お客様採用事例集 本書は、弊社製品をご採用いただいたお客様の、当初の課題、採用製品、時期、ご採用の主な理由についての概略をまとめたものです。 発行日:2016年10月20日 エンカレッジ・テクノロジ株式会社 弊社製品ラインナップのご紹介 弊社では、2002年創業以来、企業や公共機関のコンピューターシステムの安全と安定稼働を実現するため、独自のソフトウェアを開発・販売しています。 製品名 ESS REC (REC) ESS AutoQuality (EAQ) 説明 2004年発売開始のシステム証跡管理ツールです。システム管理者が操作を行っているコンピュータのデスクトップ画面の動きを動画として記録し、検 索・再生ができることで、システム管理者による不正な操作又は誤操作を牽制・抑止する効果があります。また、リアルタイムにシステム管理者の操作 内容を監視し、不正な操作が行われると上位のシステム管理者にメール送信等でアラートを送る機能や、操作中の画面をロックアウトするといった機 能もあります。 2011年9月に発売開始したシステム運用支援ソフトウェアです。手順書に基づくシステム操作を正確かつ効率的に実行するために、定義された手順 を自動実行し、実行内容を記録します。テスト環境でのリハーサル、複数環境に対して、プレースホルダを使用した固有パラメーター設定など、大規模 なシステム環境の実運用に即した機能を提供し、運用管理の効率化を実現します。 (EAC) 2011年12月に発売開始したエージェントレス型の特権ID管理ソフトウェアです。管理対象システムの特権IDのパスワードを定期的に変更し、承認 がなければ特権IDを使用したサーバーへのアクセスができないようアクセス管理を行います。許可されたユーザーであってもパスワードを隠ぺいしたまま貸 出する方式が選択できます。また監査機能により未許可での不正なアクセスに対する発見も可能です。 ESS AutoAuditor 2009年に発売したシステム操作の自動監査を実現するソフトウェアです。ESS REC、Remote Access Auditorと連携し、申請された作業内容と 実際の操作記録を突合せ、申請されていない要注意操作が行われていないかを検出し、監査レポートとして出力します。 ESS AdminControl ( EAA) ESS AdminGate 2015年7月に発売した特権ID&証跡管理をオールインワンで提供する仮想アプライアンス製品です。従来製品が比較的規模の大きなシステムを対 象にしていたのに対し、ESS AdminGateは、中堅・小規模なシステムでご利用いただけるよう、シンプルな機能と使いやすさが特長です。 (EAG) ESS RECの技術をベースに、リモートによるシステムメンテナンス操作の記録と点検に特化したソフトウェアとして2005年に発売しました。 Remote Access Auditor リモートメンテナンス経路に設定したWindowsマシンにRemote Access Auditorをインストールすることで、システム操作を動画とテキストで克明に (RAA) 記録します。 ID Inspector (IDI) 2009年に発売した共有ID利用者の本人確認ツールです。OSのログイン直後や、特定のアプリケーション操作時に、コンピュータ使用者を特定するた めに独自のダイヤログを表示し、本人確認ができるまでコンピュータ画面をロックします。 またESS RECとの連携機能を利用すると、ESS RECの検知機能に対するアクションとしてID Inspectorを起動するといった設定が可能になります。 上記に加え、異種混合環境におけるシステム統合監視を行うEncourage Super Station(ESS), 企業のオフィス環境におけるクライアントPC操作を記録するSEER INNERがございます。 弊社製品の主な採用例 業種 企業規模 (従業員数) 2016年9月末現在 導入時期 50人~99人 50人~99人 2016年7月 NEW! 金融 100人~299人 2016年7月 NEW! 情報通信 300人~999人 サービス 300人~999人 サービス 金融機関向けの新たなASPサービスが計画され、そのためのセキュリティ対策製品 を探していた。 自社のシステム担当者がシステム維持管理を実施するが、作業の品質をどのよう に担保するかが課題となった。 製品選定の担当者が、以前の勤務先でエンカレッジ・テクノロジのESS REC,EACを 運用しており、厳密なID管理と証跡管理ができる製品と認識の上で問い合わせを 実施。 システム規模を考えると価格面や機能がオーバースペックであると考えたが、中小規 模システム向けの「ESS AdminGate」の紹介を受け、これが要件を満たすとして選 定。 申請・承認がされた場合にのみ、システムが対象のサーバーへ自動ログインを実施す るため厳密なアクセス管理が可能と判断。作業内容の取得も同時に行えるため、他 製品と比べて優位性が高かった。 ESS REC 30ライセンス UNIX/Linux Terminal Option 30ライセンス ☑PCI DSS準拠 ☑動画とテキストによる克明な操作内容 ESS REC 10ライセンス ESS AdminControl 15台 ☑日銀・金融庁検査対応 ESS REC 5ライセンス ☑ISMS認証取得 ☑自社オペレーションの正当性の担保 ☑動画とテキストによる克明なアクセス内容の記録 ESS AdminGate 100台 ☑外部委託先管理 ☑導入実績 ☑特権IDと操作証跡の一元管理 2016年7月 ESS REC 10ライセンス NEW! 100人~299人 2016年7月 選定理由 ☑特権ID管理と証跡管理が同製品で可能 ☑初期費用削減 2016年7月 NEW! 導入目的 ☑自社オペレーション正当性の担保 ☑情報漏えい対策(セキュリティ強化) 2016年8月 NEW! 情報通信 導入規模 ESS AdminGate 10台 NEW! サービス 導入製品 クレジットカード決済システムをサービスとして提供するにあたり、PCI DSSの準拠が ☑導入実績 必要となった。どのような対策をどこまで実施するかの検討が必要となり、情報収集 コンサルティング会社より紹介を受け、ESS RECの検討を開始。 を開始。 操作内容が動画とテキストで克明に記録を取ることができ、PCI DSSの要件10 「ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡及び監視す る」が満たせると判断し、導入を決定。 PCI DSS準拠における導入実績も選定のポイントとなった。 金融機関におけるシステムリスク評価において、対応していない箇所があると指摘 を受けた為セキュリティ対策の強化を計画。 主に特権IDの管理の手法について何らかの対策を取る必要があると判断し、製 品の選定を開始。 ☑アクセス制御機能と操作証跡取得の連携 ☑共有IDの安全な利用 EACによって共有IDを作業者個人と紐づけることができる為、特権ID自体の管理 の煩雑性がなくなる点が管理の面で有効であると判断。 申請と承認ベースで特権IDを一時的に貸し出すことができ、尚且つESS RECを合 わせて導入することで、特権ID利用時の操作内容を網羅的に取得することができ、 セキュリティレベルの向上が見込めるとして選定。 コンサルティング会社に依頼をしたところ、ESS RECの紹介を受けたため詳細を確認。 システムインテグレーション事業、アウトソーシング事業などを行っており、自社の信 動画やテキストによって詳細にアクセス内容の記録ができるため、セキュリティ強化につな 頼性向上のため情報セキュリティポリシーを策定。ISO27001(ISMS)認証取 がると考え選定。 得が情報システムの安全性を担保する一つの要因となると考え、準拠のための対 策を検討。 自社の基幹系システムのメンテナンスを外部ベンダーに委託することとなったため、 新たに委託先管理の対策を取る必要があるとして対策の方法を検討。 本番システムへは中継サーバーを経由しなければアクセスできないようにした上で、 どのようにアクセス管理を行うかが課題となった。 委託先の外部ベンダーの関係者が製品を使用していたため、製品の使用感や機能 面に対して実績と信頼性があった。 ひとつの製品で特権ID管理と操作内容の証跡管理を一元的におこなうことができ、 なおかつ初期費用の削減によりコストを抑えることができるため、選定。 ☑外部委託先管理 ☑情報漏えい対策(内部不正防止) ☑導入実績 ☑動画とテキストによる克明なアクセス内容の記録 従来はroot権限を使いまわして運用を実施しており、管理体制に危機感を感じ ていた。 特に、常時作業者がシステムに入ることができ、尚且つ個人を特定できないという 点が問題であるととらえていた。 それまで内製で行っていたシステムの保守・運用作業をコスト削減を目的として外 部へ委託することになったため、併せてセキュリティ対策を実施することとなった。 当初は特権IDを利用したアクセスの管理が必要であると考えていたが、あまりに厳密 な管理体制を敷くと運用面に支障が出る恐れがあるとして、まずは特権IDを利用し て行った作業内容を記録を取るべきと判断し、ESS RECを導入。 システムに対していつ・どのような操作が行われたのか容易に確認ができるため、柔軟 な運用を保ったままセキュリティレベルの向上が計れた。 3/22 エンカレッジ・テクノロジ株式会社 弊社製品の主な採用例 業種 企業規模 (従業員数) 2016年9月末現在 導入時期 100人~299人 ESS REC 30ライセンス 1,000人~4,000人 2016年6月 ESS REC 2ライセンス NEW! サービス 10人~49人 金融 ESS REC 10ライセンス 300人~999人 2016年6月 NEW! 金融 1,000人~4,000人 2016年5月 ☑情報漏えい対策(セキュリティ強化) ☑オペレーションの正当性の担保 選定理由 ☑特権アカウント利用者の本人確認 特権アカウントを使用して作業を行う場合、認証されるまで画面がロックされるが、利 用者の本人確認でロックが解除され作業ができるという点が要件を満たすと考えた。 特に、本人確認の要求条件を柔軟に設定できるため、システム管理者の人数規模 によって最適な本人確認の設定ができるという点が今後の運用に最適と判断。 当初、特権ID管理ができていない状態から、どのような運用をするのかといった全面 的な運用イメージまでの提案があったことが最終的な他社との比較・選定ポイントと なった。 ☑PCI DSS準拠 ☑マイナンバー安全管理措置 ☑動画による克明なアクセス内容の記録 ☑導入実績 グループ会社がクレジットカードの加盟店であり、カード利用情報を保管したシステ ムに対して同社がリモートで保守を実施している。加盟企業におけるPCI DSS準 拠が必要となり、対応を考えていた。 また、マイナンバー施行に合わせ、グループ会社のマイナンバー管理も実施すること になり、全体としてセキュリティレベルの引き上げを計画した。 PCI DSS準拠におけるコンサルティングサービスを行っている企業から紹介を受け、 ESS RECの導入を検討。 中継サーバーに導入することで、中継サーバーを経由してアクセスしたシステムへの操 作内容を全て動画で記録できるという点から、PCI DSS準拠、およびマイナンバー 管理の安全対策として要件を満たすと判断。 実際にPCI DSS準拠の導入実績があったことから導入を決定。 ☑PCI DSS準拠 ☑管理工数の削減 ☑導入実績 ☑動画による克明なアクセス内容の記録 カード決済システムを新規に構築することになり、PCI DSS準拠が必要になったた 情報収集の段階で確認したPCI DSSについて解説された書籍中でESS REC有効 め対応できるセキュリティ対策ソリューションの情報収集を開始。 性が高いと記載されていたため、詳細を確認。 動画・テキストで克明な操作記録を取得することができるという点が他製品にない機 能であると評価。 実際にPCI DSS準拠の導入実績があったことも選定の理由とひとつとなった。 2016年6月 NEW! 導入目的 メールでの標的型攻撃を受けたことをきっかけに、全社でセキュリティ強化が計画に 挙がった。 セキュリティレベルの確認を実施したところ、システム管理者が特権アカウント常用 し、日常業務をおこなっている問題が浮き彫りに。社内の機密情報に関する漏え い対策と、内部の人間の正当性証明の仕組みが必要と考えた。 一方で、システム管理者が少人数のため、申請や承認ベースでの仕組みはオー バースペックであることも踏まえて製品の選定をおこなっていた。 2016年7月 NEW! 小売 導入規模 ID Inspector 15ライセンス NEW! 製造 導入製品 ESS REC 110ライセンス Remote Sensor Option 60ライセンス UNIX/Linux Terminal Option 60ライセンス ☑FISC対応 ☑監査指摘への対応 ☑導入実績 ☑管理負荷の低減効果 FISC改訂を受けて、従来のセキュリティ対策の見直しを検討。特権ID管理や証 ☑動画とテキストによる克明なアクセス内容の記録 跡管理は従来より実施をしていたものの、管理方法は非常に属人的であり、それ による管理ミスが少なからず発生していたため、管理の限界を感じていた。 作業ミスだけでなく管理負荷も高かった為、管理の自動化ができるソリューションの 導入を視野に入れ、情報収集を開始。 金融機関向けのセキュリティ対策に関するセミナーに出席し、セミナー内で紹介されて いたソリューションを中心に詳細の確認を実施。 その中のESS RECがグループ会社で導入実績があったため有力候補として検討。 動画とテキストの2種類で操作内容の記録を取ることができるという点から証跡管理 の面では要件を十分に満たすと判断。 また、「特権ID利用時」、「接続ツールを利用した時」などアラートが挙がるようにルー ルを設定することでアクセス管理も可能となると判断。 自動的に監査レポートが生成されるため、従来までの管理負荷軽減につながるとし て選定。 ☑日銀・金融庁検査対応 ☑動画とテキストによる克明なアクセス内容の記録 ☑ルール検知機能 金融庁の示すシステムリスク管理態勢に対応するため、システムに関するアクセス 内容の証跡管理をすることになり、ツールの導入を検討。 4/22 システムへのGUI形式・テキスト形式でのアクセス内容を記録できることを評価。 ルールの設定をおこなうことで、予め不正行為と設定していた操作をおこなった際にリ アルタイムでのアラートがあげられる点も評価のポイント。 エンカレッジ・テクノロジ株式会社 弊社製品の主な採用例 業種 企業規模 (従業員数) 2016年9月末現在 導入時期 NEW! 運輸 50人~99人 5,000人以上 1,000人~4,000人 金融 1,000人~4,000人 2016年3月 NEW! 金融 50人~99人 金融 300人~999人 ESS REC 25ライセンス ☑外部委託先管理 ☑情報漏えい対策 ☑導入実績 ESS REC 20ライセンス ☑情報漏えい対策(内部不正防止) ☑金融庁検査対応 ☑導入実績 2016年3月 ☑初期投資の削減 グループ会社の全体の人事情報を管理する部門において、マイナンバー制度の開 ☑申請・承認ベースでのID貸出 始をきっかけに対象システムへのアクセス管理の見直しと強化をおこなうことになり、 料金体系が年間利用型で初期投資が不要等、費用が安く導入がしやすいと判断 ツールの検討を開始。 し、詳細な機能の確認を実施。 実際にトライアルを行ったところ、申請・承認ベースで特権IDを貸与する機能により、 いつ・誰がシステムにアクセスしたのかがわかり、尚且つ担当者でも常時システムにアク セスできる状態ではないという仕組みにより十分にアクセス管理ができると判断。 既に自社でESS RECを運用管理の現場で使用しており、セキュリティ確保として非 業務システムを自社が運営するデータセンターに保有しており、自社の社員と、業 常に有用性が高いと実証済みであったため、選定。 中継サーバーに導入することで、自社・ベンダーそれぞれの作業者の作業内容を網 務委託をしているベンダーがリモートで運用を実施している。 社員用とベンダー用の専用中継サーバーを使用しており、アクセスの管理は実施し 羅的に記録することが可能となった。 ているが、情報漏えい対策としてより強固なセキュリティ対策が必要と考えた。 金融機関のシステム保守運用を実施。内部の人間による情報漏えいなどの不正 を防止するため、ソリューションの導入を検討。 防止策として下記を挙げ、要件を満たすソリューションの選定を開始。 ・事前申請がない場合の作業をシステム的に禁止 ・作業後、実際の作業内容の検証が効率に実施できる 金融機関に豊富な導入実績があることが選定の決め手。 セキュリティレベルの厳しい金融機関で採用されていることから製品への信頼性を感 じた。 今後のビジネス展開に際して開発環境の安全性を証明できることも考慮して採用に いたった。 ESS REC 10ライセンス ESS AdminControl 40台 ☑日銀・金融庁検査対応 ☑外部委託先管理 Remote Access Auditor 1台 ☑外部委託先管理 ESS REC 10ライセンス ESS AdminControl 50台 Remote Sensor Option 10ライセンス UNIX/Linux Terminal Option 25ライセンス ☑日銀・金融庁検査対応 ☑外部委託先管理 ☑ID管理と証跡管理の連携 ☑導入実績 金融庁からの指摘事項により、特権IDの管理体制や証跡管理に対して体制の 見直しを検討、ツールの選定を開始。 まずは自社内で管理しているシステムを管理対象とし、外部ベンダーが管理するシ ステムについても今後対応できるソリューションを検討。 事前の申請・承認がなければ、特権IDを利用することができず、承認を受けて利用 した場合もパスワードが隠ぺいされており、作業者が知ることができないというEACの 機能から、特権IDの安全な管理ができると判断。 また、操作内容の記録が取得できるESS RECを合わせて導入することで、特権ID 利用時の操作内容をシームレスに確認できるという点に優位性を感じ、選定。 2016年3月 NEW! 選定理由 ☑マイナンバー安全管理措置 2016年3月 NEW! 導入目的 ESS AdminGate 10台 2016年3月 NEW! 金融 導入規模 2016年4月 NEW! 製造 導入製品 ☑動画とテキストによる克明な証跡内容の記録 ☑申請・承認ベースでの特権ID管理 金融庁監査対応を踏まえ、全体のセキュリティ対策を見直し、対策レベルの向上 社内での協議の結果、重要なシステムに対する特権IDの管理、および操作内容の を目指す。特に内部や委託先のシステム管理者による誤操作・不正などの対策を 管理を強化することとなり、製品検討。 高めることを目的として要件を満たすソリューションの検討を開始。 申請・承認ベースでのみ特権IDが使用できるEACに加え、テキストと動画で克明な 記録が取得できるESS RECが要件を満たすと考え、選定。 金融機関における豊富な導入実績も選定の理由のひとつとなった。 ☑導入実績 顧客情報を含むシステムに、自社のシステム子会社がリモートアクセスで運用を実 関連業界でリモートアクセスの証跡管理を目的としたRAAの導入事例があったため、 施していた。昨今の内部・委託先のシステム管理者による情報漏えい事件等を受 実績を評価し選定。 け、誤操作や不正操作などによる情報漏えいが起きないようなよりレベルの高いセ キュリティ対策を取る必要があると考えた。 NEW! 5/22 エンカレッジ・テクノロジ株式会社 弊社製品の主な採用例 業種 企業規模 (従業員数) 2016年9月末現在 導入時期 NEW! 金融 1,000人~4,000人 2016年3月 導入製品 導入規模 ESS REC 5ライセンス ESS AdminControl 15台 Remote Sensor Option 10ライセンス UNIX/Linux Terminal Option 25ライセンス 導入目的 ☑外部委託先管理 基盤システムの更改に合わせ、今までできていなかった外部委託先の管理強化を 検討。 まずはどのような対策が委託先管理強化に有効であるかという要件策定のため、 情報収集を開始。 アクセス管理は実施していたものの、不要な作業が行われていないかといった点 や、正当な作業者による作業であっても、実操作の内容に誤操作や不正操作が ないかといった点を確認できる仕組みが必要と考えた。 選定理由 ☑導入実績 ☑動画とテキストによる克明な証跡内容の記録 ☑申請・承認ベースでの特権ID管理 複数のベンダーから情報収集をしていると、自社のシステム保守委託先ベンダーが他 のシステムで使用している製品が対象として挙がった。 下記の機能が、委託先の管理に有効であると判断し、導入を決定。 ESS AdminControl ・事前・承認による特権IDの一時的な貸出 ・特権IDのパスワードを隠ぺいした状態で貸出、および自動的にランダムに変更 ESS REC ・動画形式とテキスト形式による詳細な操作記録の取得 ・ESS AdminControlと連携し、特権ID利用時の操作内容をシームレスに確認で きる NEW! 情報通信 300人~999人 5,000人以上 2016年3月 NEW! 製造 1,000人~4,000人 2016年3月 NEW! 公共 5,000人以上 ☑情報漏えい対策(内部不正防止) ☑PCI DSS準拠 ☑導入実績 ESS REC 10ライセンス Remote Sensor Option 10ライセンス UNIX/Linux Terminal Option 25ライセンス Windows Commands Option 25ライセンス ☑ISMS認証取得 ☑外部委託先管理 ☑情報漏えい対策 ☑導入実績 ☑動画とテキストによる克明なアクセス内容の記録 ☑ルール検知機能 ☑自動レポート機能 ESS REC 10ライセンス ESS AdminGate 100台 ☑統制レベルの強化 ☑マイナンバー対応 ESS AdminGate 15台 ☑マイナンバー対応 ☑情報漏えい対策(内部不正対策) ☑初期投資を必要としない料金体制 ☑短期間での構築 顧客のシステムの保守・運用を実施している。マイナンバー制度施行に合わせ、そ の情報を含むシステムも管理対象となった。重要な個人情報であるため、よりセ キュリティレベルを上げることによる顧客への正当性証明が必要と考え、情報収集 を開始。 マイナンバー関連のシステムが規模としてはさほど大きくなかったため、コストの面からも 情報を収集。EAGは仮想アプライアンス形式で提供されており、ソフトウェアのインス トールなどが不要だった点、および料金体系が従量課金制で、初期投資を必要とし ない点から検討課題へ上がった。 機能面でも特権ID管理と証跡管理が同梱されており、マイナンバー管理の安全措 置として十分な機能があるとして選定。 