by 石井 一志
エンカレッジ・テクノロジ株式会社(以下、エンカレッジ)は、特権ID管理ソフトウェア「ESS AdminONE」の新版「同 V1.3」を5月末に販売開始すると発表した。SaaS/PaaSの管理者アカウントにおける統制を強化するため、SAML連携による特権アクセス制御に対応するといった強化が行われている。
ESS AdminONEは、コンピュータシステムに対してあらゆる権限を有する特権IDの適切な管理を行うことで、内外のセキュリティ脅威からシステムを守り、システム運用の安全と安定稼働を実現するソフトウェア。
今回の新版では、特権アクセス制御の方式として、外部IDプロバイダ(IdP)を用いた認証プロセスにESS AdminONEが介在することでアクセス制御を行うSAML連携方式を追加した。ESS AdminONEであらかじめアクセス申請承認手続きをしておくことで、許可された作業者が特定のWebサービスに対してのみ期間限定でアクセスできる仕組みを提供する。これにより、iDaaSで認証する複数Webサービスのシングルサインオン(SSO)環境において、よりきめ細やかな統制を実現するとのこと。
エンカレッジでは、以前から提供しているパスワード管理方式と、新たに追加されたSAML連携方式の2種類を、管理対象システムによって使い分けることで、OS、ミドルウェア、ネットワーク機器、SaaS/PaaSなど、さまざまなシステムの特権IDを、最適な方式を用いて一元的に管理可能になると、その効果を説明している。
また今回は、管理対象システム内に存在するアカウントの一覧を定期的に抽出し、管理外のアカウントが存在していないか、過剰な権限などが付与されていないかなどの棚卸しを自動実行する機能が追加された。前回、あるいは任意の棚卸し実行結果と比較し、新たに作成されたアカウントや削除されたアカウント、権限などの属性が変更されているアカウントなどの差分を出力する、差分比較を行えるので、前回の棚卸し結果との比較を目視で行う必要がなく、効率的な棚卸しを実現するとしている。
さらに、パスワード管理方式の拡大も実施した。以前は、システムとしてパスワード変更を行わない「パスワード・認証鍵固定」、もしくは、定期変更設定や貸出前後にランダム化処理を行う「パスワード・認証鍵 自動更新」の2種類の管理方式に対応していたが、今回は、定期変更の対象とするものの、貸出前後にはランダム化処理をしない管理方式を選択可能にしている。
この変更により、不正アクセスの恐れを察知した場合など、管理者の任意のタイミングでパスワード変更処理を行ったり、APIを介してパスワード変更処理を行ったりするなど、より臨機応変なパスワード管理が可能になったとのこと。
このほか今回は、ESS AdminONEの管理サーバーが障害等によりサービス利用できない状況となった場合でも、管理対象システムへ継続してアクセスできるように、緊急用アクセス手段を確保できる手段を用意した。具体的には、対象システムごとに緊急用アカウントを指定しておくと、パスワードが保存された暗号化圧縮ファイルをパスワード変更の度に生成する仕組み。緊急時は、暗号化圧縮ファイルを解凍することで、システムに接続するためのパスワードを入手可能になるという。
なお暗号化圧縮ファイルの保存先は、外部ストレージなどAdminONE管理サーバーとは別ノードを指定できるため、ハードウェア障害等によって暗号化圧縮ファイルそのものが失われるリスクにも対処できるとしている。
