SMART Gateway活用例 | ボスコ・テクノロジーズ

ICTインフラの運用において、管理対象の急増や煩雑なID管理は共通の悩みです。SMART Gatewayは、既存のシステムに影響を与えないクライアントレス＆エージェントレスな設計で、特権管理にまつわる多様なリスクを解消します。本ページでは、承認フローによる「安全なアカウント貸出」、詳細な行動記録による「不正検知」、さらには定型業務の「運用自動化」や「リモートワーク支援」など、お客様の現場で直面するさまざまな課題を解決する具体的な活用例をご紹介します。

= 基本機能

= プラグイン

活用例

安全なアカウント貸出

特権ID管理

リモートアクセス

承認ワークフロー

特権ユーザ・特権IDを安全に貸し出し・権限付与できます。権限付与はシンプルかつ直感的な承認フローで管理できます。承認ワークフロー機能を用いることで安全にアカウントを貸し出すことができます。多段階認証や代理認証など、さまざまな業務に合わせた承認フローの構築が可能です。

● 接続利用の承認ワークフロー機能一式を提供

承認ワークフロー機能一式を提供します。利用者は接続を選択して申請するのみで簡単に申請できます。メールなどを利用した通知機能により、依頼を見逃すことはありません。

● 承認フローを柔軟に構築可能

直感的でシンプルなUIでありながら各種業務に合わせた承認フローを柔軟かつ簡単に構築可能です。各種監査や法令基準で求められる特権アクセス統制の要件を容易に実装できるフロー作成機能を提供し、日本の商習慣に対応しています。

● 事後申請・代理申請も具備

事後申請や代理申請機能により、運用しているインフラで大事故が発生した場合や出張中など予期せぬ事態にも迅速かつ柔軟に対応できます。もちろん事後申請や代理申請の利用可否はユーザ単位で制限することもできます。

● 利用状況のレポーティングも実現

未申請のユーザ一覧や実際の利用状況など承認フローに関連する各種一覧出力も可能です。任意のテンプレートが利用可能で、さまざまな業務に柔軟に対応します。

活用例

ログ監査・不正検知

検索

CSVインポート･エクスポート

イベント情報転送

実際に行われた作業を正確に記録し、不正な操作を監査できます。さらに、そのデータを各種UEBAやSIEMと連携することで、さまざまな不正検知を実現します。ログイン・ログアウトなどの基本的なセキュリティログだけでなく、セッション中に利用したアプリケーションや実際にアクセスしたサイト、発行したコマンドなどの、あらゆるユーザの行動を詳細に記録します。SMART Gatewayではログを記録するだけではなく、直感的な検索機能やログのレポーティング機能を提供します。さらに、それらは任意のデータフォーマットでUEBAやSIEMに転送することができるため、既存のさまざまな解析エンジンと連携することができ、多角的なセキュリティ対策を講じることができます。

● あらゆる行動を詳細に記録

あらゆるユーザの行動を動画のみならず、検索に便利なテキストとして詳細に記録します。SMART Gatewayはキャリアにも対応すべくパワフルなため、パフォーマンスは犠牲にせず、何百セッションを並行して録画・記録可能です。

● 各種セキュリティガイドラインに対応

PCI DSS、J-SOX監査、GDPRをはじめとする各種セキュリティガイドラインに対応しており、情報漏洩やセキュリティ対策に対して効率的にアプローチできます。

● 接続先の不正ログインの自動検知

実際に接続対象機器に対してSMART Gateway以外からアクセスされた形跡がないかを自動で確認し、不正ログインの自動検知を実現します。

● 充実したUEBA・SIEM連携

各種ログはUEBAやSIEMなど、さまざまな外部システムに送信することができます。送信時のフォーマットは対象となるシステムに合わせたデータフォーマットで送信することができ、容易かつ柔軟に機能連携が可能です。

活用例

リモートワークの支援

特権ID管理

リモートアクセス

共有セッション

ファイル転送

ACL

ネットワーク分離化など、セキュアなゲートウェイとして、リモート環境の安全化を支援します。さらに、ユーザの働き方も可視化します。SMART Gatewayは軽量かつクライアントレスなネットワーク分離・リモート環境を提供します。多種多様なクライアント端末、BYOD、ゼロトラストが普及している世の中において、SMART Gatewayはお客様のニーズに合わせたさまざまな形のリモートワーク導入を支援します。利便性だけでなく、多要素認証による本人確認、データの社外持ち出し制御などセキュリティ対策も万全です。

● クライアントレスかつ軽量

SMART GatewayはブラウザもしくはSSHクライアントで利用可能で、特殊なクライアントソフトウェアのインストールは不要です。そのため、貸与された業務PCだけでなく、個人端末でも安全にリモートワークで利用可能です。

● 多拠点からの作業共有

利用中のセッションをリアルタイムで他ユーザに共有できます。ウェブ会議ツールを利用することなく、作業のダブルチェックを多拠点から実施したり、互いに同一のセッションを操作することで教育目的に利用したりできます。