2016年3月 NEW! 製造 ESS REC 40ライセンス 2016年3月 従来よりESS RECの機能や導入実績を知っていたため、PCI DSS準拠にあたって カード会社に、カード加盟店との契約業務に関するシステム提供することとなったた 最適と判断し選定。 複数の加盟店が対象であっても、中継サーバー上に製品を導入することですべての め、内部不正の対策の必要性を感じていた。 内部統制を整備し、システムの安全性の確保と証明をするため、PCI DSSに準 操作内容が取得できる点が効果的。 拠できるツールを検討していた。 ISO27001(ISMS)認証取得に向けて、外部ベンダーに委託しているオフィ シャルサイトのシステムの操作内容の証跡管理をすることになり、ツールの選定を開 要注意操作をした際にリアルタイムで検知しアラートで知らせる点や、要チェック項目 始。 が一目で分かるレポート機能により、効果的なESS RECの機能面での実績を評価 有事の際に操作内容の後追いができるような製品を探していた。 し、選定。 動画で操作内容が確認できるため、直感的に内容が確認できる点も評価。 セキュリティ対策として特権IDツールを従来から導入していたが、十分な管理がさ れていないと課題を持ち、他の特権ID管理ソリューションの検討を開始。 特に作業者に対する特権IDの利用許可が属人的な作業になっていることを課題 として認識。 マイナンバー制度施行に合わせて統制レベルの強化を計画。 6/22 ☑導入コストの安さ ☑構築の早急対応 ☑動画とテキストによる克明なアクセス内容の記録 ワークフローが同梱されており、申請・承認ベースでシステムが自動的に特権IDを貸 し出すといった方式に、当初の属人性が解消されると判断。 初期投資を必要としないライセンス体系で導入コストが安価であったことも評価。 また、証跡管理ソリューションであるESS RECを導入することで、実際の操作内容を もれなく取得でき、有事の際の後追い・原因究明に役立つとして選定。 エンカレッジ・テクノロジ株式会社 弊社製品の主な採用例 業種 企業規模 (従業員数) 2016年9月末現在 導入時期 5,000人以上 2016年3月 NEW! 公共 5,000人以上 5,000人以上 金融 情報通信 5,000人以上 2016年2月 NEW! 情報通信 300人~999人 2016年2月 ☑コマンド入力作業の自動化 ☑作業手順のマニュアル化 定型の作業を一部自動的に実行できる機能が、作業ミスの防止に有効性が高いと 判断。 作業手順を作成するとコマンド等が自動的に入力される自動化機能を評価。 全体の手順書をEAQで管理することができるため、当初予定していた作業手順のデ ジタル化の要件を満たすことができた。 同社の他部署にて導入していた製品が活用できないか検討。ESS REC,EAQが要 件にあっていると判断。 EAQの導入により、コマンド入力作業が一部自動化され、属人化によるミスの軽減 につながると判断。 また、作業手順を一括管理し、作業すべきチェック項目が動画面に表示されるため、 作業漏れや不要な作業実施等の懸念解消につながる。 ESS RECを合わせて導入することで、実際の作業が克明に記録され、ミスの抑止や 有事の際の迅速な対応が可能になるとして選定。 ESS AdminGate 10台 ☑自社オペレーションの正当性の担保 ☑申請・承認ベースでのアクセス許可と使用者の識別 ☑動画による操作内容の記録 ☑初期費用を必要としない料金体制 2016年2月 NEW! 従来紙ベースの作業手順書を用いて顧客システムの保守・運用を実施していた が、作業ミスが発生したため再発防止のための対策を検討。 手順書が膨大な為するべき作業のチェックが漏れてしまったことが問題であり、少な くとも手順書をデジタル化することを第一の目的としてソリューションの検討を開始。 対策を検討。作業手順書はあったものの、実際に作業の確認を突き合わせて実 施しておらず、作業漏れがあったことが発覚。作業漏れや、逆に不要な作業を行 わせないなどの対策が必要と判断。 ESS REC 35ライセンス 1,000人~4,000人 ☑作業ミスの再発防止 選定理由 ☑作業ミスの再発防止 ☑全体のセキュリティレベル向上 2016年2月 NEW! 導入目的 ESS REC 45ライセンス ESS AutoQuality 40ライセンス 2016年3月 NEW! 情報通信 導入規模 ESS AutoQuality 15ライセンス NEW! 情報通信 導入製品 ☑導入実績 ☑不正操作のリアルタイム検知・アラート 公共システムの保守・運用作業を実施していたが、作業ミスがあったため抜本的な ☑コマンド入力作業の自動化 顧客が提供しているクラウドサービスのシステム基盤へメンテナンスサービスを行って おり、作業を実施するオペレーターの作業の正当性担保が必要と認識。 正当な作業者のみがアクセスできる環境と、実際の作業内容が正当であるか判断 できる仕組みを検討。 ☑日銀・金融庁検査対応 金融庁の提示しているシステムリスク対策のためのガイドラインに対応するにあたり、 セキュリティ強化を開始。自社が保有するシステムに対し、複数のベンダーがリモー トアクセスで作業をしており、それぞれが正当な作業をしているか確認が必要と考 え、要件を満たすソリューションの情報収集を開始。 ESS REC 60ライセンス ☑PCI DSS準拠 ESS REC 40ライセンス Remote Sensor Option 2ライセンス ☑自社オペレーションの正当性の担保 メンテナンス時には中継サーバーを利用しており、申請・承認された作業者のみが該 当のシステムにアクセスできる仕組みが要件に合致。 合わせて操作内容が動画で記録されることで、実操作の正当性証明ができるという 点も優位性を感じた。 ESS AdminGateが従量課金制であり、初期投資を必要としなかった点も価格面 の制約から決め手のひとつとなった。 ☑動画とテキストによる克明なアクセス内容の記録 ☑導入実績 重要なシステムへの作業内容を動画とテキストで克明に記録ができるという点を高く 評価。直感的な操作内容が分かる動画でのログに加え、検索性の高いテキストログ を併用することで操作内容の確認が容易になると判断。 金融業界での導入実績が豊富であった点も選定理由のひとつとなった。 ☑導入実績 海外を含む複数の拠点でデータセンターを保有し、クラウドサービスを提供。新サー 自社の他部門で同製品を使用しており、検討対象として挙がった。 ビスの立案により、クラウド基盤の運用においてPCI DSS準拠が必要となったため ESS RECのPCI DSS準拠を目的とした多くの導入実績も選定の決め手となった。 準拠可能なセキュリティソリューションを検討。 今後海外展開も考えており、英語に対応していたことも理由の一つ。 ☑導入実績 顧客に対し、リモートアクセスによるシステム運用サービスを提供。自社が提供する 運用サービスの提供先にESS RECが採用されており、セキュリティ確保のための標準 サービスのセキュリティレベル向上のため、正当性を担保できるシステムの導入を検 製品として扱われていたため、同製品を導入すれば十分に要件を満たすことができる 討。 と判断し、導入。 NEW! 7/22 エンカレッジ・テクノロジ株式会社 弊社製品の主な採用例 業種 企業規模 (従業員数) 2016年9月末現在 導入時期 5,000人以上 2016年2月 NEW! 金融 100人~299人 2016年2月 NEW! 情報通信 5,000人以上 1,000人~4,000人 情報通信 5,000人以上 サービス 2016年1月 ☑動画とテキストによる克明なアクセス内容の記録 ☑不正操作リアルタイム検知・アラート ☑マルチプラットフォーム マイナンバー情報に対する操作内容を動画とテキストの2種類で克明に記録が可能 な点からESS RECを選定。 事前に不正とみなす行為をルールとして定義しておくことにより、そのルールに抵触した 際に即時的に検知できる点が不正防止・発見の観点から非常に有効であると判 断。 仮想環境にも対応していることも選定理由のひとつとなった。 金融庁の提示しているシステムリスク対策のガイドラインへの対応を目的とし、サブ システムの特権ID管理を課題として捉え、具体的なソリューション導入を検討。 ESS REC、EACの製品間の連携により、特権IDを利用して「いつ」「誰が」「どのシス テムに対して」操作を行ったのかの確認と合わせて、その操作内容を取得できるという 点が要件に合致すると判断。 また、多くの金融機関での豊富な採用実績も選定の理由の一つとなった。 ESS REC 25ライセンス ☑情報漏えい対策(内部不正防止) ☑動画とテキストによる克明なアクセス内容の記録 ☑マルチプラットフォーム 2014年に発生した大量の顧客情報漏えい事件を受け、グループ会社全体のセ キュリティポリシーや対策の見直しを開始。 複数のベンダーから情報収集を開始し、より厳密なセキュリティ対策が図れるソ リューションの検討を開始。 動画とテキストの2種類で克明な記録が取得できるという点から導入を決定。 顧客情報を含むシステムに対して操作を行う際に、操作内容を記録していることによ る抑止効果と、有事の際の原因究明が容易と判断。 また、WindowsやLinuxなど、複数のServer OSがあったが、すべてに対応しており 動画とテキストログの取得が可能であるという点を評価。 ESS REC 10ライセンス ESS AdminControl 15台 ☑情報漏えい対策(内部不正防止) ☑日銀・金融庁検査対応 ☑申請・承認ベースでの特権ID自動貸出 ☑動画とテキストによる克明なアクセス内容の記録 内部統制を既存の体制より強化する必要があると考え、情報収集を開始。 今後金融庁の監査等に問題なく対応できるようにと考えた。 どのような対応をすればよいか調べるため、金融機関向けのセキュリティ対策セミ ナーに参加。 参加したセミナーでESS REC/EACの紹介がされており、検討課題に挙がった。 情報収集を進める段階で内部統制強化のための以下の要件を決めており、これら を満たしていたため選定。 ①動画での操作内容の証跡が取れること ③申請した作業時間と実際の作業時間の照合ができること。特に事前の申請を超 過した作業がないか確認ができること ④申請内容と実際の操作内容の照合ができること ESS REC 55ライセンス ☑情報漏えい対策(内部不正防止) ☑マイナンバー対応 ☑導入実績 ☑動画とテキストによる克明なアクセス内容の記録 金融機関に対して共同システムを運用していた。既に特権IDの管理や操作ログの 取得は実施していたが、より高いセキュリティレベルへの引き上げを計画。 理由としてはマイナンバー制度施行に伴い、このシステムのマイナンバー対応を行う 必要があったため、全体のセキュリティ対策の見直しを検討。 操作内容を動画とテキストの2種類で克明に取得できる点から、従来の操作ログ取 得よりも統制レベルが向上すると考えた。 また、同業種への導入実績が豊富にあったため、ソリューション自体への信頼性もあ ると考え、選定。 ☑IT全般統制の整備 ☑情報漏えい対策(内部不正防止) ☑アクセス制御機能と操作証跡取得の連携 ☑動画による克明なアクセス内容の記録 社内システムに対する変更作業などは特権IDを利用して行っており、IT統制の観 点から特権ID管理の見直しが必要と判断。 