 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
日本CA、細やかな機能強化を多彩に盛り込んだアクセス管理ソフト新版 |
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
仮想化対応範囲の拡充も
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
同製品は、特権ユーザーを含む全ユーザーの職務分掌とアクセス管理を実現するサーバーOSアクセス管理製品。従来の「CA Access Control」の後継製品で、新版となって「Premium Edition」の名を冠した。サーバー上のリソース(ファイル、プログラム、ポートなど)に対して、「いつ・誰が・何に・どこから・どのようにアクセスできるか(4W1H)」という観点で、アクセスポリシーを設定・制御することが可能。詳細なアクセスログを取得することも可能なため、疑わしいユーザー行動を監視し、組織内部での不正アクセスや情報漏えいを防止することができる。 プロダクトマーケティングの金子以澄氏は、「OSにもアクセス管理を実現する機能は実装されているが、同製品では、より詳細なアクセス管理が実現する。またOSによってセキュリティレベルは異なるが、同製品を使うと、どのOSでもレベルを一定にし、かつ、求められる水準まで全体を押し上げることが可能になる」とメリットを語った。 新版では「大規模環境におけるポリシー管理の簡素化」「仮想化対応範囲の拡充」「制御実装部分の拡張」「FIPS 140-2/IPv6など標準化への対応追加」「サンプルポリシーの提供」「ログのリアルタイム収集」などの強化がなされた。このうち、制御実装部分の拡張では、細かな機能強化が多彩に盛り込まれている。 金子氏は、Access Control PEの機能を「リソースアクセスの制限」「特権ユーザーIDの管理」「ログイン・経路の制限」「ログ管理とレポーティング」「一元管理」の5つに大別する。 「リソースアクセスの制限」では、ユーザーやグループ単位で柔軟なアクセス制限が可能なほか、重要なプログラムの変更・改ざん監視が行える。不正な操作によるプロセス強制終了を防止することも可能で、従来はCUI上でのkillコマンドによる強制終了を防げたが、新版ではWindowsの「サービス」画面からの強制終了も防止できるようになった。 「特権ユーザーIDの管理」では、rootやAdministratorのような特権ユーザーからのアクセスも制御することが可能。UNIXにおいては、ユーザーごとにsuコマンドの使用可否を制御できるほか、su後もログインユーザーIDに基づいたアクセス制御が行える。イベントログ記録においても、「従来、su後はrootとしてログが記録されていたが、今回から元のログインユーザーIDにひも付いたログが取得されるため、suとして行われた操作が“誰によるものなのか”が把握できるようになっている」(金子氏)。 「ログイン・経路の制限」では、ユーザー/グループ単位でログイン可能な端末、時間帯を制限できる。これにより、「端末1はサーバーへのアクセスを完全に禁止」「端末2は一般ユーザーはアクセス禁止、管理者ならアクセス可能」といったきめ細かい制限が可能。新版では、PAM認証やActive Direcoryなどの外部ユーザーストアがサポートされた。
「ログ管理」では、ログインやsuの実行だけでなく、UNIX/Linux自体では残さないファイル移動・リネーム・削除・更新などのログも取得可能。また、syslogと違って特権でも改ざんできないログを生成できるのが、Access Controlのメリットだ。新版では、ユーザー単位でのトレースログが取得できるようになったほか、ログ閲覧インターフェイスにWeb GUIが追加されたのが強化ポイント。 「レポーティング」では、新たに「誰が何をできるのか」に関するレポートが作成できるようになった。従来の「誰が何をしたか」による事後対応に加えて、予防的コントロールが可能になる。また、状況に応じて使い分けられるレポートテンプレートも提供されるため、導入してすぐにクイックスタートが可能となった。同テンプレートには、日本版SOX法やPCI DSSなどの法令に適応したものも含まれているという。 「一元管理」では、ポリシー配布方式が従来のPush型からPull型に変更となった。従来はPMDBを立てて、そこからポリシーを一斉配布していたのだが、新版からは、各エンドポイントからポリシーサーバーへアクセスしてポリシーを持っていく(Pullする)形となる。論理ホストグループという概念も追加されており、エンドポイントごとではなく、同グループごとにポリシー配信することも可能だ。また新方式では、ポリシーサーバーの上位に「Deployment Map Server」というものを設置する。ここでポリシーのバージョン管理が可能になったのが、新方式の最大のメリット。なお、サンプルポリシーも新たに提供されるため、さらに迅速なクイックスタートが可能になっている。 このほか「今回もっとも有益な変更点」(金子氏)とするのが、「仮想化対応範囲の拡充」だ。従来より仮想化環境におけるアクセス管理が可能な同製品だが、新版ではさらに幅広い仮想化技術がサポートされた。加えて「Guest VMだけでなく、Host VMのセキュリティ向上も行えるのが当社製品の特長だ」(同氏)とのこと。 こうした機能強化に併せて、ライセンス体系も、従来の「マシン能力による課金」から、「管理したいOSインスタンス数に対する課金」に変更された。これにより、環境実体に近い利用が可能になったとしている。大規模向け機能強化に併せてボリュームディスカウントも採用され、参考価格は5ライセンスで240万円。
■ URL 日本CA株式会社 http://www.ca.com/jp/ プレスリリース http://www.ca.com/jp/press/release.aspx?cid=202960 ■ 関連記事 ・ コンプライアンスを自動化するID管理製品「CA Identity Manager r12」(2008/09/11)
( 川島 弘之 )
|
