IDアクセス管理

日本 IBM、特権アカウント管理で CyberArk との協業を開始

2018-06-13

記事をシェアする:

BRACKETS をはじめる前に
高い権限を持つ「特権アカウント」の管理強化のため、運用を見据え、上流のアセスメントからデザイン・構築までをご支援

日本 IBM は、「特権アカウント管理セキュリティー」の米 CyberArk 社日本法人 CyberArk Software 株式会社と協業し、特権アカウント管理領域のお客様サポートを強化します。CyberArk 社は、Forrester、IDC、Kuppinger Cole などの業界アナリストによって、特権アカウント・セキュリティー市場の”リーダー”に選定され、全世界で 300 社以上のパートナーと共に、65 ヵ国以上でビジネスを展開しています。CyberArk Privileged Account Security (PAS) を核に、特権アカウントの管理、利用、監査に関する機能を網羅的に提供し、企業や組織のセキュリティー強化をご支援しています。

GDPR が施行された現在、企業や組織の重要なデータやビジネス活動自体を狙う攻撃は、その規模や手法がますます巨大化、複雑化してきており、内部犯行を含むサイバー・セキュリティーはいっそう重要な経営課題となっています。組織の中核データを操作したり制御できる高い権限を持った「特権アカウント」を、不正に取得・利用された場合、機密情報の漏洩や改竄の危険に直結し、企業のビジネス活動の継続そのものに直接的なダメージを与えます。

CyberArk の「Privileged Account Security(PAS)」（特権アカウント・セキュリティー・ソリューション）は、外部からの攻撃者や内部犯行者が、企業ネットワーク上で特権アカウントを悪用することを未然に防止することができる、優れたセキュリティー対策ソリューションです。 CyberArkは、特権アカウントの管理・運用を人手に任すのではなく、企業全体で抜け漏れなく安全かつ確実に特権アカウントをシステムで運用できる仕組みを、主に3つの特徴で実現します。
1つ目は、これまでサーバーごとに管理してきた特権IDを、本番環境の手前にゲートウェイを設置することで、利用者のアクセス制御と利用ログの取得を一元的に実現する仕組みを提供します。CyberArkのソリューションは、業界で最も広範なシステムと連携して特権アカウントを管理できます。データセンター内にあるメインフレーム、サーバー、OSはもちろんのこと、AWSやO365などのクラウド環境、更にはアプリ開発者が利用するDevOpsなどの管理者権限をCyberArkの管理下に置くことができます。また、バッジ処理やシステムの自動連携用にアプリケーションに埋め込まれた認証情報も、CyberArk基盤と接続することで安全に管理できるようになります。このように、企業全体の膨大な数に及ぶ特権アカウントを、抜け漏れのない形で一元的に管理できるようになるため、CyberArk基盤の導入を通じて、特権アカウントの悪用による被害リスクを極限まで低減することができます。
2つ目の特徴は、特権アカウントのパスワードの秘匿化と定期的なパスワード自動変更機能により、攻撃者が特権アカウントを悪用して、企業に与えるリスクを最小化します。人手による運用では、企業全体で膨大な数に及ぶ特権アカウントのパスワード変更頻度を増やすには限界があるため、数か月毎に変更するのが一般的です。この場合、パスワードが変更されるまでの間、攻撃者は盗み出した特権アカウントを自由に悪用できるため、企業は大きなセキュリティリスクを抱えたままシステムを運用しなければなりません。CyberArkは、利用者がログインする毎に、利用者には見えない形で新たなパスワードを自動的に払い出した上で、システムと認証する機能を有しているため、特権アカウントの利用者が、強制的かつ安全に利用する仕組みを実現します。
3つ目は、CyberArkが有する振舞い検知・分析機能により、特権アカウントを使った想定外のアクションをリアルタイムに検知し、それらを防止する仕組みを有していることです。たとえば、作業者が通常とは異なる想定外のアクションを実施した場合、それに伴うリスク数値を計算し、即座にグラフ上に表示した上で管理者に通知したり、強制終了することができます。また、CyberArkを経由せず、攻撃者がバックドア・アカウントを作成してシステムへアクセスした際に、CyberArkはそれを検知し、アクセスを遮断した上で、システムのパスワードを強制的に変更します。これらの機能により、企業全体の特権アカウント・セキュリティを世界最高水準に引き上げることができます。
CyberArk−特権アカウント一元管理概念図

CyberArk Software株式会社智田公徳執行役員社長より、次のようにコメントをいただいています。「このたび、豊富な実績を有している日本IBM様と協業して、CyberArkの特権アカウントソリューションを国内のお客様に提案できることを非常に嬉しく思います。特権アカウントセキュリティは、外部、内部の両方の脅威から企業の重要な情報資産を守る、まさにセキュリティの「最後の砦」です。今後、日本IBM様との協力体制を通じて、CyberArkはお客様の重要システム基盤の安全性を高めていくことに尽力してまいります。」

IBMは、20 年以上にわたる ID 管理・アクセス管理・特権ユーザー管理の認証システムの構築・運用実績とノウハウを持っています。さらに、グローバルで CyberArk 社との協業で培った知見を活用して、CyberArk ソリューションを利用した特権アカウント管理領域のアセスメント、運用設計を含むソリューションの上流デザイン、システムの構築をご支援します。

IBM が提唱する「セキュリティー免疫システム (Immune system）」は、包括的に網羅性を持って構成される各エンティティーが相互に作用して、「人体の免疫系」のように、各種攻撃からシステムを防御する考え方です。プラットフォームに依存しない全体のエコシステムの中で、その１つのエンティティーである ID・アクセス管理においても、IBM QRadar、Watson、IBM Resilient を核とするセキュリティー・オーケストレーションと分析機能を中心に、他のエンティティーと連携したり呼応しあいながら、全体のセキュリティー対応力を高めます。お客様は、セキュリティーの運用や監視をより一層高度化することが可能となり、サイバー・セキュリティー対策の強化を図ることができます。