エンカレッジ・テクノロジは10月26日、オンライン・オフラインで記者説明会を開催し、次世代型特権ID 管理ソフトウェアの最新バージョン「ESS AdminONE V1.1(イーエスエスアドミンワン)」を11月2日から販売開始すると発表した。なお、今年3月に新製品として販売開始して以降、最初の大型バージョンアップとなる。

環境変化により求められる特権ID管理製品

特権IDは、コンピューターシステムに対して、あらゆる権限を有する特別なアカウントで、不正使用・権限濫用などのリスクが高いことから適切な管理が必要とされている。ESS AdminONEは、特権IDの適切な管理を行うことで、特管理不備によるセキュリティリスクを低減し、コンピューターシステムの安全を担保するソフトウェアだ。

ESS AdminONEを3月に提供開始した背景について、エンカレッジ・テクノロジ 代表取締役社長の石井進也氏は「オンプレミス環境からのクラウドへの移行や多様なソフトウェアの運用管理・維持の効率化、大規模システムでのバージョンアップに手間がかかるなどの影響により、数年で市場が大きく変化していたからだ。特徴は永久的に保守サービスを展開できることに加え、多種多様なソフトウェアとの連携を実現できる」と話す。

  • エンカレッジ・テクノロジ 代表取締役社長の石井進也氏

    エンカレッジ・テクノロジ 代表取締役社長の石井進也氏

同製品は、オンプレミスのOS・ミドルウェア、クラウドサービス(IaaS・SaaS)、カスタムアプリケーションなど、さまざまなシステムを統合的に管理することが可能なことに加え、アクセス制御、パスワード・鍵管理、ログ検査をはじめ、特権IDの管理に必要な要件を標準パッケージとして提供し、オプション費用を要することなく利用できるという。

また、ESS AdminONEサーバはREST API(Webシステムと同様にHTTPSでシステム間連携を行うAPI)を全面的に公開しており、システム間連携やRPA(Robotic Process Automation)を用いた運用自動化における特権IDの一時貸与が可能。

さらに、委託先によるリモートアクセス、クラウド上のシステムなど、ネットワークの境界をまたぐ特権アクセスに対して、正規アクセスのみを正しく識別できるよう多要素認証、ゲートウェイによるアクセス制御など複数の要素を多層的に組み合わせ対応するなど、ゼロトラストネットワークの考えにもとづく安全なアクセス環境を可能としている。

  • 「ESS AdminONE」の概要

    「ESS AdminONE」の概要

最新バージョンが備える6つの機能

続いて、エンカレッジ・テクノロジ 取締役 技術部門担当の上田浩氏と、同 研究開発部長の山崎正雄氏が最新バージョンを解説した。

まず、上田氏は「特権IDはシステムに対して特別な権限を持ち、変更作業などでも使われるため適切な管理が必要だ。これまで、特権IDを悪用した内部不正事件も発生しており、リスクコントロールが求められている。現在の特権ID管理のニーズとしては、外部脅威への対策、既存システムのクラウド移行、クラウドを利用した新規システムの増加、働き方改革やコロナ禍によるリモートでの管理業務遂行シーンの増加、従来型の特権ID管理製品から次世代型への世代交代が発生している」と説明する。

  • エンカレッジ・テクノロジ 取締役 技術部門担当の上田浩氏

    エンカレッジ・テクノロジ 取締役 技術部門担当の上田浩氏

また、最新バージョンについて山崎氏は「最新版は2つのテーマに従い、開発を進めた。1つ目は、さまざまなシステムへの対応をより汎用的に、2つ目は特権IDに関わるリスクをより確実に早期に発見することだ」と述べた。

  • エンカレッジ・テクノロジ 研究開発部長の山崎正雄氏

    エンカレッジ・テクノロジ 研究開発部長の山崎正雄氏

具体的には「汎用パスワード変更インタフェース」「Amazon Web Services(AWS)、Microsoft Azure、Microsoft 365の特権IDパスワード変更に対応」「Chrome/Edgeブラウザ専用のパスワードレスアクセス『OA for Browser』」「汎用ログイン履歴収集インターフェイス」「ログイン失敗履歴の収集&レポート出力」「ログ収集頻度の短縮化」の6つとなる。

