CyberArk Softwareは3月24日、報道機関向けに事業戦略を説明した。併せて、国内での導入企業としてセブン&アイグループの事例も紹介された。
まず、CyberArk Software 執行役社長の智田公徳氏は、同社事業について「1999年にイスラエルで創業し、『特権アクセス管理』という分野を開拓した業界のパイオニア」だと紹介。世界で6600社超に製品が採用されているという。
CyberArk Software 執行役社長の智田公徳氏
日本法人が設立されたのは2014年で「国内での知名度はまだまだ」(智田氏)というが、国内事例として紹介されたセブン&アイ・ホールディングスのほかにも、国内大手金融機関や自動車会社など、大企業を中心に約70社の国内顧客がいるという。同社のソリューションは大企業を中心に採用されており、「ITインフラが大規模で、かつセキュリティ要件が最も厳しいといわれる社会インフラを担う業界の世界上位25社を見ると、各業界の約7~8割の企業がCyberArkのソリューションで特権アクセスを保護している」状況だという。
またビジネス面では、2020年に売り切り形の永続ライセンス中心の事業モデルから継続的な収入が見込めるサブスクリプション型にシフトした。このため、「増収率は低下したものの、将来的な定期収益のベースは拡大した。サブスクリプションモデルへの移行に伴う一時的な減収効果は約4500万ドル程度であり、これを加味した年成長率は25%程度になる」(智田氏)とする。
国内市場について、智田氏は「2018年を基準とすると、2019年は約7倍、2020年は約10倍を達成しており、日本法人の売り上げは大きく伸びている」と述べる。その理由としては、「デジタルトランスフォーメーション(DX)の推進により、多くの企業がマルチクラウド環境にシフトしている」「不正アクセスの事故が増えている」「新型コロナウイルス対策としてリモートワークが一般的になった」ことなどが原動力となり、セキュリティ対策の1つとして組織横断的な特権アクセス基盤をしっかり構築していこうという企業が増加したことが挙げられるという。さらに、「国内大手企業での特権アクセス基盤の整備/拡大は、現在はまだ初期段階と認識しており、今後多くの企業で導入が進む」(智田氏)としている。
同社が提供する「特権アクセス管理」の重要性についても改めて強調した。現在は、新型コロナウイルス感染症の影響で自宅などのリモート環境からクラウドを含むさまざまなIT資産にアクセスする必要もでてきており、セキュリティの課題が大きくなってきている状況だ。従来型のオンプレミス前提でがっちりとした境界を作ってそこを防御するという考え方だけでは対応しきれなくなっているほか、「クラウド側では膨大な数のID/ロールを管理する必要があり、管理の難易度が飛躍的に上がっている」「自動化が進んでいることから、人間ではなくアプリケーションが利用する、いわゆる“Machine ID”が大量に分散されている」といった事情も加わり、新たなセキュリティアーキテクチャーとして「アイデンティティー(ID)を中心とするゼロトラストの考え方」に注目が集まっている。
そして、IDを新たな境界とした場合に、組織のIT資産を保護するために大きく2つのレイヤーが必要になるという。1つは一般ユーザーがシステムにアクセスする際の認証基盤として機能する「一般アクセスレイヤー」で、もう1つがシステム管理者権限や機密情報が大量に保存されているデータベースへのアクセス権限など、一般ユーザーよりも強い権限を有する“特権”を利用する際の「特権アクセスレイヤー」だ。
ID管理の2つのレイヤー。特権アクセス権が奪取されると企業ITシステムの大規模な情報漏えいなどにつながる
「特権アクセスレイヤーは企業のデジタル資産に最も近いところに存在し、この層が『企業ITの最後の砦』となる。ここが突破されたり悪用されたりすると大規模なセキュリティインシデントに直結する」と智田氏はその保護の重要性を強調し、「侵入を前提としたセキュリティ対策においては、特権アクセスをしっかり保護することが被害を最小に抑えるためには必須の条件」だとした。
激化するサイバー犯罪でも、攻撃者はまず特権IDの奪取を主目的にさまざまな攻撃手法を駆使してくる。現在では企業ネットワーク内部に侵入すること自体は攻撃者にとってはさほど困難ではないともいわれ、仮に内部に侵入されたとしても特権IDを守ることができる体制を構築することが求められる
なお、以前からOSなどの特権ユーザーID(rootやadmin、スーパーユーザーなどとして知られるもの)を保護することの重要性は繰り返し指摘されているところだが、現在ではサーバー単体だけでなく、ミドルウェアやデータベース、ネットワークからクラウド上の各種環境など、管理対象とすべき範囲が大幅に拡大しつつある。
特権アクセス管理基盤が対象とすべき範囲がクラウドシフトの影響もあって大幅に拡大している
同社のソリューションでは、こうしたさまざまな対象を一元的に管理できる「特権アクセス基盤」を実現している点を強みとするが、その反面、システム規模やIDの数が多くないと効果が実感しにくいことから、従来は大企業(売上上位100社)を中心にビジネスを展開してきた。しかし、今後は新たな注力エリアとして大手企業(売上上位101~300社)に対してもパートナーとの協業モデルによって対応を強化していくという。
同社の日本市場のさらなる拡大に向けた取り組み
続いて、セブン&アイ・ホールディングス ITインフラ部 シニアオフィサーの河村聖悟氏がCyberArkソリューションの導入経緯を紹介した。セブン&アイグループでは国内/海外のコンビニエンスストア事業、スーパーストア事業、百貨店事業、専門店事業や金融関連事業など多種多様な7つの事業を展開し、多数のブランドを擁し幅広い顧客層を抱える。
そこで課題となっていた専門性の分散と事業各社の非効率なITコストに対してグループDX戦略本部を設置して人材やリソースを集約し、共通基盤の構築に取り組んでいるという。その一環として、クラウドとオンプレミスにある全てのアカウント・権限・操作ログを掌握するための特権アクセス管理基盤としてCyberArkが選定/導入された。
選定理由として、同氏は「機能が一元的に管理できるので複数ソリューションを入れるよりもコストが優位」「詳細な監査ログとビデオ録画機能など監査ログ取得の能力」「マルチクラウドでも実現可能」といった点を挙げた。導入効果については、「CyberArkの自動管理の機能によって、効率的な運用の仕組みが築けた」「全グループ会社向けの共通サービス基盤の礎を築くことができた」という。
