選ばれている理由

・エージェントレスの為、本番サーバへの影響がありません。

・低コストで、短期間かつ現行運用に負荷の掛からない構築導入が可能。※要件によっては最短1ヶ月の構築も可能。

・サーバや利用端末の台数・規模、ネットワーク構成に関わらず1セットの導入で対応可能。

・サーバOSに依存せず、UNIXサーバもWindowsサーバにおけるアクセス管理が可能。

・LDAP認証との連携により、本番環境へアクセスするIDと一元管理が可能。

・NRIグループのコンサルティングおよびシステム開発・運用の豊富なノウハウを蓄積。

主な利用ケース

監査機能の短期強化

IT全般統制における監査法人の指摘レベルが年々高度化し、不備内容への迅速な対応が求められています。
SecureCube / Access Checkは、既存システムに影響を与えず短期間で導入出来るため、J-SOX(IT全般統制、18号監査)、SAS70やPCI DSSのための適切なアクセス管理基盤を短期間に構築できます。

監査業務の効率化

特権ID利用における「申請~承認~証跡取得~事後確認」の監査業務は、システム化によって、より正確に、より効率化できます。
紙ベースの申請と承認、エクセルによる台帳管理、手作業での申請とログの突き合わせなどの業務を、SecureCube / Access Check上で運用することにより大幅な効率化が可能となります。

情報漏洩対策の強化

システム開発者がシステム運用をする...システムの内部を一番理解している人が運用まで行うことは、ITシステムの不正使用の温床となります。SecureCube / Access Checkで開発者と運用者のアクセス権限を変えることで職務権限分離を強力にサポートします。
また、SecureCube / Access CheckはサーバOSに依存せずに、UNIX系サーバも、Windowsサーバも操作ログを記録することで、内部不正への抑止効果と、不正操作の素早い検知が可能となります。

リモートアクセス環境の整備

自然災害やパンデミックなど、会社に出勤出来なくなる緊急事態に備え、リモートアクセス環境を強化するケースが増えています。
社外からのリモートアクセスによる本番作業を可能にするとともに、SecureCube / Access Checkによってアクセスした個人の特定や作業証跡の取得をすることで、セキュアなリモートアクセス環境を実現できます。

サイバー攻撃(標的型攻撃)への対策

社内OA環境と本番環境との境界に、SecureCube / Access Checkを監査ゲートウェイとして配置することで、万が一、マルウェア感染しても本番環境における特権ID不正利用のリスクを減らす効果が期待できます。

SecureCube / Access Check サービス紹介動画

特長

Point.1 大規模環境でも短期間で容易に導入可能、拡張も容易に可能

サーバやクライアントにアプリケーションをインストールする必要がないため、導入が簡単で早いのはもちろんのこと、本番サーバの既存アプリケーション動作に不具合が出るなどのリスクも軽減されます。
さらに、サーバや利用端末の規模・台数に関わらず、1セットで運用して頂けます。1セットで1万台以上の本番サーバのアクセス制御をした実績もあります。
また、異なるセグメント間にSecureCube / Access Checkを置くことにより、双方の異なるネットワークに対してアクセス管理が可能です。

Point.2 アクセス申請/承認によりアクセス統制を実現

利用者は、まずアクセス申請をSecureCube / Access CheckのWeb画面上で登録します。承認者は、申請された内容をSecureCube / Access CheckのWeb画面上で確認し、問題なければ承認します。

ac_point2.PNG 

 

本番サーバへアクセスする際には、まずSecureCube / Access CheckへアクセスしてSecureCube / Access Checkのユーザ認証を行います。その後、アクセスしたい本番サーバを指定し、従来通りrootやAdministratorなどの特権IDで本番サーバへログインします。申請が却下された場合は、該当のアクセスは切断され、本番サーバへはログインできません。

アクセスの目的や時間などの申請内容や、アクセス承認の履歴、利用者が本番サーバで操作した内容は、SecureCube / Access Checkで記録され、内部監査のモニタリングや、内部統制の証明として有効です。

Point.3 ログ取得、レポーティングにより監視・監査業務が効率化

サーバへアクセスした際の操作ログを記録します。TELNET/SSH, FTP, SCP/SFTP, CIFS, TNS, HTTP/HTTPS, RDPは全文ログ(操作ログ)が取得でき、入力されたコマンドなどすべての操作履歴が取得可能です。その他のTCPプロトコルについても、サマリーログ(アクセス記録)が取得可能です。

【アクセス承認 /申請画面】

取得した記録は日次で集計し、管理者にメールで通知を行います。メールには、サマリーログの集計の他、アクセス拒否されたログの一覧、アクセス申請のアクセス予定時間を超過したログの一覧が含まれます。内容を確認し、気になるアクセスがある場合には詳細なログをSecureCube / Access CheckのWeb画面から確認していただくことが可能です。

リモートデスクトップ接続を行った時の操作ログは動画(.avi形式)で取得されます。動画のログは、監査で必要な「作業を実施したアクティブな操作時のみのログ」を取得しているため、ログファイルサイズは小さくなります。

ログ検索結果の画面

監査証跡となる申請書、ログ全文も添付されていて監査資料としても流用可能。

ac_point3-2.PNG

Point.4 アクセス申請内容と実操作ログを突合せし不正な操作を検知

事前申請と操作ログが一括管理されているため、申請内容と照合しながら操作内容を確認する事が可能です。大量のログと、紙ベースやメールベースで保管されている事前申請をIDや日時で突合せをする、といった手間・工数を大幅に削減致します。
また、ログ監査の強化として、telnet・sshの操作ログに対して、コマンドの検知が可能になります。あらかじめ登録しておいたコマンド操作が行われている場合、セッション終了と同時に取得した操作ログからキーワードを自動検索し、管理者に通知します。

ac_point4-1.png

【操作ログと申請書の突合せイメージ】

アクセス申請内容と実操作ログを突合せし不正な操作を検知

Point.5 様々な外部システムとの連携が可能

SecureCube / Access Checkは、APIを公開しており、外部システムとの連携が容易です。また、オプションとして「ActiveDirectory」、「高度認証機能(Uni-ID MFA)」、「統合ログ管理システム」との連携をご利用できます。

「ActiveDirectory」連携

SecureCube / Access Checkの管理者・ユーザの認証に、外部のActive DirectoryサーバのID・パスワードを利用することが可能です。既存のActive Directoryを流用または、新規にActive Directoryを準備することにより、本番環境へアクセスするための利用IDを一元管理できます。

「高度認証機能(Uni-ID MFA)」連携

SecureCube / Access Checkへログインする際に、多要素認証としてワンタイムパスワード(OTP)入力を必須化することで、PCI DSS Ver3.2の要件8.3に準拠する強固な高度認証を実現します。

「統合ログ管理システム」連携

統合ログ管理システムは、SecureCube / Access Checkが記録するサーバ機器へのアクセスログと、当該サーバ機器で記録されたシステムログを自動収集し、横断的な検索、分析、レポートを可能にします。

パンフレット

導入事例

関連情報