特権アカウント管理ソリューションを手がけるCyberArk Software 執行役社長の倉橋秀則氏は、「特権アカウントの保護はセキュリティ対策の『最後のとりで』になる」と語る。国内事業戦略では、特権アカウント管理の実績をエンドポイント領域などに広げていくという。
CyberArk Software 執行役社長の倉橋秀則氏
特権アカウントは、あらゆるシステムへのアクセスやシステムのほぼ全ての操作を実行し得る、いわば“究極”の権限だ。そのためサイバー攻撃者は、攻撃活動を有利に進めるべく、システムなどの特権アカウント権限の奪取を狙う。それ故に倉橋氏は、「特権アカウントの保護がセキュリティ対策の『最後のとりで』」と指摘する。
CyberArk Softwareは、1999年にイスラエルで創業し、特権アカウントの管理に特化したソリューションを手がける老舗ベンダーだ。倉橋氏は、2022年に日本法人の執行役社長に就任し、それ以前はデータバックアップのCommvault Systems Japanや、デル・テクノロジーズでスケールアウトNASの「Isilon」の事業をけん引するなど、データ管理分野を長く経験している。
倉橋氏によれば、企業や組織を狙うサイバー攻撃が日常的になり、サイバー攻撃者が特権アカウントの権限を狙うことが知られるようになったことで、多くの企業や組織が特権アカウントの管理に取り組むようになった。CyberArkの調査では、金融やエネルギー、製造、医薬などの重要産業で80%以上の組織が同社のソリューションを導入しているという。
ただし、特権アカウントの管理はセキュリティ対策において基本的な取り組みの1つであり、倉橋氏は、最終的には特権アカウントの権限がサイバー攻撃者あるいは悪意を持つ内部関係者に奪取されないよう保護しなければならないと提起する。
サイバー攻撃者があらゆる場所でユーザーの権限や特権の奪取や昇格を狙うため、権限の保護を多層的に講じる必要があるという
これまで特権アカウントの管理は、システム責任者などの担当範囲だった。近年は、コロナ禍に伴うリモートワークの大規模導入やDX施策などを背景にクラウドの利用が急速に進み、クラウドを含めたIDや権限を狙うサイバー攻撃も増加しているという。このためCyberArkは、特権アカウント管理ソリューションの実績を基に、従業員ユーザーなどのIDの権限やアクセスの管理にもソリューション提供範囲を拡大。「アイデンティティー&アクセス管理ベンダー」を目指すことになった。
「サイバー攻撃の過程で攻撃者は、端末やサーバー、アプリケーション、サービスなどのさまざまな場所でID権限の奪取と権限の昇格を狙うため、エンドポイントからクラウドに至るまで多層的なIDの権限とアクセスの保護を講じる必要性が高まっている」(倉橋氏)
直近ではそのソリューションとなる「CYBERARK アイデンティティ セキュリティ プラットフォーム」を発表した。実績ある特権アカウント管理ソリューションの「Privilege Access Manager」(PAM)と、エンドポイント向けID管理ソリューションの「Endpoint Privilege Manager」(EPM)などから構成され、SaaSとオンプレミス向けソフトウェア(一部)で提供する。
倉橋氏によれば、上述したように従業員ユーザーなどが直接的にクラウドへアクセスする機会が増えていることで、エンドポイントの保護の強化を重視する企業や組織から、EDR(エンドポイント型脅威検知および対応)との組み合わせたEPMへのニーズが高まっているという。
国内事業戦略は、EPMの販売拡大を中心にパートナー体制の拡充と、アイデンティティー&アクセス管理ベンダーとしてのブランディング強化を推進する。売上トップ100の大企業顧客のうち金融と製造、通信、流通、公共には同社が直接対応し、売上トップ101~300の大手企業にはパートナーと連携して対応していく。パートナーが自らCYBERARKのソリューションを生かしたビジネスを展開できるよう販売からサポートまでの体制を拡充しているという。新規顧客事例としては、2023年1月にゲーム開発大手カプコンでの採用も発表した。
「CYBERARK アイデンティティ セキュリティ プラットフォーム」
アイデンティティー&アクセス管理分野への展開については、現在の国内市場では、特にOktaが存在感を高め、「Active Directory」を有する日本マイクロソフトも総合セキュリティベンダーとしての体制を強化し、アイデンティティー&アクセス管理を重要領域の1つに位置づけている状況だ。
倉橋氏は、「競合がわれわれの強みとする特権アカウント管理に進出しつつあり、アイデンティティー&アクセス管理全体の重要性が高まることにもつながるので、ポジティブと言える。その上で特権アカウント管理の実績とノウハウを強みに、運用性や連携ソリューションとの親和性の高さをお客さまに訴求していきたい」と述べる。
倉橋氏によれば、この他にもクレジットカード業界のセキュリティ基準「PCI DSS」のバージョン4.0において特権アカウントの管理をより厳格に行うことが規定された。「スクリプトや構成ファイル、ソースコードなどに特権情報を埋め込むことが禁止されるなど、同業界からの相談依頼が急増している」(倉橋氏)という。
また、同社が2022年に行った調査では、IoTデバイスなどに割り当てられているIDが人間のユーザーの45倍も多いことや、デバイスの68%に重要なデータや資産へのアクセス権限が付与されている実態が判明したとのことだ。近い将来に、人だけでなくデバイスに付与されるアイデンティティーとアクセスの管理も必要になると予想する。
倉橋氏は、「さまざまな脅威に対するセキュリティソリューションがある中で、やはり特権アカウントの保護がセキュリティ対策の最後のとりでになることをしっかりと訴求し、広く認識してもらうよう努めたい」と意欲を語っている。