特権アクセスの保護は被害最小化の必須条件–CyberArkが2021年度の事業戦略

今回は「特権アクセスの保護は被害最小化の必須条件–CyberArkが2021年度の事業戦略」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　CyberArk Softwareは3月24日、報道機関向けに事業戦略を説明した。併せて、国内での導入企業としてセブン＆アイグループの事例も紹介された。

　まず、CyberArk Software 執行役社長の智田公徳氏は、同社事業について「1999年にイスラエルで創業し、『特権アクセス管理』という分野を開拓した業界のパイオニア」だと紹介。世界で6600社超に製品が採用されているという。

　日本法人が設立されたのは2014年で「国内での知名度はまだまだ」（智田氏）というが、国内事例として紹介されたセブン＆アイ・ホールディングスのほかにも、国内大手金融機関や自動車会社など、大企業を中心に約70社の国内顧客がいるという。同社のソリューションは大企業を中心に採用されており、「ITインフラが大規模で、かつセキュリティ要件が最も厳しいといわれる社会インフラを担う業界の世界上位25社を見ると、各業界の約7～8割の企業がCyberArkのソリューションで特権アクセスを保護している」状況だという。

　またビジネス面では、2020年に売り切り形の永続ライセンス中心の事業モデルから継続的な収入が見込めるサブスクリプション型にシフトした。このため、「増収率は低下したものの、将来的な定期収益のベースは拡大した。サブスクリプションモデルへの移行に伴う一時的な減収効果は約4500万ドル程度であり、これを加味した年成長率は25％程度になる」（智田氏）とする。

　国内市場について、智田氏は「2018年を基準とすると、2019年は約7倍、2020年は約10倍を達成しており、日本法人の売り上げは大きく伸びている」と述べる。その理由としては、「デジタルトランスフォーメーション（DX）の推進により、多くの企業がマルチクラウド環境にシフトしている」「不正アクセスの事故が増えている」「新型コロナウイルス対策としてリモートワークが一般的になった」ことなどが原動力となり、セキュリティ対策の1つとして組織横断的な特権アクセス基盤をしっかり構築していこうという企業が増加したことが挙げられるという。さらに、「国内大手企業での特権アクセス基盤の整備／拡大は、現在はまだ初期段階と認識しており、今後多くの企業で導入が進む」（智田氏）としている。

　同社が提供する「特権アクセス管理」の重要性についても改めて強調した。現在は、新型コロナウイルス感染症の影響で自宅などのリモート環境からクラウドを含むさまざまなIT資産にアクセスする必要もでてきており、セキュリティの課題が大きくなってきている状況だ。従来型のオンプレミス前提でがっちりとした境界を作ってそこを防御するという考え方だけでは対応しきれなくなっているほか、「クラウド側では膨大な数のID／ロールを管理する必要があり、管理の難易度が飛躍的に上がっている」「自動化が進んでいることから、人間ではなくアプリケーションが利用する、いわゆる“Machine ID”が大量に分散されている」といった事情も加わり、新たなセキュリティアーキテクチャーとして「アイデンティティー（ID）を中心とするゼロトラストの考え方」に注目が集まっている。

　そして、IDを新たな境界とした場合に、組織のIT資産を保護するために大きく2つのレイヤーが必要になるという。1つは一般ユーザーがシステムにアクセスする際の認証基盤として機能する「一般アクセスレイヤー」で、もう1つがシステム管理者権限や機密情報が大量に保存されているデータベースへのアクセス権限など、一般ユーザーよりも強い権限を有する“特権”を利用する際の「特権アクセスレイヤー」だ。

　「特権アクセスレイヤーは企業のデジタル資産に最も近いところに存在し、この層が『企業ITの最後の砦』となる。ここが突破されたり悪用されたりすると大規模なセキュリティインシデントに直結する」と智田氏はその保護の重要性を強調し、「侵入を前提としたセキュリティ対策においては、特権アクセスをしっかり保護することが被害を最小に抑えるためには必須の条件」だとした。

　なお、以前からOSなどの特権ユーザーID（rootやadmin、スーパーユーザーなどとして知られるもの）を保護することの重要性は繰り返し指摘されているところだが、現在ではサーバー単体だけでなく、ミドルウェアやデータベース、ネットワークからクラウド上の各種環境など、管理対象とすべき範囲が大幅に拡大しつつある。