汎用パスワード変更インタフェースは、さまざまなシステムの特権IDのパスワード変更処理を可能とし、インタフェースに合わせた外部プログラムと連携することで、Windows/Linux Server以外の特権IDについてもパスワード変更処理を行うことができるようになるという。

インタフェースの仕様は公開されており、ユーザー自身が外部プログラムを開発することが可能。また、ニーズの多いシステムの汎用的な外部プログラムについては、同社が外部モジュールパッケージとして提供するため、外部プログラムを開発することなく、パスワード変更処理を行うことを可能としている。

  • 汎用パスワード変更インタフェースの概要

    汎用パスワード変更インタフェースの概要

AWS、Azure、Microsoft 365の特権IDパスワード変更への対応では、特権IDのパスワード変更処理を行うことが可能となり、汎用パスワード変更インターフェイスと連携する外部モジュールパッケージとして提供される。

AWSについては、IAMユーザーがWebベースの管理コンソールにログインする際に使用するパスワードの変更処理に加え、API/CLI(Command Line Interface)アクセスの際に使用するアクセスキーの有効化・無効化処理にも対応。

  • AWS IAMアカウントのパスワード管理の概要

    AWS IAMアカウントのパスワード管理の概要

AzureとMicrosoft 365は、Azure ADのパスワード変更処理を行う外部モジュールパッケージを提供し、12月初旬の提供開始を予定している。

Chrome/Edgeブラウザ専用のパスワードレスアクセスであるOA for Browserは、SaaS、IaaS管理コンソール、Webシステムなど、ブラウザを使ってアクセスするシステムに対し、パスワードを開示しないパスワードレスアクセスが可能となる専用ツール。パスワードレスアクセスの設定は認証画面に合わせて、ユーザーが設定できる専用の定義ツール「OA Prep for Browser」を用いることで、ノンコードでさまざまなシステムのパスワードレスアクセスの設定が可能。

  • 「OA Prep for Browser」によりノンコードでパスワードレスの設定が可能だ

    「OA Prep for Browser」によりノンコードでパスワードレスの設定が可能だ

さらに、動的にURLやHTML要素が変更するシステム、画面遷移を伴うインタフェースなど、多様な認証インタフェースに対応し、ESS AdminONEサーバ本体のバージョンに依存せず利用できるため、旧バージョンを使用しているユーザーはESS AdminONEサーバをバージョンアップすることなく、Chrome/Edgeを使用したWebシステムへのパスワードレスアクセスを実現することができるという。

同社では、OA for Browserを使用してパスワードレスアクセスが実現可能なSaaS・Webサービスの検証を行っている。現時点ではAmazon Web Services(IAMユーザーを使用したマネジメントコンソールへのログイン)、Microsoft Azure 管理ポータル、Microsoft 365 管理センター、Google Cloud コンソール、Salesforce、Slack、Okta、OneLogin、VMware vSphere Client、Tableau、Webex、ZoomなどのWebサービスについて動作を確認している。

汎用ログイン履歴収集インタフェースは、さまざまなシステムに対してアクセスログの収集と突合を実現するための機能。ESS AdminONEは、自身が保持する特権IDの貸し出し履歴と対象システムが保持するアクセスログを照合し、ESS AdminONEが掌握していない不審なアクセスを抽出。

従来バージョンでは、Windows/Linux Serverなど、OSのアクセスログに対応していたが、新機能ではOS以外のさまざまなシステムにも同等の処理が可能となる。対象システムごとに指定するフォルダに配置されたCSVファイルやイベントログアーカイブ形式のログを一定間隔で取り込み、突合結果をレポートとして表示。ESS AdminONEが取り込むファイルの形式に合わせて中間加工を施せば、どのようなシステムでも対応できるという。

  • 汎用ログイン履歴収集インタフェースの概要

    汎用ログイン履歴収集インタフェースの概要

ログイン失敗履歴の収集&レポート出力に関しては、対象システムから収集するアクセスログについて、従来のログイン成功ログに加え、ログイン失敗ログを収集し、レポート表示できるようにした。ログイン失敗ログは、ブルートフォースアタックなど、セキュリティ脅威にさらされている場合に発生するものであり、同機能により早期にリスクを察知し、対処することが可能になる。

