ニュース
» 2009年11月10日 00時00分 公開

アクセス管理製品「CA Access Control」の最新版を発表:日本CA、「IT統制の確実化、効率化に貢献」

[内野宏信,@IT]

 日本CAは11月10日、アクセス管理製品の最新版「CA Access Control r12.5 Premium Edition」を発表した。多くの企業が手作業で行っている「特権ユーザーID」の貸し出し申請・承認作業を自動化する機能や、UNIXも含めたあらゆるOSのユーザー認証をMicrosoft Active Directoryで一元管理できる機能などを追加した。内部統制における監査業務の効率化やコンプライアンスの強化に貢献するという。

特権ユーザーに切り替えても、匿名性や特権性を排除

 CA Access Controlは、プログラムやファイルといったサーバ上のリソースに対してアクセス管理を行う製品。「いつ、誰が、何に、どこから、どのようにアクセスできるか」といった観点でアクセスポリシーを設定し、特権ユーザーを含めた全ユーザーの職務分掌・アクセスをきめ細かく管理できることを特徴としている。

 日本CA マーケティング部 プロダクトマーケティング マネージャーの金子以澄氏は、「OSのセキュリティ機能は、システムの状況確認が目的。コンプライアンス対応のためには、syslogやイベントログでは取得できない詳細なアクセスログを取得する必要がある。それを実現するCA Access Controlは、“OSでは満たせないセキュリティ要件を補完する製品”ともいえる」と、別の視点から解説を加えた。

写真 日本CA マーケティング部 プロダクトマーケティング マネージャーの金子以澄氏

 基本機能は5つある。1つ目は「個別ユーザー」「グループ」といった単位で、リソースの重要度に合わせたアクセス権限を設定し、ログを取得する「リソースアクセス制限」機能。2つ目は、rootやAdministratorといった特権ユーザーIDのアクセスを制御する「特権ユーザーID管理」機能だ。

 特に後者については、「OSがUNIXの場合、現在のユーザーアカウントから別のユーザーアカウントに権限を切り替える『suコマンド』があるが、これを使って一般ユーザーからrootに切り替えても、大元のログインユーザーIDに基づいてアクセス制御を行い、イベントログを記録する」。このため、特権ユーザーも含めた全ユーザーについて「匿名性や特権性を排除した、正確な記録が残せる」という。

 このほかログイン条件やアクセス経路を限定する「ログイン、経路制限」機能や、syslog、イベントログでは取得できない詳細なアクセスログを蓄積し、レポートにまとめられる「ログ管理/レポーティング」機能、大規模環境でもアクセスポリシーやログを視覚的に一元管理できるWebUIなどを備えている。

特権ユーザーIDの貸し出し承認手続きを自動化

 今回のバージョンアップでは、3つの新機能を追加した。1つは「特権ユーザー・パスワード管理」(Privileged User Password Management、以下PUPM)機能だ。

 現在、多くの企業では、「特権ユーザーID」を使ったアクセスが必要な際、「承認者に対し、メールや書面などで特権ユーザーID使用申請書を提出し、承認者の了承を得たうえで特権ユーザーIDを使う」といったルールを定めている例が多い。しかし、承認者には台帳で全申請を管理する手間が生じるほか、チェックのヌケなどが起こらないともいえない状況にあった。

写真 新たに追加された「特権ユーザー・パスワード管理機能」の仕組み。PUPMサーバを介して、特権ユーザーIDの使用申請・承認を行うことで、手続きを効率化・確実化する

 「特権ユーザー・パスワード管理」機能は、こうした一連の承認作業を自動化する。具体的には、ユーザーがPUPMサーバに対して特権ユーザーID使用申請を行い、承認者もPUPMサーバ上で承認処理をする。すると特権ユーザーIDを使用するためのパスワードが自動的にユーザーに発行される仕組みだ。

 また、特権ユーザーIDを使った作業が終わり次第、ユーザーは再びPUPMサーバにアクセスして使用が終了したことを登録、特権ユーザーの借り出し手続きを終了する仕組みとしているが、あらかじめ「特権ユーザーIDの使用時間」を設定しておき、設定時間が過ぎると強制的に使用を終了させることもできるという。

 「一連の手続きはログとしてすべて蓄積されるため、内部統制監査にも役立つ。また、何らかの事情で夜間に急に特権ユーザーIDを使った作業が必要になった際も、取り急ぎPUPMサーバにパスワードを発行させ、その記録に対して承認者の事後了承を取る、といった柔軟な運用もできる。つまり、業務効率を阻害せずに、ITガバナンス、コンプライアンスを強化することができる」(金子氏)

 2つ目は「UNIX Authentication Broker」と呼ぶ機能だ。これにより、従来は個別に管理する必要があったUNIXユーザーの認証を、ほかのOSのユーザー認証とともにMicrosoft Active Directoryで一元管理できるという。そして、こうした新機能を含めたすべての機能を「単一のWebUIで一元管理可能とした」ことを3つ目の新機能として掲げている。

 金子氏は、「昨今は、コンプライアンスを強化するととも、内部統制対応における監査作業を効率化し、コスト削減を狙う傾向も強まっている。今回の新機能は、まさしくそうしたトレンドに答えて追加したもの。CA Access Controlなら、コスト削減とセキュリティ対策、コンプライアンス強化を大いに支援できる」とアピールした。価格は、導入環境によって変動するが、5ライセンス当たり240万円としている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