　同社のソリューションでは、こうしたさまざまな対象を一元的に管理できる「特権アクセス基盤」を実現している点を強みとするが、その反面、システム規模やIDの数が多くないと効果が実感しにくいことから、従来は大企業（売上上位100社）を中心にビジネスを展開してきた。しかし、今後は新たな注力エリアとして大手企業（売上上位101～300社）に対してもパートナーとの協業モデルによって対応を強化していくという。

　続いて、セブン＆アイ・ホールディングス ITインフラ部 シニアオフィサーの河村聖悟氏がCyberArkソリューションの導入経緯を紹介した。セブン＆アイグループでは国内／海外のコンビニエンスストア事業、スーパーストア事業、百貨店事業、専門店事業や金融関連事業など多種多様な7つの事業を展開し、多数のブランドを擁し幅広い顧客層を抱える。

　そこで課題となっていた専門性の分散と事業各社の非効率なITコストに対してグループDX戦略本部を設置して人材やリソースを集約し、共通基盤の構築に取り組んでいるという。その一環として、クラウドとオンプレミスにある全てのアカウント・権限・操作ログを掌握するための特権アクセス管理基盤としてCyberArkが選定／導入された。

　選定理由として、同氏は「機能が一元的に管理できるので複数ソリューションを入れるよりもコストが優位」「詳細な監査ログとビデオ録画機能など監査ログ取得の能力」「マルチクラウドでも実現可能」といった点を挙げた。導入効果については、「CyberArkの自動管理の機能によって、効率的な運用の仕組みが築けた」「全グループ会社向けの共通サービス基盤の礎を築くことができた」という。

Windows環境のセキュリティ対策はどうする、どうなる？――Microsoftクラウドセキュリティの現在と未来を ...

ニューノーマルな時代に向けたMicrosoft＆Windowsテクノロジー活用の新たな道筋を探る本特集。コロナ禍で働き方が一変したといわれて久しいが、そうした時代に合わせた情報セキュリティの在り方について、具体的なMicrosoftのサービスとともに解説する。

Amazon.co.jp: カーセキュリティ

ユピテル アギュラス簡単取付 カーセキュリティ通報機能付き ve-s26r. 5つ星のうち3.6 137 ￥16,358 ￥16,358. 5ポイント ...

インターネットと情報セキュリティの最新ニュース - INTERNET Watch

インターネット関連の最新ニュースを毎日配信。新しい技術動向やセキュリティ情報の紹介から、最新のIT業界動向、使えるサービスのリンク集まで、インターネットの“今”を伝えます

情報セキュリティ対策は情シスではなく、経営企画や総務が取り組むべき理由 | セキュリティ心理学入門 内田勝也 ...

情報セキュリティ対策は、情報システム部門の課題と捉えていないだろうか。情報セキュリティ大学院大学の内田勝也名誉教授は、「情報セキュリティ対策は、危機管理やリスクマネジメントの一つと捉えて、『経営問題』として取り組むべき」と断言する。

セキュリティのコア人材確保のために「面」で取り組む

テレワークが浸透する中、セキュリティの分野でさまざまな変化が起こっている。高度化するサイバー攻撃に合わせて企業の経営者はどういった対策を取るべきなのか。サイバー空間におけるビジネスに必要となるセキュリティ体制はどのように構築すればいいのだろうか。

セキュリティ責任者と経営陣との意思疎通を強化する4つの方法（前） - セキュリティ責任者と経営陣との意思疎通を強化 ...

セキュリティを戦略に置き換え、対話を続けるためにどうすればよいか、セキュリティリーダーやアナリストらが挙げたヒントを4項目にまとめて紹介する。

どの会社も他人事ではない!9割以上の経営層が危惧する「セキュリティインシデント」｜@Dime アットダイム

「セキュリティインシデント」とは？「セキュリティインシデント」とは、何かご存じだろうか？インシデント (incident) とは、英語で事件・事故のこと。そしてセキュリティインシデントとは、会社や組織の情...

セキュリティ・ミニキャンプ in 東京 2021：IPA 独立行政法人 情報処理推進機構

セキュリティ・ミニキャンプ in 東京 2021. 最終更新日：2021年3月31日 IT人材育成センター イノベーション人材部 セキュリティキャンプグループ. 開催概要

Amazon.co.jp: 目隠しテープ

ヒサゴ 目隠しセキュリティテープ 5mm×5m コピーFAX用（白） OP2454. 5つ星のうち3.0 1 ￥1,017 ￥1,017. 2021/3/30 ...

