特権ID管理ソリューション「SecureCube / Access Check」

NRIセキュアテクノロジーズ株式会社  2017年11月07日

IT統制や内部犯行対策、標的型攻撃対策、PCI DSS要件準拠などに実効力ある特権ID管理を。 エージェントレスにより、特権IDのアクセス管理/ログ管理を、既存システムへの影響を最小限に、低負荷、低コスト、短期間で実現。

製品概要

IT統制とシステム運用の現場を知り尽くしたNRIセキュアが提供する、エージェントの導入が不要なプロキシサーバ(踏み台)型のアクセス管理製品です。

サーバとクライアントの間に設置するだけで、厳密なアクセス制御を行えるだけではなく、「誰が・いつ・どのPCから・どのプロトコルで・どのサーバにアクセスをし、何をしたか」をモニタリングできるようになります。
稼働している本番サーバやクライアントに新たにエージェントをインストールする必要がないため、導入時のリスクやテスト工数を最小限に抑えることができます。 また、本番サーバの台数変更やクライアント追加の際も、新しくライセンスをご購入頂く必要はなく、経済面でも効率的にお使い頂けます。

エージェントレス型としては、特権ID管理ツールで多数の実績があり、金融機関様をはじめとして、流通業、製造業のお客様からも多くお引き合いを頂いております。 2016年2月現在、300社程のお客様に導入頂いており、自社開発製品ならではの、きめ細かい保守・サポート体制や、お客様の声を反映した機能拡張へも高い評価を頂いております。

<主な利用ケース>
■監査機能の短期強化
IT全般統制における監査法人の指摘レベルが年々高度化し、不備内容への迅速な対応が求められています。
Access Checkは、既存システムに影響を与えず短期間で導入出来るため、J-SOX(IT全般統制、18号監査)、SAS70やPCI DSSのための適切なアクセス管理基盤を短期間に構築できます。

■監査業務の効率化
特権ID利用における「申請~承認~証跡取得~事後確認」の監査業務は、システム化によって、より正確に、より効率できます。
紙ベースの申請と承認、エクセルによる台帳管理、手作業での申請とログの突き合わせ、などの業務をAccess Check上で運用することが大幅な効率化が可能となります。

■情報漏洩対策の強化
システム開発者がシステム運用をする…システムの内部を一番理解している人が運用まで行うことは、ITシステムの不正使用の温床となります。Access Checkで開発者と運用者のアクセス権限を変えることで職務権限分離を強力にサポートします。
また、Access CheckはサーバOSに依存せずに、UNIX系サーバも、Windowsサーバも操作ログを記録することで、内部不正への抑止効果と、不正操作の素早い検知が可能となります。

■リモートアクセス環境の整備
自然災害やパンデミックなど、会社に出勤出来なくなる緊急事態に備え、リモートアクセス環境を強化するケースが増えています。
社外からのリモートアクセスによる本番作業を可能にするとともに、Access Checkによってアクセスした個人の特定や作業証跡の取得をすることで、セキュアなリモートアクセス環境を実現できます。

■サイバー攻撃(標的型攻撃)への対策
社内OA環境と本番環境との境界に、Access Checkを監査ゲートウェイとして配置することで、万が一、マルウェア感染しても本番環境における特権ID不正利用のリスクを減らす効果が期待できます。

特徴

<特長1>大規模環境でも、エージェントレスだからスムーズに導入可能
サーバやクライアントにアプリケーションをインストールする必要がないため、導入が簡単で早いのはもちろんのこと、本番サーバの既存アプリケーション動作に不具合が出るなどのリスクも軽減されます。

さらに、サーバや利用端末の規模・台数に関わらず、1セットで運用して頂けます。また、異なるセグメントの間にSecureCube / Access Checkを置くことにより、双方の異なるネットワークに対してアクセス管理が可能となります。


<特長2>アクセス申請/承認によりアクセス統制を実現
ユーザからのアクセス申請に対して、承認/却下のコントロールが可能なほか、アクセスの目的や時間などの申請内容や、アクセス承認の履歴が記録されます。これにより、日本版SOX法のIT全般統制やSAS70や、18号監査で必要とされる、アクセス制御、アクセス申請に対する承認、実際の操作内容の記録を実現しており、内部統制の証明としても有効です。

<特長3>特権IDパスワード管理昨日で特権IDのパスワードを秘匿(オプション)
より厳格に特権IDを管理する手法として、Access Checkでは特権IDのパスワードを共有せずに運用することが可能です。
定期的に特権IDのパスワードを変更し、特権IDのパスワードを隠蔽することが可能です。

ユーザが利用する際には、申請された接続先サーバへ自動ログインするため、申請されていない他サーバへの不正ログインを防ぐことができ、より強固なアクセス制御を可能にします。

<特長4>ログ取得、レポーティングにより監視・監査業務が効率化
 サーバへアクセスした際の操作ログを記録します。TELNET/SSH, FTP, HTTP, CIFS, SCP/SFTP, RDPは全文ログ(操作ログ)が取得でき、入力されたコマンドなどすべての操作履歴が取得可能です。その他のTCPプロコトルについても、サマリーログ(アクセス記録)が取得可能です。

取得した記録は日次で集計し、管理者にメールで通知を行います。メールには、サマリーログの集計の他、アクセス拒否されたログの一覧、アクセス申請のアクセス予定時間を超過したログの一覧が含まれます。内容を確認し、気になるアクセスがある場合には詳細なログをAccess CheckのWeb画面から確認していただくことが可能です。


<特長5>アクセス申請内容と実操作ログを突き合わせし、不正な操作を検知
事前申請と操作ログが一括管理されているため、申請内容と照合しながら操作内容を確認する事が可能です。大量のログと、紙ベースやメールベースで保管されている事前申請をIDや日時で突合せをする、といった手間・工数を大幅に削減致します。
また、ログ監査の強化として、telnet・sshの操作ログに対して、コマンドの検知が可能になります。あらかじめ登録しておいたコマンド操作が行われている場合、セッション終了と同時に取得した操作ログからキーワードを自動検索し、管理者に通知します。

<特長6>LDAP連携により利用IDの一元管理が可能(オプション)
SecureCube / Access Checkの管理者・ユーザの認証に、外部のActive DirectoryサーバやLDAPサーバのID・パスワードを利用することが可能です。既存のLDAP環境を流用または、新規にLDAP環境を準備することにより、本番環境へアクセスするための利用IDを一元管理することが可能となります。