  • ログイン失敗履歴の収集&レポート出力の概要

    ログイン失敗履歴の収集&レポート出力の概要

ログ収集&突合頻度の短縮化については、従来のバージョンと比較してログイン成功ログの収集頻度を短縮し、最短で1時間おきに収集できるようにした。この収集頻度は、ログイン失敗履歴にも適用されるため不正アクセスの発見をタイムリーに行い、早期に対処することを可能としている。

  • ログ収集&突合頻度の短縮化の概要

    ログ収集&突合頻度の短縮化の概要

製品解説の終盤に山崎氏は、今後のロードマップについて触れた。同氏は「API公開範囲の拡充と連携性の改善、ワークフロー定義の柔軟性向上、汎用インタフェースを利用したパスワード変更対応システムの拡充、当社他製品との連携強化・プラットフォーム統合、API認証方式の改良に取り組む」と展望を語っていた。

  • 今後のロードマップ

    今後のロードマップ

今後の販売戦略

ESS AdminONEの提供開始から半年が経過し、金融や製造、情報通信、医療、サービス、官公庁をはじめ、すでにESS AdminONEの採用件数は30件に達しており、うち新規採用プロジェクトが22件、従来製品からの移行プロジェクトは8件となる。今後の販売戦略についてエンカレッジ・テクノロジ 取締役 マーケティング部長の日置喜晴氏が説明した。

  • ESS AdminONEの採用件数は30件に達する

    ESS AdminONEの採用件数は30件に達する

日置氏は「既存ユーザーの従来製品からのスムーズなESS AdminONEへの移行を支援するほか、ターゲット業種・業態のニーズに合わせたパッケージングを準備している。また、パートナーとの協業による組み込み・組み合わせソリューションを開発し、重要アカウントへダイレクトにアプローチする」と意気込む。

  • エンカレッジ・テクノロジ 取締役 マーケティング部長の日置喜晴氏

    エンカレッジ・テクノロジ 取締役 マーケティング部長の日置喜晴氏

従来製品からの移行支援では、ライセンス再購入を不要とする読み替え精度や同社の技術要員による移行アセスメントーサービスを提供する。

また、ターゲット業種・業態のニーズに合わせたパッケージングでは、すでに地域金融機関、SaaS/ASP(Application Service Provider)事業者、リモート運用パッケージを用意し、今後もそのほかの業種・業態のパッケージも企画を予定。

パートナーとの協業では、販売パートナーの注力ソリューションとの組み合わせ、連携を開発・検証し、現状では認定強化ソリューションや、IDaaS(ID as a Service)、CASB(Cloud Access Security Broker)との連携、ITサービスマネジメントソリューションを想定している。

そして、主要アカウントへのダイレクトアプローチではセールス・技術要員の専門チームをタスクフォースとして形成することに加え、対象企業の各システムの環境・運用状況に関するヒアリング/プロファイリングの獲得・課題抽出を行う。さらに、抽出された課題に対する解決策のヒントになる個社別プライベートセッションによるニーズ喚起を実施していく方針だ。

最後に日置氏は「こうした販売戦略にもとづき、当社のソリューションを使い、課題を解決できるお客さまを増やしていきたい」と締めくくった。

  • ESS AdminONEの販売戦略

    ESS AdminONEの販売戦略

なお、最新版の参考価格(税別)は、ESS AdminONE Base 10 SE(10ノードまでの定額ライセンス、一部機能限定版)が永久ライセンスで112万5,000円、年間ライセンスで60万円、ESS AdminONE Base 120 EE(120ノードまでの定額ライセンス、フル機能版)が永久ライセンスで800万円、年間ライセンスで426万円、外部モジュールパッケージが1種類につき永久ライセンスで20万円、年間ライセンスで10万5,000円。なお、永久ライセンスの場合は、保守サービス費用が別途発生し、年間ライセンスは同期間における保守サービス費用を含む。