GIGAZINE（ギガジン） - PlayStation 5や自動車の生産に影響を与える世界的な半導体不足の理由とは？

03月29日23時00分 セキュリティ. オリーブオイルでフライした外はザックザク＆中はジュワッなフライドチキンを楽しめる「bb.q OLIVE CHICKEN Cafe」に ...

情報セキュリティマネジメント試験の具体的な勉強法｜午前問題編・午後問題編 | オンスク.jp

情報セキュリティマネジメント試験に最短で合格したい人必読！この試験に独学で合格した筆者が、効果的な勉強法やコツについて解説していきます。第4回は効率的な勉強法について説明！分野ごとの対策や勉強のコツなどを紹介しています。

CrowdStrike Blog：M&Aにおけるサイバーセキュリティの重要な役割「 2．クロージング前 ...

本記事は、M&A におけるサイバーセキュリティの重要性に関する 3 部作のブログシリーズのパート 2 です。今回のブログではクロージング前のフェーズについて説明します。

クラウドサービス利用で複雑化する事故対応 - 第6回「情報セキュリティ事故対応アワード」開催レポート｜セキュリティ ...

不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業を表彰する「情報セキュリティ事故対応アワード」審査員。第6回目となる今回は、2021年2月26日にオンライン開催された。

AI、セキュリティ、用途特化型コンピューティングの未来を切り拓く、Armの最新アーキテクチャv9を発表 - 産経ニュース

アーム株式会社2021年3月30日、英国ケンブリッジ発 – 英Arm（本社：英国ケンブリッジ、日本法人：神奈川県横浜市、以下Arm）は本日、…

ポストコロナ時代にブレークする音声sns その人気と潜むセキュリティリスクの検証 - ペンタpro：ペンタ ...

いま、「Clubhouse（クラブハウス）」をはじめとする音声SNSの利用が急拡大しています。実はこれらのアプリもセキュリティリスクが潜んでいる可能性があります。これらのアプリはそれ自体が本質的に悪意のあるものではなく、サイバー犯罪者がこれらのプラットフォームを侵害し悪用することで脅威に発展することに留意する必要があります。今回は音声SNSの解説と、潜むセキュリティリスクの検証を行っていきたいと思います。 音声SNSの種類と広まった背景 音声SNSは2020年前半、新型コロナウイルスのパンデミック（世界的大流行）が流行し、多くの人が隔離生活を送るなか広まり始めました。ロックダウンによってリアル…

ラック、管理漏れの公開サービスを把握するIPアドレス調査「Quick Discovery」を提供開始 ...

株式会社ラックは、テレワーク対策やクラウドサービスの利用などで拡張されたシステムにより発生するセキュリティ事故を防ぐため、IPアドレスの利用状況を把握して対策する、IPアドレス調査「Quick Discovery」の提供を、2021年3月31日に開始しました。

ASCII.jp：【経営層/セキュリティ担当者必見】「DX時代のセキュリティ新常識ゼロトラストのキホンのキ」無料 ...

【経営層/セキュリティ担当者必見】「DX時代のセキュリティ新常識ゼロトラストのキホンのキ」無料オンラインセミナーを4/1(木)に開催

AI、セキュリティ、用途特化型コンピューティングの未来を切り拓く、Armの最新アーキテクチャv9を発表｜アーム ...

アーム株式会社のプレスリリース（2021年3月31日 09時00分）AI、セキュリティ、用途特化型コンピューティングの未来を切り拓く、Armの最新アーキテクチャv9を発表

AI、セキュリティ、用途特化型コンピューティングの未来を切り拓く、Armの最新アーキテクチャv9を発表：時事ドットコム

［アーム株式会社］2021年3月30日、英国ケンブリッジ発 – 英Arm（本社：英国ケンブリッジ、日本法人：神奈川県横浜市、以下Arm）は本日、優れたセキュリティや人工知能（AI）の能力を備えた、ユビキタスな用途特化型プロセッシングを求める世界的な需要に対する回答として、「Arm(R)v9」アーキテクチャを発表(*1)しました。現行アーキテクチャのArmv8は、演算処理が行われるあらゆる場面で、最高のワットあたり性能を実現しています。こうした成功を継承し、10年ぶりに発表された最新の…

朝日生命、DX推進に伴うセキュリティ強化でファイア・アイ製品を採用：EnterpriseZine（エンタープライズジン）

3月29日、ファイア・アイは、朝日生命保険（以下、朝日生命）が包括的なセキュリティ・ソリューションを採用したことを発表した。 同社では、近年サイバー...

【日経電子版オンラインセミナー】Boost your business 経営者が考えるべきサイバーセキュリティー対策 ...

