3682 エンカレッジ・テクノロジ ―証跡管理ソリューションでトップシェア―
概要
同社は企業ネットワークのサーバーやそれに接続するクライアントPCを監視するソフトウェアを提供している。サーバーやクライアントの状態を監視して不正な操作がないか見張る製品、サーバーやクライアントの管理者アカウントのIDとパスワードを管理する製品が主(詳細は後述)。
こうしたソフトウェアの売上からくるライセンス収入と導入した製品の保守収入(障害対応、相談窓口、バージョンアップなど)が主な収入。これらの他に同社ソフトウェアの導入を支援するコンサルティングサービス、導入後の運用を助ける常駐サービスなどがある。
こうしたサーバーの証跡管理などはJ-SOXで対応義務があるため、金融関係の顧客が多い。一度導入したら競合がほぼないこともあり、継続率は95%程度。 このため新規のライセンス売上より、保守のほうが多い。(2019年3月期ではライセンス売上7.1億に対して、保守サービスの売上は約10億円)
主要製品
証跡管理ソリューションのESS REC
ESS RECは自社運用のサーバーを管理するのに使うソフトウェア。
サーバーと言っても、Windowsであれば入ってるOSは普通のパソコンとだいたい同じ。保守作業などを行う場合はインターネット経由で別の場所からサーバーにログインする。そして、ウィンドウの中の設定項目を変更したり、スクリプトを実行して様々な作業をする。
作業時に問題になるのが操作の記録をすること。大企業のサーバーは外注先も含めて沢山の人が触るので、誰が何をやったのか記録しておかないといけない。サーバーの場合普通操作のテキストログが取れるが、テキストを見ただけではウィンドウ上の操作などは実際にどんな作業をしたのかわからない。
これらの動作を「証跡」として記録できるのがESS RECである。
この作業をしっかり見張っておかないと、勝手にデータを抜き出されたりする。 ベネッセは外注先のSEが同社の顧客データを無断でコピーして名簿屋に売られたことがある。こうした事件を防止するのが第一。加えて、障害が発生したときに「何をしてこうなったのか」という追跡に使ったり、「変なことはしていない」という証明をしたりできる。
同社が過去に顧客から「サーバーの状態を見張れる防犯カメラみたいなものがあったらいいよね」と言われて開発したのがこのESS REC。操作を行う過程を動画で記録できる。動画で記録するほかにも、画面中に出てきた文字列をデータベースに記録して、後で検索できる。この証跡管理製品ではパイオニア。
競合には富士通のSHieldWARE NEなどがある。
ID管理ソリューション、ESS AdminControl
企業はサーバーの管理を自社だけで行うわけではない。外注先の会社に保守や整備を依頼することがある。普通のパソコンでもそうだが、システムにとって重要なファイルは削除しようとしても出来ないようになっている。企業のシステムも同様で、すべてのユーザーが重要なファイルを書き換えたり、データベースの変更が出来たりするわけではない。ネットワークの管理者は、ちょうどIphoneにチャイルドロックをかけるような感じで、各ユーザーごとにできる作業を細かく決めている。
さて、保守などを行うのであればこのチャイルドロックを外した状態にしないといけない。データベースが変更できる、重要なファイルの操作ができる、など特権を与えたアカウントをつくる必要がある。これらを作った上で作業者にIDとパスワードを渡す。このアカウントでログインすることで、作業者は初めていろいろな作業ができるようになるのだ。
こうしたアカウントの管理は煩雑だ。アカウント作成、アカウント付与、アカウント削除、などを手動で行うことになる。いいかげんな管理者は同一のアカウントを使いまわしたりするようだ。こうした特権があるアカウントのIDとパスワードが流出すれば不正アクセスのきっかけになる。
これを防ぐために特権アカウントを管理できるのがAdminControlである。IDの貸出と返却の自動化、作業内容の承認、不要IDの発見などができる。IDを貸し出す際にはパスワードが暗号化されて作業者に伝達されるので、仮にパスワードが流出しても問題は起きない。
この製品の強みはESS RECと組み合わせることだ。組み合わせることで、付与したアカウントでどんな操作がなされたかの証跡も記録できる。 AdminControl以外にも同様のことができる製品は市場に多数ある。 同社はどちらかと言うと「アカウント管理」のソリューションでは後発である。 「特権アカウント管理」だけではすでに様々な製品がある。 同社の製品は証跡管理と組み合わせることができるのが強みである。
クライアントPCを管理する、ESS AdminControl for Client
サーバーだけでなく、社員が使うPCの特権アカウント管理も重要である。
企業ネットワークを攻撃する場合、攻撃者はアンチウィルスに発見されないような独自の侵入プログラムを作る。詐欺師のようにターゲットに近づいて人間関係を作った上で、日常の連絡を装って、メールなどで侵入プログラムを送付し、ターゲットに実行させる。それからターゲットのPCの特権アカウントを奪い、ネットワーク内で重要なデータが保存されているサーバーを狙っていく。
こうした攻撃を防ぐには社員の個々のPCの特権アカウントをしっかり管理する必要がある。PCごとに別々のパスワードを設定するのがよい。万単位の従業員がいる企業などでは社内のPCも万単位。個々のPCの特権アカウントに違ったパスワードを設定し、管理するのは不可能。このためすべてのPCで特権アカウントに同じパスワード設定してしまうことが多い。
このアカウントをしっかり管理してくれるのが同製品である。
課題
低い知名度
同社の顧客は600社ほどで殆どは金融機関である。これからは金融機関だけでなく、従業員100名から500名程度の会社もターゲットにして販売していきたいとしているが、業界への知名度がまだまだのようである。