● VPNの代替として

制御対象へのアクセス方法としてVPNの代わりに利用することもできます。VPNと異なり、複雑な設定の共有や利用中は外部に繋がらない等の煩わしさはございません。

● リモートワークでも労務・就労管理

SMART Gatewayは各種利用履歴を管理しており、容易に検索・出力可能です。これにより、各種就業管理システムと連携することで、リモートワークで煩雑になりがちな労務・就労管理を実現できます。

活用例

不正防止・抑止

操作ログ管理

コマンドフィルタ

利用する接続先を制限したり、セッション中に利用できるコマンドや操作をユーザごとに制限したりでき、不正防止・抑止を実現します。接続対象機器のあらゆるサーバやネットワーク機器などにエージェント導入不要で、ユーザごとにコマンド操作を制御可能な唯一の特権ID管理ソリューションです。既存の接続対象機器におけるアカウント運用を大きく変更することなく、ユーザ単位の操作ログの記録・管理や認証情報の隠蔽を実現することにより、少ない導入コストで運用上の様々なセキュリティリスクを大幅に軽減できます。

● 接続対象機器のOSによらないフィルタ制御

SMART Gatewayは各種フィルタリング機能を、従来のような接続対象機器のOS・バージョンに応じたライブラリを提供することなく、接続対象機器とは疎に提供します。

● 詳細なアクセス権限

どのユーザにどの接続対象機器を利用可能とするかを柔軟に制御でき、お客様の企業体・組織体に応じた柔軟かつ一元的な制御が実現できます。

● セッション中の不正抑止

各種フィルタリング機能を利用することで、接続対象機器への業務を柔軟に制御することができます。さらに、共有セッション機能を利用することで、実際の業務を複数拠点からダブルチェックすることも可能です。

● セキュアな認証情報管理

ユーザに接続対象機器の実際のアカウントやパスワードを通知する必要がなくなり、認証情報の漏洩をはじめとする、さまざまなリスクを大幅に削減することができます。

活用例

運用自動化

オートメーション

外部連携

脆弱性診断

認証情報管理

ログイン履歴収集

接続対象に対して様々な業務を容易に自動化するための仕組みを提供します。定型業務をテンプレートとして保存し、作業負荷を大幅に軽減します。SMART Gatewayの自動化機能を利用することで、接続対象機器の構成管理やオーケストレーション、各種サービスのヘルスチェック、脆弱性チェック、自動バックアップ処理、ゼロタッチ運用などさまざまなインフラ運用自動化が実現可能です。また、これらの機能は数十万台の大規模な環境だけでなく、小規模な環境でも大きな威力を発揮します。

● 業務をテンプレート・API化

定型業務をテンプレートとして保存することで、APIや画面から簡単に実行可能となります。パラメータを容易に定義でき、特定の場面に依存せず、さまざまなシーンで流用可能な自動化プラットフォームを提供します。

● 業務の自動定期実行

インフラのパスワード更新やログ収集、バックアップ業務など定型的な業務をスケジューリングすることで自動的に実行可能です。これらは一元的な管理が可能であり、運用自動化や運用負荷軽減に大きく貢献します。

● 各種業務システムと柔軟な連携機能

セッションの確立を始め、SMART Gatewayのあらゆる処理はAPIとして提供されます。これにより、他の業務システムから円滑かつ安全に接続対象機器へ接続できます。

● 突合・棚卸し

接続対象機器における利用履歴取得・突合を自動化することで、定期的な監査・点検の自動化を実現可能です。これまでユーザで行っていた業務を減らすだけでなく、業務ミスも大幅に軽減します。

活用例

認証管理

外部認証連携

多様な認証機能を提供し、既存の認証環境に合わせて動作します。多要素認証をはじめ、お客様の導入用件に柔軟に対応します。Azure AD, Shibboleth, Keycloakなど様々な認証認可システムと連携した認証管理が可能です。また、TOTPを利用した多要素認証機能やパスワードの時限・世代・複雑性管理など、様々なセキュリティ要件に柔軟に対応するための機能が標準で備わっており、あらゆる場面で必要とされる認証管理を実現します。これらの機能はブラウザからのログインだけでなく、TeraTermを始めとするSSHクライアントによる接続でも同様の機能が提供されます。

● 様々な認証プロトコルに対応

SAML, OAuth2やLDAPなど各種プロトコルに対応しており、既存のアカウント管理システムと連動した業務設計が可能です。また、外部認証により作成されたユーザがどの接続を利用可能かなど、柔軟な設定も可能です。

● 一時ユーザの払い出し

ユーザの有効期限等を制御することで、一時的にアクセス可能となるユーザを作成することができます。これにより、一時的な業務依頼に伴う不要なユーザの削除忘れなども防止できます。

● 接続元に応じた認証管理

特定のIPアドレスからのみ接続を許可するなど、接続元に応じてアクセス制御が可能です。これにより、VPNを利用中のみアクセス可能など様々な業務設計が可能となります。

● PCI DSSに準拠したユーザ・認証情報管理

パスワードの複雑性管理や世代管理など、最新のPCI DSSの要件に沿った認証情報管理が可能です。さらに、TOTPを用いた多要素認証にも対応しており、CLI経由でもこれらの機能が提供されます。