新型コロナウイルスの感染拡大を防ぐため、ニューノーマル時代のビジネスは大きくデジタルシフトが進みはじめました。 そうした中、サイバー攻撃による情報漏洩、不正アクセス、コンピュータウイルス感染の脅威が改めてクローズアップされ、「情報セキュリテ･･･

機能が拡充されたセコムの法人向けシステムセキュリティ | Security News for professionals

セコム株式会社のシステムセキュリティ「AZ（エーゼット）」は、防犯や防災等のリスク管理から従業員の就業管理等により事業効率化までをオールインワンで提供。専用のスマートフォンアプリを使って外出先からもセキュリティ状態の確認や操作ができる等、多彩な機能が特徴で、2019年9月に発売されて以来、法人向けの主力サービス

年間35～40％のコスト削減も？ リモートワークでは「Webセキュリティ対策」を見直せ ｜ビジネス+IT

クラウドのビジネス利用が当たり前になった今、会社のネットワークで発生するトラフィックの80％以上がインターネットを経由しているという。従来のWebアーキテクチャでは、そのトラフィックを中継するオンプレミスのWebゲートウェイのコストが増大するという課題があった。昨今ではリモートワークの普及で、ネットワークの遅延が従業員の生産性低下を招くことも指摘されている。本資料では、巧妙化するWebセキュリティの脅威対策の高度化と、リモートワークでも安全かつ便利にクラウドを利用できる環境を整備するための最善策を紹介する。

朝日生命、包括的なセキュリティの強化でファイア・アイを採用 - ZDNet Japan

朝日生命保険は、包括的なセキュリティ対策としてファイア・アイの製品やサービス群を採用した。

【調査】世界325社のリーダーに聞く「クラウドセキュリティの課題」 ｜ビジネス+It

多くの企業でクラウドの採用が急増している。クラウドはビジネスに柔軟性を与えてくれるが、一方で深刻なセキュリティ問題も生じている。特にこの問題を難しくしているのが、「クラウドセキュリティの責任共有」のあいまいさだ。クラウドを利用すればすべてのセキュリティ問題をベンダー側に丸投げできるわけではなく、IaaS、PaaS、SaaSなどの利用形態に応じてユーザー企業側にも責任が生じる。これらの課題解決に必要なこととは何か？　本資料は、クラウドセキュリティに関するセキュリティ専門家やクラウド採用企業への調査結果をまとめたものだ。

GSX、クラウドの設定不備やサイバーリスクを可視化する「クラウドセキュリティ診断サービス」 - クラウド Watch

グローバルセキュリティエキスパート株式会社（以下、gsx）は30日、クラウドサービス利用について、設定の不備やサイバーリスクを可視化する ...

三井情報株式会社が次世代エンドポイントセキュリティ FFRI yarai を提供へ ～コミュニケーション ...

サイバー・セキュリティ領域において国内で独自の研究開発活動を展開している株式会社FFRIセキュリティ（本社：東京都千代田区、代表取締役 ...

情報セキュリティ方針 - indexPro

当社は、情報セキュリティ上の問題に対して発生の予防を図り、万一の問題発生に対しては迅速にこれに対応します。 6．継続的な改善 当社は、情報セキュリティの運用状況や関連する諸規程を定期的に見直し、必要に応じてこれを改善します。

第6回「産業サイバーセキュリティ研究会」を開催します （Meti/経済産業省）

経済産業省は、昨年6月に開催した第5回「産業サイバーセキュリティ研究会」における議論等を踏まえ、産業におけるサイバーセキュリティの取組の強化に向け、サプライチェーン・サイバーセキュリティ・コンソ－シアム（SC3）の立ち上げ支援などの取組を進めてきました。産業界のセキュリティ対策の強化の視点に加え、攻撃者優位と言われる状況を打開するために国として何ができるのかという視点も踏まえ、取り組むべき政策の在り方について議論を行うべく、4月2日（金曜日）に、オンライン形式で第6回会合を開催します。

イエラエセキュリティ、クラウド利用状況を診断: 日本経済新聞

セキュリティーベンチャーのイエラエセキュリティはクラウドの利用状況を診断するサービスを始めた。用途などを確認し、公開設定やアクセス権限などの設定が情報漏洩のリスクが高い状態になっていないかなどを確認する。クラウドの設定ミスによる情報漏洩が増えている。クラウドの使い方を専門の技術者が細かく確認し、情報漏洩を防ぐ。対象とするのは米アマゾン・ドット・コムや米グーグル、米セールスフォース・ドットコムな