① DACとCyberArkが提携し、新たなサービスを提供開始
弊社デジタルアーツコンサルティング株式会社(以下DAC)は、販売代理店契約を締結したCyberArk Software株式会社(以下CyberArk)の特権アクセス管理ソリューション「CyberArk PAS」を活用した、「特権アクセス管理プラットフォーム構築支援サービス」の提供開始をプレスリリースにて配信いたしました。これに伴い、DACのデジタルソリューション事業部CISOサービス総括部長である坂田に本サービス提供に至った経緯をお聞きしましたので、お届けいたします。
② 現状の特権アカウント保護
ビジネスリスクの高い情報セキュリティ侵害や標的型攻撃は、特権アカウントの悪用によって生じています。しかし多くの企業では、サイバー攻撃によるリスクが高いにも関わらず、この特権アカウントへのアクセスは以下をはじめとする要因から十分な管理(特権アクセス保護)がなされていません※。
I. ガバナンス整備の手間
II. アクセスログ分析に要する工数確保の難しさ
III. 複数ユーザーが共有することによるパスワード見直しの煩雑さ
IV. 離着任による利用ユーザーの動的変化
※ISMS(情報セキュリティマネジメントシステム)において定められている特権アクセス管理の要求事項/実践規範については、以下リンクのISO 27000シリーズをご参照ください。
https://www.iso.org/committee/45306/x/catalogue/
③ 特権アカウント保護を行わないことによるセキュリティリスク
特権アカウントとは、一般ユーザーが保持していない特別な強い権限を付与されたアカウント(例:Windows=Administrator、Linux=root等)を意味し、このアカウントはシステムの起動/停止、設定内容の変更等、システム制御の要を担っています。
従来、この特権アカウントは一部管理者により管理されてきましたが、攻撃者により窃取/悪用される危険があるだけでなく、組織内部の人間が悪用することで、情報漏洩やサービス妨害などの甚大な被害に繋がる危険性があります※。
※フォレスター・リサーチ社のレポート 「The Forrester WaveTM: Privileged Identity Management, Q4 2018」 (November 14, 2018)では、企業へのデータ侵害において、少なくとも80%が特権アカウントの悪用によるものである、との調査結果も報告されています。
以下、上記ソリューションを手掛けるCyberArkとDACが提供開始するサービスについてDACの坂田にインタビューを実施いたしましたので、その詳細をご紹介します。
④ 特権アクセス管理に関するDACとしての考え
― DACが特権アクセス管理を取り扱うこととなった至った経緯を教えてください。
元々は某クライアントのNIST SP800-171対応プロジェクトで、特権アカウント保護を拡充した特権アクセス管理対策が必要だったことがきっかけでした。しかし、当社が現在サービス提供しているクラウド態勢管理基盤の構築サービスや、サイバー衛生管理基盤の構築サービスにおいても、各種デバイスへの脆弱性スキャンやコンプライアンスチェックを行う際に、特権アカウントの活用が必要で、これらに対しても、同様の対策を講じる必要がありました。お客様との対話を通じ、特権アクセス管理対策が不可欠な要素であることが分かったため、取り扱うことにしました。
― なるほど。では、その特権アクセス管理についてDACはどういうお考えですか?
