「誰が何をできるのか」を明確化、日本CAが管理製品：アクセス管理製品の最新版を発表

[内野宏信，＠IT]

　日本CAは4月14日、アクセス管理ソリューションの最新版「CA Access Control r12 SP1 Premium Edition」（以下、Premium Edition）を発表した。従来のCA Access Controlに対して、「誰が何をできるのか」を明確化するポリシーベースのレポーティング機能を追加したほか、OS、アプリケーションや、VMware ESX Serverといった仮想化プラットフォームに適用すべきアクセス制御のポリシーをあらかじめ設定したテンプレートも用意。スピーディな導入に配慮したという。

　CA Access Controlは、「いつ、誰が、何に、どこから、どのようにアクセスできるか」といった観点でアクセスポリシーを設定し、特権ユーザーを含めた全ユーザーの詳細な職務分掌・アクセス管理を実現する製品。日本CA セキュリティ・ソリューション営業部 部長の張統氏は、「CA Access Controlは1999年以来、10年にわたって提供してきた製品。いま、多くの企業が、IT全般統制やコンプライアンス強化への対応を求められているが、今回のPremium Editionでもユーザー企業の声を聞き、そのニーズに確実に答えられる機能を用意した」という。

　Premium Editionの主な機能は5つ。1つはリソースアクセス制限機能。個別ユーザーやグループといった単位で、リソースの重要度に合わせたアクセス権限を設定し、そのログを取得する。これにより、重要なプログラムのステータスを効率的に監視できるという。また今回、不正操作によるプログラムの強制終了を防止する機能も備えた。

　2つ目はrootやAdministratorといった特権ユーザーIDのアクセス制御機能。特にOSがUNIXの場合、現在のユーザーアカウントから別のユーザーアカウントに権限を切り替える「suコマンド」があるが、一般ユーザーからrootへの切り替え後も、ログインユーザーIDに基づいたアクセス制御を行うため、確実なアクセス権限管理ができるという。

　アクセスイベントログもログインユーザーIDで記録するほか、今回のPremium Editionからは実UIDだけではなく、実効UIDのアクセスイベントログも記録可能とし、suコマンド制限に確実を期した。

　3つ目はログ管理・レポーティング機能。ログインやsuコマンドの実行だけではなく、UNIXやLinuxでは残さないファイル移動、リネーム、削除、更新といった各種イベントログも記録・保管する。また、Premium Editionでは、ユーザー単位でのトレースログを取得可能としたほか、従来のCUI、GUIに、Webブラウザによるインターフェイスも追加し、いっそう使い勝手を高めた。

　さらに「誰が何をしたのか」を示すイベントベースのレポートに加えて、今回から「誰が何をできるのか」が分かるポリシーベースのレポート提供機能も追加。「事後ではなく事前の情報を提供することで、不正アクセスの予防に大きく寄与する」（マーケティング部 プロダクトマーケティング マネージャーの金子以澄氏）という。

　4つ目はログの一元管理機能。これまで、ログの集約機能についてはUNIX、Linuxのみ対応していたが、今回は企業のセキュリティデータを収集・保存する監査管理システム「CA Audit」の一部機能のライセンスを無償提供することで、Windowsのログも集約可能とした。

　また、ユーザーがOSやサーバなどを一定の観点でグルーピングした“論理ホストグループ”に対し、グループごとに管理ポリシーを配布したり、新しいポリシーを追加すると自動配布する機能に加えて、ポリシーの変更履歴を残す「バージョン管理機能」も追加した。そして5つ目はログイン・経路の制限機能。個別ユーザーやグループ単位で詳細なログイン条件を指定し、アクセス窓口を明確化する。

　張統氏は、「ミック経済研究所の調べでは、サーバOSアクセス管理パッケージの出荷金額シェアで日本CAは43％を占めるなど、CA Access Controlの認知度は高いと考えている。金融・保険をはじめ、情報セキュリティが特に重視される企業を中心に、積極的に導入を訴求していきたい」という。

　価格体系は、従来のサーバのスペックに応じた体系から変更、管理するOSのインスタンス数に応じた体系とする。目安としては「5ライセンス当たり240万円」だという。