不正に重要情報を含むファイルを持ち出す等の行為を防ぐことのできる製品が必 要として、特権ID管理だけではなく、特権IDを利用した操作内容の証跡を目的と して、具体的な製品の比較検討を開始。 中継サーバーにESS RECを導入することで、中継サーバーを介して行う操作内容を 全て記録することができることから不正の抑止・有事の際の原因究明に効果的と判 断。 1日10件~20件程度、特権IDを利用して行う作業があり、同時に10名程度が 作業を行うが、EACの申請・承認ワークフローにより、だれがいつどのシステムに対して 作業をしたのか判別が可能。また、ESS RECとの連携で操作内容を紐づけることも でき、IT統制レベルの向上が可能として選定。 ESS REC 10ライセンス ESS AdminControl 15台 5,000人以上 基幹系システムに保管してあるマイナンバー情報を、情報系システムに転送する必 要があり安全対策を講じる必要があった。不正にマイナンバーや個人情報を取得 するなどの操作が行われていないか等の確認ができるような仕組みを創るため、情 報収集を開始。 ☑アクセス制御機能と操作証跡取得の連携 ☑導入実績 2016年2月 NEW! ☑マイナンバー安全管理措置 選定理由 ☑FISC対応 ☑日銀・金融庁検査対応 2016年2月 NEW! 導入目的 ESS REC 5ライセンス ESS AdminControl 15台 2016年2月 NEW! 金融 導入規模 ESS REC 30ライセンス NEW! 金融 導入製品 NEW! 8/22 エンカレッジ・テクノロジ株式会社 弊社製品の主な採用例 業種 企業規模 (従業員数) 2016年9月末現在 導入時期 NEW! 情報通信 5,000人以上 5,000人以上 情報通信 300人~999人 同社の別システムで既にESS RECを導入しており、機能面や使用感を把握してい たことから導入を決定。 顧客情報を管理するシステムに導入することで、システムに対する操作内容を動画・ テキストの2種類で取得することが可能。 事前にルールを設定することで、特定作業を検知・通知する仕組みがあることから、 今後よりセキュリティレベルを高めるためにも有効であると判断。 ESS REC 20ライセンス ☑情報漏えい対策(内部不正防止) ☑マイナンバー安全管理措置 ☑動画による克明なアクセス内容の記録 ☑ルール検知機能 相次ぐ情報漏えい事件を受け、セキュリティ対策に関する社会的な課題意識が高 動画とテキストにより克明な証跡を記録できるため、だれがいつどのような作業をした まっており、内部のシステム管理者による誤操作や不正等による情報漏えいを防ぐ のかが漏れなく取得できる点を評価。 ため、グループ全体でのセキュリティレベル向上を計画。 あらかじめ不正操作をルールとして定義しておくことで、即時的に検知ができるという 点も今後効率的な運用ができると判断。 動画で直感的な操作が分かるため、オペレーションミスが起きた際の原因究明、対 策にも活用できるといった点も選定の理由のひとつ。 1,000人~4,000人 ☑PCI DSS準拠 ☑情報漏えい対策(内部不正防止) ☑導入実績 ☑動画による克明なアクセス内容の記録 カード決済システムを運用しており、PCI DSS準拠のため具体的なソリューションを 検討。 内部統制の担当者が、重要情報を保持するシステムへアクセスできる特権IDの 管理に課題を感じており、ソリューションを模索。 検討段階で、特権IDを使用して行った操作内容の記録も管理としては必要であ ると考え、それも含めたソリューションの選定を開始。 複数製品で最終選定を行ったが、金融業界への導入実績が豊富なESS RECを 評価。 要件に挙がっていた特権IDを利用して行った操作内容を、動画とテキストの2種類 のログで克明に取得できる点から、取得できる証跡のレベルが非常に高いと判断し、 選定。 ESS AdminGate 25台 ☑マイナンバー安全管理措置 ☑初期投資を必要としない料金体制 ESS REC 50ライセンス ☑外部委託先管理 ☑情報漏えい対策(内部不正防止) 2015年12月 NEW! 情報通信 ☑動画とテキストによる克明なアクセス内容の記録 電力自由化に伴い、電力事業者向けの新たなサービスを開始。顧客情報の管理 と合わせ、新規顧客獲得に向けた支援や、顧客との対応履歴の管理などをサービ スとして提供する。 これにより、新たに大量の顧客情報を管理することが見込まれたため、セキュリティ 強化を計画。本サービスはクラウドでの提供となっており、このクラウド上に構築され た基盤の管理体制をどう強化するかが課題となった。 2015年12月 NEW! 2015年12月 選定理由 ☑情報漏えい対策(内部不正防止) ESS REC 700ライセンス 1,000人~4,000人 導入目的 ESS REC 2ライセンス 2015年12月 NEW! 金融 導入規模 2016年1月 NEW! 金融 導入製品 自社のグループ企業のマイナンバー情報を全て管理することになり、マイナンバーを ☑特権ID管理と証跡管理が同製品で可能 安全に管理できる環境を整える必要があった。大量の個人情報を保有することに ☑ファイル入出力管理機能 なるため、安全管理ができる具体的なツールの検討を開始。 マイナンバーを管理するシステムに対し、特権IDを利用した操作を行う際に特権ID の管理・特権IDを利用して実施した作業内容の記録取得が一つの製品で可能な 点を評価。 事前申請・承認がなければ特権IDを利用できないという機能から、厳密なアクセス 管理ができると判断。 また該当のシステムから情報を持ち出す場合、管理者の承認がなければ持ち出せな いという機能が同梱されており、セキュリティレベルの向上に役立つと評価。 従量課金制の料金体系で、初期投資がかからない点も選定の理由の一つ。 ☑導入実績 ☑不正操作のリアルタイム検知・アラート 電力・ガスの販売自由化に伴い、同社でサービス提供を予定。そのためのシステム 同社の他のシステムで既にESS RECを導入しており、検討課題に挙がった。同一の 開発を外部に委託することになり、委託先管理の一環として、セキュリティ対策とな システムを利用することで監査レベルが統一できるとして選定。 るツールの導入の検討を開始。 担当者に確認すると、禁止操作をあらかじめ定義しておき、該当の操作が行われた 場合は通知・各ユーザーへフィードバックを実施しており、実際に禁止操作が10分の 1以下に減少するなど、運用改善の効果が既にあったということも決め手の一つとなっ た。 NEW! 9/22 エンカレッジ・テクノロジ株式会社 弊社製品の主な採用例 業種 企業規模 (従業員数) 2016年9月末現在 導入時期 NEW! 金融 5,000人以上 2015年12月 NEW! 情報通信 1,000人~4,000人 情報通信 情報通信 情報通信 100人~299人 300人~999人 100人~299人 1,000人~4,999人 導入規模 選定理由 ☑外部委託先管理 ☑日銀・金融庁検査対応 検討。 金銭のやり取りを含む業務を担うシステムや、他システムとの連携をするシステム等 があり、厳重なセキュリティ対策が必要と考え、複数のベンダーから情報収集を開 始。 多くの金融機関で導入されているから検討対象として詳細を確認。 EACとESS RECを導入することで、下記の管理体制を敷くことができるとして選定。 ・EACの導入により、事前の申請と管理者による承認がなければシステムにアクセス できない ・システムへのアクセスはパスワードが隠ぺいされた状態で行われるため、パスワード漏 えいリスクが低減 ・ESS RECを導入することにより、EACで行った実際の作業内容の記録が可能。不 正の抑止効果や有事の際の原因究明が可能。 ESS REC 50ライセンス ☑自社オペレーション正当性の確保 ☑導入実績 ESS REC 5ライセンス ☑情報漏えい対策(内部不正防止) ☑動画による克明なアクセス内容の記録 店舗やECサイト事業者向けに会員サービスを運営しており、会員の購買履歴など をデータベースに保管している。 加盟企業が自社売り上げの分析などのため、該当のデータベースにアクセスするこ とがある。 重要情報が多く集約されているため加盟企業による操作が妥当であるか等判断 できる仕組みが必要と考えた。 加盟企業がデータベースにアクセスする際は、中継サーバーを経由してアクセスするこ とを決めており、アクセスの制御はここでコントロールが可能と判断。 その中継サーバーにESS RECを導入することで、中継サーバーを経由して行った操 作内容を全て動画で記録できるという機能面から採用。 導入により、加盟企業による不正操作を防ぐことが可能とした。 ESS AdminGate 10台 ☑マイナンバー安全管理措置 ☑特権ID管理と証跡管理が同製品で可能 ☑初期費用削減 2015年12月 2015年11月 ☑動画とテキストによる克明なアクセス内容の記録 ☑特権ID貸出から監査までの一貫した管理体制 自社のシステム運用を外部に委託するにあたり、どのように委託先を管理するかを ☑導入実績 顧客のシステムに対し、リモートアクセスによる保守サービスを実施していた。自社の ☑動画による克明なアクセス内容の記録 オペレーターが行う作業の正当性を確保するための何らかの仕組みが必要と考え、 自社オペレーターによる作業内容を動画で記録できるという点から、正当性を証明 情報収集を開始。 できると判断。 同社の別部門で既にESS RECを使用しており、問題なく稼働しているという点も選 定の理由の一つ。 マイナンバー制度開始を契機とし、情報管理など内部統制強化を検討。対象シ ステムは比較的小規模であることから、低コストで行える対策を検討開始。 正当な操作者が申請したサーバーに対してのみアクセス可能な仕組みを評価。また 操作内容の取得も同時に行える点が他製品と比べても優位性を感じた。 仮想アプライアンス方式での製品提供形態により、短期間での構築が可能であるこ と。また初期投資を必要としないライセンス体系。 ESS REC 10ライセンス ☑ISMS認証取得 ☑動画・テキストによる克明なアクセス内容の記録 ISMSの監査においてセキュリティ態勢の指摘を受け、社内システムの情報セキュリ ティ強化が必要となった。 特に、重要システムに対する操作内容の証跡取得を課題とし、製品検討を開 始。 コンサルティング会社に依頼をしたところ、ESS RECの紹介を受け詳細を確認。操 作記録を動画としてだけでなく詳細なテキストログとして取得でき、そのテキストログを 使用した検索機能の高さや、定義したルールの検知、レポート作成機能に非常に優 位性を感じた。 ESS REC 5ライセンス UNIX/Linux Terminal Option 25ライセンス ☑マイナンバー安全管理措置 ☑導入実績の多さ ☑エージェントレスアーキテクチャー 2015年9月 2015年9月 導入目的 ESS REC 15ライセンス ESS AdminControl 15台 UNIX/Linux Terminal Option 25ライセンス Windows Commands Option 25ライセンス 2015年12月 NEW! サービス 導入製品 自社でお客様向けに提供している人事系クラウドサービスにおいて、マイナンバー制 度の施行に伴い必要な安全対策を検討。 クラウドサービスのシステムの保守・運用する担当者による内部セキュリティ対策とし て、アクセスログの取得が必要と判断され、そのツールを選定することに。 10/22 国内のベンダーによる自社開発製品であり、同業他社における採用実績が多い安 心感。 