5G、クラウド、OT環境下でのウエアラブルデバイスや、IoTデバイスの爆発的な普及により、今までのような内部と外部を繋ぐ一つの境界線をいかに守るかという考えだけでは企業の情報資産を守ることができなくなっています。これからは、様々なベクトルからの攻撃を100%防ぐ事は出来ないという認識を持った上で、機密情報の漏洩やサービス妨害など、甚大な被害を及ぼす可能性がある特権アカウントの奪取と昇格を如何に食い止めるかが重要になってきます。テクノロジーの面においても、人がオンプレ環境下のサーバー、データベース、一部ネットワークへの作業時に使用する特権アカウントへの保護に加え、領域としてはクラウド、SaaS、エンドポイント、工場等をカバーし、対象もモノ(IoTデバイス)や開発環境/ツール(DevOpsやRPA)など、人を介さずにAPIを連携させてクレデンシャル情報を自動的に制御するような仕組みが提供できる特権アクセス管理へ移行するものと考えます。
⑤ CyberArkとDACの提携について
― CyberArkと提携する背景を教えてください。
特権アクセス管理の中でCyberArkを選んだのは、フォーチュン500の半分以上の企業(5,000社以上)が利用する特権アクセス管理分野のグローバルリーダーであることと、エンドツーエンドでの最小特権基盤を提供しつつ、管理対象領域を包括的にカバーしている唯一の企業だったからです。また、当社が現在サービス提供しているクラウド態勢管理基盤(パロアルトネットワークス社 Prisma Cloud)の構築サービスや、サイバー衛生管理基盤(テナブル社 Tenable.io)の構築サービスと、既に基盤部分でインテグレーションが確立している点は採用の大きな要因になりました。
今、世界的に猛威を振るう新型コロナウィルスにより、殆どの企業でリモートワークが求められています。専門家の意見では、ソーシャルディスタンスは今後年単位で維持継続していかなければならないとの指摘もあり、リモートワークへのニーズは益々増加し、自宅が企業の一部になる時代へとシフトしていくことになります。その状況を機会ととらえ、攻撃者はリモートワーカーへと標的を変え、端末やVPNから侵入し、企業内部への横展開と特権アカウント奪取・昇格を狙う攻撃や、ヘルスケア(リモート診察)や企業の上層部等を狙ったランサムウェア等が急増しています。
CyberArkは、これらリモートワークの環境下においても、特権アカウントの奪取、昇格を排除するソリューションに加え、従来のトークンベースやVPNよりも安全なクラウド型生体多要素認証によるアクセスソリューション(ALERO™)を提供し、コストや管理運用面で負担が多かったVPN、エージェント、パスワードを排除するなど、カスタマーエクスペリエンスを向上する新たなリモートワークソリューションを積極的に打ち出しています。
― 今後CyberArkとどのような提携を図っていく予定でしょうか?
まずは、現在CyberArkと取り組んでいる某クライアントのNIST SP800-171対応を受注・導入し、これまでの米国国防省関連調達や、グローバルサプライチェーン、研究機関、防衛省関連調達等、取引上不可欠な企業への支援はもとより、日本の民間産業においても拡充される可能性のある本セキュリティガイドラインへの準拠や、フレームワークの対応支援をCyberArkと一緒に行っていきたいと思います。また、現在サービス提供中のクラウド態勢管理基盤の構築サービスや、サイバー衛生管理基盤の構築サービスとの連携に加え、導入後も継続的にお客様を支援できるような新たなサービス開発も行っていこうと思っています。具体的には、MSS(マネージド・セキュリティサービス)やMDR(マネージド・ディテクション&レスポンス)等へのお客様のニーズを確認した上で、特権アクセス管理領域も踏まえた運用代行サービスも視野に入れていきたいと考えています。
⑥ 本サービス提供による今後の展望
― では、最後に本サービス提供による今後の展望を教えてください。
今回の歴史的なパンデミックにより、これまでリモートワークやクラウド推進に対して躊躇や否定的な考えを持っていた企業においても、事業継続性やリモートワーク推進の観点から、利用が加速すると考えています。それに伴って、サイバーリスクの増大による情報漏洩やサービス妨害等の甚大な被害が生じる可能性が劇的に高まる中、未だ日本企業の中ではこの特権アクセス管理という分野の必要性・重要性が浸透してない部分があると思っています。
だからこそ、当社は会社にとってビジネスリスクの中核がこの分野であると理解してもらうような活動をしなければいけません。また、デジタル化のスピード感を落とさずにセキュアな環境を実現していくのがこの特権アクセス管理の本質なので、結果的に企業の利益にもつながっていくため、ビジネスに対しての必要性があることもしっかり伝え、理解頂いたうえで、あるべき姿を見直し、業務改善を支援するコンサルティングの側面と、導入後の運用を考え、運用設計・導入を支援するエンジニアリングの側面両方を持った当社だからこそ果たせる役割をしっかり担っていきたいと考えています。
― 企業の成長スピードを担保しつつ、セキュリティ強化をはかるサービスなのですね。特権アクセス管理ソリューションが日本企業に普及していく日も近いと感じました。本サービスが特権アクセス管理の重要性を認知していただくきっかけになるといいですね。
貴重なお話をいただきありがとうございました。
坂田義和:DAC デジタルソリューション事業部 CISOサービス総括部長
以上、インタビュー内容をご紹介いたしました。「特権アクセス管理プラットフォーム構築支援サービス」の詳細については以下の弊社HPをご覧ください。
最後まで、お目通しいただきありがとうございました。
⑦ HP
弊社HP: https://con.daj.jp/
CyberArk software株式会社 HP: https://www.cyberark.com/
本サービスに関するプレスリリース: https://con.daj.jp/news/news_20041301.html
⑧ DACメンバー募集
デジタルアーツコンサルティング株式会社では一緒に働く仲間を募集しています
https://con.daj.jp/career.html