AWSやAzureなどのクラウドサービスを利用する企業にも積極的に営業していきたいと考えている。(ESS RECやAdmincontrolなどはクラウドサービスに対応している。)
展示会への参加、セミナーの開催、新たな代理店の開拓などを行っている。
(実際筆者も同社のソリューションはWindowsなどのGUIベースのシステムにだけ使えるようなものだと思っていた。ネットワークサーバーのOSがどうであれ、 作業者がログインして何らかの作業を行うケースは情報通信関係の会社であれば、どのような会社でもあり得る。)
重要インフラ業者への訴求
日経新聞 2019/1/16の「きょうのことば」によると、政府はさまざまなインフラのうち、停止や機能低下が生活や経済に深刻な影響を与える、とする14分野 (情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流、化学、クレジット、石油)を「重要インフラ分野」として指定している。
政府はこれらの業者がセキュリティ対策を講じることができるような計画をまとめている。
これらの業者がセキュリティに敏感になれば同社のシステムへの需要が大きくなるだろう。が、まだまだ明確な動きがあるとは言えないようである。J-SOXに絡んで、金融庁が金融機関にセキュリティ対策を指導したことでセキュリティ製品が広まった。関係省庁が先導して、監督対象の企業にセキュリティ対策を指導していかなければならない。これからは徐々にセキュリティ製品の需要が高まっていくだろうと同社は見ている。
売上の内容
製品を開発し、製品を販売し、製品を顧客に導入し、最後に保守を行っていくのが同社の業務サイクルである。売上では保守とライセンス売上が分割して計上されているが、それぞれのオペレーションが不可分なため、オペレーションごとにコストを分割するのが難しく、個別の営業利益を出すまでには至っていない。
製品は50サーバー程度のライセンスでだいたい数百万。保守はライセンス料の20%が年々かかる。サポートの電話窓口は24時間365日開いている。 売上は直販のほうが代理店経由の売上より多い。これは同社の主要顧客であるNTTデータへの売上が直販売上として区分されているのも理由の一つだろう。 NTTデータは顧客から委託されて顧客のネットワークを管理している。その管理に使うために同社のシステムを購入している。代理店販売のようにも見えるが同社は直接の販売と解釈している。
将来見通し
同社は2020年3月期に大幅(前期比 -29.1%)な減益を予定している。これは主に1)新製品の開発が難航していて、開発費用がかかること、2)業務拡大のための人員追加(エンジニアや営業)、3)オフィスが手狭なため近所に別オフィスを開いたこと、の3つのコストがかかるためである。
新製品開発
この開発の目的はESS RECに人工知能を搭載すること。これが叶えば、作業者の作業を機械で見張ることができる。ESS RECの記録は大抵の企業が撮りっぱなしにしている。これを活用することが目的だという。
たとえば不正な作業をする人は作業するウィンドウを画面いっぱいに開かず、小さくして作業する傾向にあるという。こうした作業がみられるようなら事前にアラートを出す。などができるようにある。またはESS RECを社員のPCにインストール(サーバー用途が大半だが、社員のPCに入れることもできる)して、社員の行動を見張ることもできる。
この新機能は本当なら去年リリースが行われているはずだった。これが大幅に遅延しているため、開発人数を増やして対応している。
拡大
すでに社内が手狭になっており、オフィスを増床した。このため通年で人件費と家賃が増額する。
退職防止
2019年3月期は25名の離職者がいた。エンジニアだけでなく、様々な部署に渡って離職者がいたという。同社の歴史の中で一番多い。同社社員の有給取得率は高く、残業時間も少ないため、同社は労働衛生上の問題とは考えていないという。
特にエンジニアは数年経験を積むと更に良い条件の雇用先が見つかることが多い。昨今転職市場も活況なので、他社の条件と比べて転職していくことが多いのではないだろうか。
プロジェクトマネジメント
プロジェクトマネジメントのやりかたも改善が必要と同社は見ている。
同社はアジャイルと呼ばれる超短期で計画を行ってこまめに製品を改善していく手法で開発をしていた。この手法はきちんと運用されれば、顧客と開発者が密なコミュニケーションを取りながら、製品を改善していけるためさまざまな企業で導入されている。ただし、やり方がきちんと決まった伝統的な開発手法と比べて、手順が細かく決まっているわけではないので、やり方がいい加減になりやすいところがある。
プロジェクトマネジメント手法を見直しているという。手法を改善することで機能拡張や、バグ修正などの時間を減らすことができたという。改善を続け、 エンジニアの時間を新機能の開発に割り当てていきたいと考えている。
まとめ
筆者は同社の製品はWindowsベースの古いシステム上で効果を発揮するものと思っていた。クラウドやシステムの仮想化などの先進的な技術を導入する企業のネットワークでは役に立たないのではないか、と思っていた。これはどうやら違うようである。
すでにサーバー上の作業を自動化する技術や、サーバーを仮想化してサーバーの管理を容易にする技術などがあるが、それらを使いこなしていて、手作業がまったくないところというのはあまりないだろう。どこかしらでサーバーにログインして手作業をすることになるのではないだろうか?
企業は派遣や、フリーランスなどの技術者を頼ることが多い。技術者が多くなればなるほどきちんとしたアカウント管理が必要になってくる。彼らに作業を依頼するときに彼らを全面信頼する、というのもやり過ぎな気がする。
知名度が上がれば同社の製品への需要も上がっていくだろう。