対象システムに変更を加えることなく、操作内容が取得できる点、動画による証跡 取得のため、自社オペレーターの操作の正当性を顧客へ説明することが容易な点か ら、導入を決定。 エンカレッジ・テクノロジ株式会社 弊社製品の主な採用例 業種 情報通信 情報通信 企業規模 (従業員数) 300人~999人 300人~999人 金融(銀行・証券) 1,000人~4,999人 情報通信 小売・卸売・流通 5,000人以上 1,000人~4,999人 金融(銀行・証券) 300人~999人 公共 50人~99人 2016年9月末現在 導入時期 導入製品 導入規模 ☑マイナンバー安全管理措置 ☑動画よる克明なアクセス内容の記録 企業向けにマイナンバー管理サービスを提供している委託元から対象システムの保 守・運用業務を受託するにあたり、管理者権限を濫用することによるシステム運用 者の特定個人情報に対する不正なアクセスや持ち出しが可能であるリスクへの対 処として、システム操作を監視・記録するツールの選定を開始。 中継サーバーにRAAを導入することで、システムに対する操作内容がすべて動画で 取得できる点が他製品と比較しても優位だった。 もともと中継サーバーを利用したリモートアクセスを実施していたため、管理サーバー 等を増やすことなく対応ができるという点を評価。 ESS REC 15ライセンス ☑マイナンバー安全管理措置 ☑導入実績 ☑動画による克明なアクセス内容の記録 2015年9月 自社社員のマイナンバーの管理するシステムに対する、安全管理措置を検討 人事担当者の特別な権限を使用したマイナンバー入力・確認作業および特権ID を使用したシステム運用者によるシステムメンテナンスに関し、操作内容の妥当 性、不正やミスがないか等の点検するためのツールを導入することに。 同社の別部門ですでにESS RECを使用している実績があった。 動画とテキスト形式で操作内容の取得が可能であり、監査が容易な点がシステム 運用部によって証明されており、運用面に不安がなく採用にいたった。 Remote Access Auditor 2台 ☑外部委託先管理 ESS REC 10ライセンス ☑マイナンバー安全管理措置 ESS REC 50ライセンス Remote Sensor Option 55ライセンス UNIX/Linux Terminal Option 30ライセンス ☑外部委託先管理 ☑PCI DSS準拠 ESS REC 30ライセンス ☑日銀・金融庁検査対応 ESS REC 20ライセンス ☑情報漏えい対策 ☑外部委託先管理 ☑動画による克明なアクセス内容の記録 ☑エージェントレスアーキテクチャー 個人向け公共サービスの提供に伴い、多くの個人情報を保有するため、その適切 な管理方法を検討。 個人情報が保管されるシステムの運用・保守は、システム子会社が実施しており、 保守・運用者の不正防止の仕組みが必要と考えた。 多様な端末からのアクセスに対し、複数の作業者による同時作業でも網羅的に証 跡が取得できる製品検討。そこで端末からサーバーへアクセスする経路に中継サー バーを設置し、中継サーバー上にESS RECのAgentを導入することで、本要件に 対応できると判断。 2015年8月 2015年7月 2015年6月 2015年5月 選定理由 Remote Access Auditor 2台 2015年9月 2015年6月 導入目的 ☑エージェントレスアーキテクチャー(中継サーバー方式) 自社のシステムの保守・運用業務を以前から外部ベンダーに委託していたが、昨 ☑動画による克明なアクセス内容の記録 今の個人情報漏えい事件等を受け、なんらかの対策必要と認識。委託先の作業 データセンター内にあるシステムに対し、内外から操作を行う為、端末に導入する必 の正当性を確認することができるような仕組みを検討。 要のない中継サーバー方式が決定要因。また、動画形式で操作内容が確認できる ため、専門知識がなくとも内容の確認が容易な点も要因の一つとなった。 ☑エージェントレスアーキテクチャー 受託した公共システムにおけるマイナンバー中間サーバーのシステムの保守・運用を ☑動画による克明なアクセス内容の記録 行う担当者の内部不正対策が必要となったため、要件に合う製品選定を開始。 中継サーバー方式にすることで、サーバーにエージェントプログラム等のインストールをし メインのシステムに影響を与えない証跡の取得を要件とした。 なくても、特権IDの管理と操作証跡の取得が可能であること。 システム保守・運用担当者による操作が動画とテキストで克明に記録可能であるこ とが主な選定理由。 昨今発生している委託先による情報漏えい事件を踏まえ、委託先管理の強化を 検討。顧客情報が保管されているシステムの保守・運用を行う委託先ベンダー は、対象システムに対し、リモートアクセスで作業をしており、その作業内容の事後 のチェックができていない点が課題に。 また、PCI DSSへの準拠も検討していたため、両課題を解消できる製品を検討開 始。 ☑動画・テキストによる克明なアクセス内容の記録 WindowsのGUI操作を動画で網羅的に取得できるだけではなく、テキストベースで も取得ができる点を評価。 WindowsサーバーだけでなくUNIX/Linuxサーバーも所有しており、オプション製品 を導入することでさらに詳細なテキストログが取得でき、それを使用して特定作業をリ アルタイムで検知、アラートをあげるなどのアクションが可能である点も決定要因のひと つ。 ☑動画・テキストによる克明なアクセス内容の記録 当初より特権ID管理・証跡管理が徹底できておらず、必要性を認識。 ☑導入実績 まずはどのような管理方法が適切かといった観点から、同業他社の管理状況を参 動画形式で記録が取れるだけでなく、テキスト形式でも記録が取れるという、取得情 考にするため、イベントなどで情報収集を開始。 報の多さが採用の決め手となった。他製品との比較をしたうえで、同業他社への導 入実績が多い点も要因のひとつとなった。 11/22 エンカレッジ・テクノロジ株式会社 弊社製品の主な採用例 業種 金融(生保・損保) サービス 官公庁 情報通信 金融 金融 金融 企業規模 (従業員数) 100人~299人 100人~299人 1,000人~4,999人 300人~999人 300人~999人 100人~299人 1,000人~4,999人 2016年9月末現在 導入時期 2015年4月 導入製品 導入規模 2015年3月 ☑情報漏えい対策(内部不正防止) ☑日銀・金融庁監査対応 ☑動画によるアクセス内容の克明な記録(有事の際の後追いが可能) ☑機能拡充の柔軟性 金融庁のガイドラインに従いシステムリスク管理態勢の現状から強化すべき点につ いて情報収集をしていた折に、他社でシステム運用者による不正事件が発生し、 委託先管理の重要性を再認識。対策のひとつとして、委託先ベンダーのシステム へアクセス管理を強化する方針を決定、対策ツールの選定を行うことに。 動画形式で操作証跡が取得できるため、何か起きた際に後追いが容易であると評 価。 また、今後操作内容のリアルタイム監視など、セキュリティレベルを引き上げる可能性 もあったため、危険操作を検知し、リアルタイムにアラートを上げる機能や、レポート機 能等が内在されているという点、アクセスに際して申請・承認のワークフローを利用で きるという点が選定のポイントとなった。 ESS REC 5ライセンス ☑情報漏えい対策(内部不正防止) ☑動画による克明なアクセス内容の記録 ESS REC 50ライセンス Remote Sensor Option 10ライセンス UNIX/Linux Terminal Option 50ライセンス ☑情報漏えい対策(内部不正防止) ESS REC 250ライセンス Remote Sensor Option 5ライセンス ☑情報漏えい対策(内部不正防止) ESS REC 15 ライセンス ☑情報漏えい対策(内部不正防止) 自社が運営するWebを介した顧客サービスにおいて、システム内に保管されている ☑導入実績 お客様の個人情報保護の観点で対策強化を決定。Webサイトの管理者・運用 親会社がESS RECを導入しており、製品を検討。システムへの操作内容が動画形 者による不正・誤操作を懸念し、課題解決のための製品検討を開始。 式ですべて取得できること、動画形式のため専門知識がなくとも操作内容の掌握が 容易であるという点から製品導入を決定。 組織で利用しているITシステムに対し、保守・運用担当者によるシステムの管理 者権限の濫用・不正使用を防止、抑止するための対策が不十分であると判断。 今後システムが増加する予定であることを踏まえ対策を新たに実施することに。 対策の一環として、保守・運用担当者によるシステム操作の証跡取得を検討。 従来より情報漏えい対策として、危険操作を禁止するソリューションを導入してい たが、事前に想定・定義した違反操作しか制限することができず、想定外の危険 操作に対しては有効に機能しないため、対策ツールの置き換えを検討。 他社で起きた大量の顧客情報を漏えいした事件を受け、システム管理者の内部 不正対策に着手。 2015年2月 2015年1月 2015年1月 選定理由 ESS REC 50ライセンス ESS AdminControl 40台 2015年4月 2015年3月 導入目的 ☑動画・テキストによる克明なアクセス内容の記録 ☑ルール検知機能 操作内容を動画形式で取得できるだけでなく、テキストログでも詳細な操作内容を 取得できる点を評価。 サーバー毎にルールを設定することで、ルールに抵触した際にリアルタイムで検知、ア ラートを上げることが可能なため、作業対象以外のシステムへのアクセスを即時的に 確認することが可能。 ☑動画・テキストによる克明なアクセス内容の記録 ☑検知ルール機能 すべての操作内容を網羅的に取得できるという点からESS RECを採用。すべての操 作記録を取得することで、不正に対する抑止力があると判断。 また、予め禁止したい操作に関しては、ルールとして定義することで操作実行時にア ラートを上げるなどの条件設定が可能。また、レポートでの簡易的な点検も可能に。 ☑動画・テキストによる克明なアクセス内容の記録 ☑ルール検知機能 ☑導入実績 同業他社への多くの採用実績があり、製品の品質に信頼性を感じた。 従来より他製品による証跡の記録を行っていたが、網羅的な動画とテキストのログが 取得でき、テキストログを使用した不正操作のリアルタイム検知機能がニーズと合 致。 ESS REC 10ライセンス ESS AdminControl 130台 ID Inspector 10ライセンス その他オプション類 ☑監査指摘への対応 ESS REC 20ライセンス ☑PCI DSS準拠 内部監査で特権ID運用に関して指摘を受けたことで、特権ID管理製品の導入 の検討を開始。 特に下記の点から委託先の管理に関して指摘を受ける。 ・特権ID利用者の特定 ・ログイン管理 ・端末/リモートログイン作業時の証跡管理 PCI DSSへの準拠の一環で、外部ベンダーによるリモート保守・メンテナンス作業 の証跡記録が可能なソリューションを検討。 12/22 ☑OS、アプリケーション、データベースの特権IDを統合的に対処 ☑動画による克明なアクセス内容の記録 OSおよびデータベースの特権IDはEACで管理が可能な上、アプリケーションのIDは IDIが持つ本人確認機能で対応可能と判断。 RECの動画とテキストによる克明な証跡機能についても、評価の一要素。 ☑導入実績の多さ ☑動画による克明なアクセス内容の記録 PCI DSSの準拠に関して実績があるとともに、同グループ会社でも採用している点が 実績面で評価。 動画とテキストによる証跡取得は、多様な管理ツールを使用するリモート保守業務 において、あらゆる操作が記録対象に出来る点がメリット。 エンカレッジ・テクノロジ株式会社 弊社製品の主な採用例 業種 企業規模 (従業員数) 2016年9月末現在 導入時期 導入製品 導入規模 ESS REC 20ライセンス 金融 製造 情報通信 運輸 金融 金融 300人~999人 100人~299人 50人~99人 5,000人以上 1,000人~4,999人 1,000人~4,999人 導入目的 ☑情報漏えい対策(内部不正防止) 操作内容を動画形式で記録することで、有事の際にはどのような操作が行われたの か容易に確認できる点を評価。記録を作業者に周知することで、内部不正の抑止 力にもなると判断。 同グループの企業における導入実績もポイントとなった。 ESS REC 5ライセンス ☑外部委託先管理 ESS REC 15ライセンス ☑自社オペレーション正当性の担保 ☑第三者保証制度への対応 2014年12月 2014年11月 ☑エミュレーター操作の証跡が可能 相次ぐ情報漏えい事件を受け、セキュリティ対策の見直しをした結果、外部ベン ☑導入実績の豊富さ ダーのリモートによるシステム保守・管理作業について、操作内容の記録を取得す ホストエミュレーターによる操作が記録できることが重要な要件であり、トライアル検証 る必要があると判断。 の結果、取得できることが判明。豊富な導入実績が選定を後押し。 ☑動画による克明なアクセス内容の記録 ☑エージェントレスアーキテクチャー クラウド運用、保守、システム開発などのサービスを提供しており、開発のほとんどが ☑マルチプラットフォーム クラウド上で行われることから、SOC2の対応準備を開始。 要件としてはWindows Server、Linux Serverを踏み台とし、そこからほかのホ ストコンピューターへ接続した際に、接続の履歴と操作記録が取得できることが要 件。 踏み台にRECを導入することで、接続先サーバーに負荷をかけることなく操作証跡取 得が可能な点を評価。 Windows環境、およびLinux環境のどちらでも動画証跡とテキストログの取得が可 能なことから選定。 ESS REC 600ライセンス Remote Sensor Option 100ライセンス ☑IT全般統制の整備(JSOX対応) ☑情報漏えい対策(内部不正防止) ☑大規模展開に耐えうる性能/パフォーマンス ESS REC 20ライセンス ESS AdminControl 160台 ☑日銀・金融庁検査対応 Remote Access Auditor 1台 Remote Sensor Option 1ライセンス ☑外部委託先管理 2014年12月 2014年11月 ☑動画による克明なアクセス内容の記録 相次ぐ顧客情報漏えい事件を受け、内部不正対策の一環としてシステム管理者 ☑操作証跡取得による内部不正抑止 の操作証跡を取得するツールの採用を検討。 ☑導入実績 2015年1月 2014年12月 選定理由 次世代共通基盤構築を予定しており、それに合わせて内部セキュリティ対策の仕 組みの一環として、特権ID利用時の証跡管理を検討。 現基盤では他製品を導入していたものの、パフォーマンスが悪く、瑕疵対応として 他のツールの策定を開始。 特権IDの管理は台帳管理をマニュアルで定めてはいたが、リスク管理レベルとして 不十分。休眠アカウントの棚卸が徹底されていない、アクセス内容の証跡取得の 必要性といった改善要求があった。 外部委託先のシステム運用と社内のシステム管理作業に対し、不正操作等を防 止する一元的な管理を検討。 システムログだけでは取得できない情報もあるため、より網羅的な監視・ログ取得が 可能なソリューションを模索。 13/22 機能面に加え、大規模な構成でパフォーマンス劣化が発生せず性能が維持されるこ とが確認できたため、置き換えを決定。 ☑共有IDの安全な運用が可能 ☑動画による克明なアクセス内容の記録 ☑導入実績 特権IDを使用する際にはパスワードが隠ぺいされているため、共有のIDでも安全に 使用できる。アクセス内容の詳細が動画で確認可能。同業種の導入実績も評価。 ☑動画による克明なアクセス内容の記録 ☑証跡の一元管理 ☑導入実績 中継サーバーを置くことで、外部ベンダー・社員それぞれのアクセスログや証跡を一元 的に取得できる点が大きなポイントとなった。 情報の取得漏れの心配がなく、また作業を録画していると周知することで、内部不 正に対する抑止効果も期待できる。 エンカレッジ・テクノロジ株式会社 弊社製品の主な採用例 業種 製造 製造 情報通信 サービス 金融 金融 企業規模 (従業員数) 5,000人以上 300人~999人 1,000人~4,999人 1,000人~4,999人 1,000人~4,999人 100人~299人 2016年9月末現在 導入時期 導入製品 導入規模 ☑情報漏えい対策(内部不正防止) ESS REC 10ライセンス ☑PCI DSS準拠 ESS REC 10ライセンス ESS AdminControl 50台 ☑PCI DSS準拠 ☑情報漏えい対策 ESS REC 40ライセンス Remote Sensor Option 100ライセンス UNIX/Linux Terminal Option 30ライセンス ☑外部委託先管理 ☑情報漏えい対策(内部不正防止) ☑不正操作のリアルタイム検知・アラート ☑自動レポート機能 他社での大量の顧客情報漏えい事件を受け、リモートアクセスで保守を行っている 複数の外部委託先ベンダーの証跡管理を検討。 特に、顧客DB関連のサーバーに対する操作履歴と、業務サーバーを踏み台にし たリモートアクセスの管理を重視。 禁止事項をルールとして設定することで、禁止操作をリアルタイム検知できるなど、不 正防止の効果が高いと判断。 ログイン/ログアウト情報や、操作内容をレポートとして取得することで監査も容易に できる点も評価できるポイント。 ESS REC 10ライセンス ESS AdminControl 100台 ☑日銀・金融庁検査対応 ☑外部委託先管理 ☑製品連携機能 ☑金融業における多くの導入実績 ESS REC 10ライセンス ☑情報漏えい対策(内部不正防止) 2014年11月 2014年10月 2014年10月 2014年10月 選定理由 ESS REC 30ライセンス 2014年11月 2014年10月 導入目的 ☑動画記録による監査の容易性 他社で発生した情報漏えい事件を受け、自社システムでのリスク総点検を実施。 ☑不正操作のリアルタイム検知・アラート オペレーションはDaaS基盤を使用していたが、操作ログをしっかり点検できておら 証跡を動画で記録することで、専門的な知識がなくても、どのような操作を行ったの ず、リスク要因として高いと判断。 か確認できる監査の容易性。 危険な操作を禁止事項として設定しておくことで、危険な操作が行われた際に迅速 に対応することが可能であるという点が選定の大きなポイント。 ☑動画による克明なアクセス内容の記録 PCI DSSへの要件10に対する対応一環で、クレジットカード番号を扱うシステムに ☑画面表示文字検索機能 証跡機能がなく、別の方法で対応する必要があり、アプリケーションをカスタマイズす GUI画面をすべて記録する方式のため、アプリケーションのカスタマイズが不要。 ることなくログ取得ができる製品を探していた。 また、GUI上の表示文字が検索できることから、単に画面として取得するだけでなく、 必要に応じて検索条件を指定して、該当する動画記録をすぐに呼び出せる点が採 用の大きな決め手。 ID管理やログ収集などの管理に人手を介しており、管理工数が負担に。大規模 情報漏えい事件を受け、それまでの仕組みを抜本的に見直すことに。 ☑導入実績 ☑ID管理と証跡管理の連携 ☑管理負荷の低減効果 アクセス管理、パスワード管理、証跡管理が連携して管理できることによる相乗効 果。 ID管理、ログ収集などの管理工数を削減可能。多くの導入実績も決め手に。 自社管理のシステムリスク対応の一環。特に外部委託先の安全管理強化が金融 特権IDの管理とその特権IDを使用した証跡管理をそれぞれ製品として特化しつ 機関の重要テーマとなっており、監査でも指摘のあった特権IDの管理強化を検 つ、連携による相乗効果が期待できる点が採用理由。同業種の導入実績もポイン 討。 トの一つ。 ☑動画による克明なアクセス内容の記録 他社で発生した大量顧客情報漏えい事件を受け、作業内容の自己点検ができ システムへ作業を行う端末がWindows OSだったため、GUI操作を網羅的に動画 る仕組みを検討。 で取得できる仕組みを評価し選定。 当初よりESS RECは知っており、どのような記録を取得できるのか具体的に検討 を開始。 14/22 エンカレッジ・テクノロジ株式会社 弊社製品の主な採用例 業種 金融 公共 金融 金融 金融 金融 企業規模 (従業員数) 1,000人~4,999人 1,000人~4,999人 300人~999人 1,000人~4,999人 5,000人以上 1,000人~4,999人 2016年9月末現在 導入時期 2014年9月 導入製品 導入規模 導入目的 ESS REC 20ライセンス ESS AdminControl 60 台 ESS AutoAuditor 60 台 ESS AutoQuality 20ライセンス 他オプション類 ☑IT全般統制の整備(JSOX対応) ESS REC 70ライセンス ☑情報漏えい対策(内部不正防止) 事業規模拡大に伴い、それまで親会社で運用していたシステムを独立させることが 決定。 システムのIT全般統制対応の一環として行っていた特権IDの払い出しに多くの工 数がかかっており、工数削減も課題のひとつ。 2014年7月 製品がすべて国内開発であり、保守・サポートが迅速かつ充実。 製品群の連携により、監査対応からIT全般統制まで一定のレベルで統制が可能。 エージェントレス製品のため、重要システムに対して影響が少ない。 ☑導入実績 同社の他部署で、IT全般統制を目的としてRECを採用していた。同一製品を使用 することで、統制レベルの統一と、管理負荷の軽減を図った。 動画による証跡は、不正行為の抑止効果も期待できるため、テキスト形式のログよ りも有益であると判断。 ESS REC 40ライセンス ESS AdminControl 60台 ☑PCI DSS準拠 ☑情報漏えい対策(内部不正防止) ☑動画による克明なアクセス内容の記録 ☑サーバーへの影響がない(エージェントレス) PCI DSS準拠のための特権ID管理が未整備 紙媒体の台帳での管理をするが、負荷が大きく、2014年にシステム化を検討。 安価な製品も検討に上がったが、2014年7月に起きた大量の顧客情報漏えい事 件を受け、「操作内容の記録」を重視。 直感的な確認が可能という点からRECの動画記録機能が決め手に。 ESS REC 85ライセンス ☑日銀・金融庁検査対応 ☑導入実績 ESS REC 40ライセンス UNIX/Linux Terminal Option 40ライセンス ☑FISC対応 ESS REC 15ライセンス ESS AdminControl 30台 ☑FISC対応 2014年8月 2014年7月 ☑国産製品としての信頼性 ☑エージェントレスアーキテクチャー ☑統合的なリスク管理が可能 2014年に起きた、大量の顧客情報漏えい事件を受け、内部不正防止のための ☑統制レベルの統一 施策を検討。 ☑動画による克明なアクセス内容の記録 2014年8月 2014年8月 選定理由 金融庁からシステムリスクへの対応について指摘事項があり、特に特権IDの管理を ☑監査の容易性 どのように行っているか重要視された。その中でも、特権ID使用時に適切な操作を 同業種に多くの導入実績があった点を評価。 行っているのか確認できる仕組みが必要。 動画で記録を取ることで、ログ解析など、専門知識がない人でもどのような操作を 行ったのか視覚的に理解できるという監査の容易性から選定。 ☑動画による克明なアクセス内容の記録 グループ向けのシステムを集約したデータセンター内のシステム運用に対する統制基 ☑導入実績 盤を検討。FISC対応のため運用オペレーションの記録と検査に対する対応方法を 動画形式での操作証跡がFISC基準で求められるログ取得やモニタリングといった要 検討。 件と整合。 既存システムでRECの採用実績があること、金融での実績が多数あることが採用の 決め手に。 ☑仮想化基盤への対応 社内のサーバーを統合し、仮想化するプロジェクトを予定しており、それに合わせて ☑製品間の連携/統合 統合基盤内の「特権ID利用の管理」「本番サーバーへのアクセス履歴」「ワークフ GUIによる仮想化基盤のオペレーションを含む証跡管理の実績と有用性が評価。 ロー使用による申請/承認履歴」の仕組みをつくり、特権IDリスク対策の強化と、 RECとEACの統合的な管理が可能。 IT統制向上の施策を目的とする。 15/22 エンカレッジ・テクノロジ株式会社 弊社製品の主な採用例 業種 企業規模 (従業員数) 2016年9月末現在 導入時期 導入製品 導入規模 ESS REC 15ライセンス 金融 情報通信 建設 情報通信 情報通信 金融 300人~999人 1,000人~4,999人 5,000人以上 5,000人以上 1,000人~4,999人 300人~999人 2014年7月 2014年6月 ☑情報漏えい対策(内部不正防止) 社内全体でデータベースへのリモートアクセス管理について検討をしており、製品の 検討を行っていた。 グループ企業再編に合わせて再構築することになったシステム共通基盤の統制の 仕組みを検討。 ESS REC 50ライセンス UNIX/Linux Terminal Option 50ライセンス ☑自社オペレーション正当性の担保 Remote Access Auditor 1台 ☑情報漏えい対策(内部不正防止) ESS REC 10ライセンス ☑自社オペレーション正当性の担保 ESS AutoQuality 15ライセンス ☑開発と運用の分離 ☑作業品質の平準化 ESS REC 150ライセンス ☑情報漏えい対策(内部不正防止) ☑業務外インターネット利用のチェック 2014年6月 2014年5月 2014年3月 2014年3月 導入目的 選定理由 ☑証跡の一元管理 ☑動画による克明なアクセス内容の記録 グループの複数企業で証跡を一元的に管理することが可能と判断。 対象のサーバーの8割がWindows Serverのため、GUI操作を網羅的に取得でき るRECの動画証跡記録が要件を満たしていた。 ☑動画による克明なアクセス内容の記録 自社データセンター内の顧客システムの運用管理において、自社オペレーター、運 ☑顧客システムへの影響がない 用担当者の作業の正当性を証明できるツールを検討。 操作内容をすべて動画で取得。システムに対して専門知識がない人に対しても、不 正な操作等行っていないことの証明が可能である点が評価され採用。 中継サーバーにRECをインストールすれば、対象システムに対して影響を及ぼさない 構成にできることもポイントとなった。 ☑動画記録による監査の容易性 大量の顧客情報に対する漏えい対策の一環として、外部からのベンダーによる保 ☑導入実績の豊富さ 守・運用のリモートアクセスの監視・証跡取得と点検を検討。 操作動画で記録したオペレーターの操作画面が直観的で点検・監査に最適。 現状はOSのログを取得はしていたが、操作内容を判断することが困難であり改善 大手企業を中心とした多くの採用実績や事例も安心材料として評価。 が必要。 ☑動画による克明なアクセス内容の記録 お客様向けサービス部門でのオペレーターの操作証跡が管理出来ておらず、有事 GUIが中心のオペレーションのため、動画による記録方法が最前であると判断。多く の際に問題となったことから、ツール導入による管理を検討。加えて作業品質の向 の実績と市場シェアによる安心感も決め手。 上もはかる。 ☑コマンド入力作業の自動化 EAQを使用することで、定期的に行う作業やテストなどを自動で行うことができ、運 システム操作のスキルにも個人でばらつきがあり、将来的に海外拠点と国内とで同 用者の作業負荷軽減につながると判断。作業者が同一のソフトウェアを使うことで、 運用者のスキルによる作業内容のばらつきがなくなる点が選定の大きなポイント。 レベルの運用を実施するため、開発と運用の分離を検討。 ☑動画による克明なアクセス内容の記録 ☑ルール検知機能 従来、インターネット閲覧用と社内業務用に分けていた端末のリプレイスを機に端 ☑自動レポート機能 末の1本化を検討。一本化することでリスクとなるインターネット経由での情報持ち リモートサーバーでのログ取得が可能。動画形式で証跡を取得する為、書き込みサ 出しや業務外ネット利用のリスクを防止するために、オペレーション内容の監視と証 イト等での書き込み内容が漏れなく取得出来る点を評価。 跡の強化を行うことに。 特定サイトへの接続を禁止事項として設定することで、該当のサイトに接続した際 に、リアルタイムでアラートをあげられるため、即時対応が可能と考えた。また、レポート 機能により、点検・監査にかかる負荷軽減につながると判断し選定。 16/22 エンカレッジ・テクノロジ株式会社 弊社製品の主な採用例 業種 企業規模 (従業員数) 2016年9月末現在 導入時期 導入製品 導入規模 ESS REC 260ライセンス 金融 5,000人以上 情報通信 情報通信 金融 情報通信 5,000人以上 5,000人以上 5,000人以上 300人~999人 5,000人以上 ☑情報漏えい対策(内部不正防止) 2013年9月 2013年5月 2012年12月 ☑動画による克明なアクセス内容の記録 他のプロジェクトにおいてRECが採用されていたことがきっかけ。 動画形式の証跡が操作内容取得の網羅性や確認の容易さが評価。 また、禁止事項/危険事項をルールとして事前に設定することで、その操作が行われ た際に検知するルール検知機能によって、監査の負荷が軽減すると考え選定。 2013年12月 2013年9月 選定理由 基幹システムを刷新するに当たり、システム運用端末の証跡管理の強化がグルー ☑導入実績 プ全体として必要となった。 ☑ルール検知機能 2014年3月 ESS REC 10ライセンス 金融 導入目的 ☑外部委託先管理 顧客情報を含むシステムを、オフショアによるリモートアクセスで管理しており、その操 作の証跡管理のため、ツール導入を検討。 複数個所からアクセスがあるため、一元的に証跡を取得・管理できる製品を策 定。 ☑動画・テキストによる克明なアクセス内容の記録 ☑証跡の一元管理 取得する証跡が動画形式で網羅的な点、さらに、動画だけではなく、わかりやすいテ キスト形式のログを取得できる点を高く評価。 中継サーバーを経由する運用方式に変えることで、複数個所からのアクセス、操作 内容を一元的に管理できる点がニーズに合致しており選定。 ESS REC 10ライセンス ESS AdminControl 15台 ESS AutoAuditor 15台 ☑情報漏えい対策(内部不正防止) ☑導入実績 顧客情報をオンライン上で扱うシステムにおけるセキュリティ対策が必要と認識。 システム運用者が、顧客情報に対して不正な操作を行わないか、操作ミスがない か等、作業内容の確認が必要と考えた。 人手による確認作業は負荷が大きいため、その負荷を軽減できるソリューションが ないか策定を始めた。 自社の他部門で同製品を使用しており、下記3点が要件を満たしていると判断し、 製品を採用。 ・対象システムへの変更を行わず、特権ID管理が可能 ・実際の操作内容を事前の申請内容と突合せた結果が自動的にレポートになる ・レポート結果から、シームレスにその作業記録(動画)を確認することができる ESS REC 25ライセンス ESS AdminControl 40台 ESS AutoAuditor 40台 ☑情報漏えい対策(内部不正防止) ☑導入実績 ☑特権ID貸出から監査までの一貫した管理態勢 ESS REC 10ライセンス ESS AdminControl 60台 Remote Sensor Option 60ライセンス ☑日銀・金融庁検査対応 ESS REC 380ライセンス ID Inspector 450ライセンス ESS AutoAuditor 無制限ライセンス ☑自社オペレーション正当性の担保 相次ぐ情報漏えい事件を受け、自社で運営している金融向けサービスのセキュリ ティレベルの引き上げを検討。 機密情報を持つシステムに対し、不正操作に起因する情報漏えいを防止・早期 発見する目的で操作内容を監視、監査できるツールの選定を開始。 同社の別部門ですでに製品を使用していることから検討対象に挙がった。下記の作 業を自動的に行う連携性能が要因となり選定。 ①パスワードを隠ぺいしたまま特権IDを貸出 ②事前の申請内容と実際の操作内容を突合し、レポートを作成 ③すべての記録を動画で取得しており、レポートから該当操作を再生することが可能 また、共有IDの使用者の特定も可能であり、特権IDの数を減らすことで管理の負 荷も減らせる点を評価。 ☑アクセス制御機能と操作証跡取得の連携 当初より、システム管理者の操作に対して課題認識があったが、金融庁の監査で ☑申請・承認ベースの特権ID自動貸出 指摘を受けたことがきっかけで、具体的な対策を検討。 ☑パスワードの自動変更 重要システムに対するアクセス制御と、操作証跡の記録を目的とし製品を導入。 アクセス制御と操作証跡取得をワークフロー上で行えるという点が要件を満たしていた。 EACは、検討当初は開発段階だったが、特権IDの貸与・パスワードの変更を自動的に行う ことで、作業負荷の軽減につながると判断。 顧客に向けて金融系サービスを提供しており、そのシステムの保守・運用作業の管 理態勢強化が必要と認識。 自社のオペレーションの正当性を示すため、事前の作業申請内容と、実際の作業 内容の突合が必要と考えたが、手作業の場合は非常に負荷が高いと判断。作業 内容が自動的に突合できる製品を策定。 17/22 ☑動画による克明なアクセス内容の記録 ☑作業者の特定 ☑作業内容の突合自動化 ESS RECの導入により、作業内容を動画で記録できるという点から、システムトラブ ルが起きた際に要因の特定に役立つと判断。 IDIを使用し社員証をカードリーダーに読み込ませることで、ID・パスワードを入力せ ずとも特権IDの利用、及び操作者の確認が可能な点も、本人確認を徹底する上 で有効であると評価。 また、事前の申請内容と実際の作業内容を突合し、作業の妥当性をレポートで確 認することができる点が要件を満たすと考えた。 複数製品の連携による機能面の向上も選定の理由のひとつ。 エンカレッジ・テクノロジ株式会社 弊社製品の主な採用例 業種 企業規模 (従業員数) 2016年9月末現在 導入時期 導入製品 導入規模 ESS REC 300ライセンス 金融 情報通信 情報通信 金融 製造 金融 1,000人~4,999人 5,000人以上 5,000人以上 5,000人以上 1,000人~4,999人 100人~299人 2012年8月 2012年6月 導入目的 ☑PCI DSS準拠 PCI DSS準拠・更新のため、セキュリティ要件の強化を検討。中でも、権限者の 操作証跡取得に注視。 操作ログは記録/取得を行っていたものの、監査には専門知識が必要となり、人手 による負荷や、属人化による非効率が課題となっていた。 ESS REC 20ライセンス ESS AutoQuality 100ライセンス ☑情報漏えい対策(内部不正防止) ESS REC 50ライセンス ☑自社オペレーション正当性の担保 2011年12月 ☑管理レベルの統一化 ☑監査の容易性による属人性の排除 同社の他部門がRECを導入しており、同製品を導入することで監査の統一ができる と判断。 ログ解析等の専門知識がなくても操作内容が確認できる動画の証跡により、当初 課題であった属人性の排除が可能と考え、選定。 ☑動画・テキストによる克明なアクセス内容の信頼性の高い記録 銀行業務を支えるサービスにおいて、システム保守・運用担当者による不正行為 ☑コマンド入力作業の自動化 は、情報漏えい等インパクトの大きなインシデントとなり得るとことから、運用者が不 操作内容を動画とテキスト形式で取得でき、また、システム運用者(特権ID使用 正を起こせないような仕組みの構築を検討。 者)であってもその記録を改ざんすることができないため、不正の抑止に効果的と考 えた。 また、コマンド入力作業の自動化をすることで、不要な作業をシステム的に行わせな い仕組みが対策として有効と判断し、選定。 個人情報を多く保管するクラウドサービスの提供にあたり、お客様へサービスを利用 いただく上での事業者としてのセキュリティ対策の一環として、システム運用管理の オペレーションの記録を保管し、その操作の正当性をお客様に提示できる仕組みが 必要と判断し、検討を開始。 ESS REC 50ライセンス Remote Sensor Option 120ライセンス ☑FISC対応 ☑IT全般統制の整備(JSOX対応) 2011年9月 ESS REC 130ライセンス ID Inspector 50ライセンス ☑監査指摘への対応 2011年6月 ESS REC 20ライセンス ESS AdminControl 20台 2011年9月 選定理由 金融企業の顧客のシステムを運営しているデータセンターに対し、一定のレベルに 統一された統制が必要と考えた。 統制の一環として、日次のモニタリング実施を目的とし、製品の選定を開始。 当初、全社共通の特権ID管理基準がなく、システムごとに異なる管理をしていた。 各システムの管理状況を確認したところ、共有端末を用いて共有アカウントで作業 するケースが多く、リスクとして認識。そこで、特権IDの管理基準を制定し、共有端 末、共有IDの使用者を特定するポリシーとその対応としてのソリューションの採用を 検討。 ☑動画による克明なアクセス内容の記録 ☑ルール検知機能 ☑不正操作のリアルタイム検知・アラート お客様への正当性の証明として、わかりやすい動画記録は最適と判断。また、ルール 設定をすれば、不正な操作に対するリアルタイムのアラートがあげられる点は、単に正 当性を証明するだけでなく、実際の不正操作を漏れなく検知し、事故を未然に防止 できる効果があることがさらに好評。 ☑動画による克明なアクセス内容の記録 ☑サーバーへの影響がない(エージェントレス) 特権IDを使用した際の操作内容を動画形式で取得できる点が選定の大きなポイン ト。 踏み台構成で記録取得を行うことで、対象のサーバー自体に大きな影響を与えない 点も評価の一因。 ☑特権ID使用者の特定 ☑動画による克明なアクセス内容の記録 IDIは、共有ID、共有端末でも使用者が特定できる他製品にはないユニークな機 能が要件にマッチ。 また、併せてRECによる操作内容の記録により「誰がどの端末でどのような操作をした のか」を特定・確認できることが採用の決定要素。 ☑動画による克明なアクセス内容の記録 ID管理が監査の要件として挙がっており、ID管理と合わせて導入済のテキスト形 ☑申請・承認ベースの特権ID自動貸出 式のログ管理も見直しを検討。 ☑パスワードの自動変更 動画とテキストによる操作証跡取得が可能となり、ログの網羅性が向上。 申請・承認ベースでの特権ID貸出と、自動的なパスワード変更が可能となり、従来 禁止していたリモート接続の安全使用が可能となった。 18/22 エンカレッジ・テクノロジ株式会社 弊社製品の主な採用例 業種 情報通信 金融 公共 金融 企業規模 (従業員数) 5,000人以上 1,000人~4,999人 1,000人~4,999人 1,000人~4,999人 2016年9月末現在 導入時期 2011年6月 導入製品 導入規模 ESS REC 200ライセンス ESS AdminControl 380台 ID Inspector 200ライセンス ☑日銀・金融庁監査対応 ESS REC 10ライセンス ☑PCI DSS準拠 2011年2月 5,000人以上 1,000人~4,999人 ESS REC 50ライセンス ☑日銀・金融庁検査対応 2009年6月 2009年3月 2008年10月 2007年12月 PCI DSS対応を検討。 特権ID使用時の操作内容に関して証跡が取得できておらず、証跡管理製品の 導入を検討。 ☑IT全般統制の整備(JSOX対応) ESS REC 80ライセンス 製造 受託している金融機関向けのコンピューターシステムの開発・保守業務において、 金融庁が示すシステムリスク管理態勢やFISCの安全管理基準を満たす必要が あった。 特にシステムの保守・運用業務において管理者権限を濫用した内部不正に対し、 有効な防止・抑止策を講じることで、情報漏えい等のインシデントを発生させない 仕組みを検討。 ESS REC 110ライセンス ESS REC 110ライセンス 金融 導入目的 選定理由 ☑マルチプラットフォーム ☑エージェントレスアーキテクチャー ☑共有アカウントの安全利用 対象とするシステムがメインフレームからオープン系のシステムまで混在しており、プラッ トフォームに依存せず、操作内容を取得できるという点を評価。 また、対象システムにソフトウェア等を入れずに特権ID管理ができ、共有アカウントを 使用しても個人と紐づけがされ、安全に共有アカウントを利用できる点が選定のポイ ントとなった。 ☑動画による克明なアクセス内容の記録 ☑証跡の一元管理 動画形式で操作履歴が取得できる点を評価。 また、中継サーバーに導入することで、各拠点からのリモートアクセスの証跡の一元管 理が可能であることから選定。 ☑Citrix XenApp環境との親和性 IT全般統制の整備において、サーバーへのアクセスをCitrix XenApp経由で行う デスクトップ上の操作であることから動画による証跡は必須要件。かつCitrix ことで、アクセス制御およびクライアント端末との論理的な環境分離を実現したもの XenApp環境で使用するため、同環境で稼働保証、稼働実績が多いことも要件。 の、XenApp上でのログ取得が課題として残されていた。 他社製品との比較の結果、RECを選定。 重要な顧客情報を扱うシステムに対し、運用状況の操作証跡を取得するため、 導入を検討。 きっかけとしては、金融庁の監査を受けた際、システムごとに統制状況にばらつきが あるとの指摘を受けたため、システム全体のレベル統一を計画。 ☑FISC対応 データセンターにシステムを保有しており、運用者が特権を使用した際の操作内容 を把握するのが目的。 特権IDそのものの管理は行っていたが、特権IDを使用した操作の内容について は、記録・点検が不十分であると認識しており、対策を検討。 ☑IT全般統制の整備(JSOX対応) システム運用担当者が比較的自由に特権IDを使用できる状況に課題を感じてい た。特権IDを利用した際の作業は、申請書を作成・承認の上行っているが、実際 の操作内容まで確認ができておらず、不正ができる状態にあるという点に懸念を感 じていた。 19/22 ☑動画による克明なアクセス内容の記録 ☑監査の容易性 WindowsのGUI操作も動画で証跡を取得することで、網羅的な記録・点検が可 能。 システムやログ解析について専門的な知識がなくとも、視覚的に操作内容を容易に 理解できる監査性を評価し、導入を決定。 ☑動画記録による監査の容易性 ☑サーバーへの影響がない(エージェントレス) 操作の証跡を動画形式で記録することで、ログ解析等専門知識のない人でも、どの ような操作を行ったのか容易に確認できるという監査の容易性から選定。 操作対象のサーバーにエージェントを導入しなくても、操作端末側のエージェントで サーバーアクセスも記録可能であるため、既存サーバーへの影響がない点も高評価。 ☑動画・テキストによる克明なアクセス内容の記録 ☑ルール検知機能 ログインからログアウトまで、操作内容を動画とテキストログの2種類で網羅的に取得 できる点を評価。 禁止操作/危険操作をルールとして定義することで、該当操作を行った際に即自的 なアクションを行うことができるルール検知機能で統制レベルの引き上げが可能と感 じ、選定。 エンカレッジ・テクノロジ株式会社 弊社製品の主な採用例 業種 製造 情報通信 企業規模 (従業員数) 5,000人以上 1,000人~4,999人 2016年9月末現在 導入時期 導入製品 導入規模 Remote Access Auditor 1台 ☑外部委託先管理 Remote Access Auditor 1台 ☑自社オペレーション正当性の担保 2007年9月 2007年3月 導入目的 選定理由 ☑動画による克明なアクセス内容の記録 委託先での情報漏えいを契機に対策を検討。以前からアクセスログの取得や入 ☑導入実績 退室管理などを行っていたが、悪意のある内部不正に対してのセキュリティについて 動画形式での証跡記録を高く評価。直感的に操作内容を理解できる点からRAA 課題。業務上やむを得ず実施されるリモートアクセス時の不正操作リスクが問題 を採用。同業種での採用事例も決定要因。 に。 ☑動画・テキストによる克明なアクセス内容の記録 システムの設計から運用までを事業の一環として行っている。 ☑正当性の証明が容易 顧客システムへリモート接続する際に、操作内容を顧客に説明するためのツール導 GUI操作の内容を、テキストログと動画で証跡を取得できる点において網羅性の高 入を検討。 さを評価。 対象システムへの接続の有無について、レポートの作成が可能なため、顧客への説 明資料作成が容易と判断し、選定。 2016年9月末現在、弊社製品の累計採用企業数は490社以上であり、弊社製品は、多くの企業の複数のプロジェクト・システムに適用されています。本資料の掲載されている採用例はその一部です。 20/22 エンカレッジ・テクノロジ株式会社 お問い合わせ 東京都中央区日本橋浜町3-3-2 トルナーレ日本橋浜町7F エンカレッジ・テクノロジ株式会社 Copyrights © Encourage Technologies Co., Ltd. All rights reserved. TEL 03-5623-2622 FAX 03-3660-5822 http://www.et-x.jp
© Copyright 2024 Paperzz
