CyberArkが提唱する「特権アカウントセキュリティ（PAS）」とは何か

特権アカウント管理のさらに先へ、CyberArkが日本法人設立

2017年02月22日 07時00分更新

文● 大塚昭彦／TECH.ASCII.jp

　「特権アカウントセキュリティ」専業ベンダーのCyberArk Softwareが2月21日、日本法人設立に伴う記者発表会を開催した。日本法人社長の本富顕弘氏は「もはやIAMやID管理ではない」と述べ、競合製品との違いをアピールした。

CyberArk Software日本法人執行役員社長の本富顕弘（ほんぷあきひろ）氏

「特権アカウントセキュリティ」はこれまでの製品とどう違うのか

　Linux／UNIXサーバーならば「root」、Windows Serverならば「Administrator」など、システムに対してあらゆる操作が許されるのが特権アカウントだ。システム管理のうえでは欠かせない特権アカウントだが、仮にそれが外部の攻撃者に悪用されてしまうと、システムの改竄や破壊、データベースからの情報窃取など、あらゆる攻撃が可能になってしまう。加えて、複数人でシステム管理を行っている場合は特権アカウントが共用されることも多く、不正な情報持ち出しなどの内部犯行や、操作ミスによるシステム障害の原因にもなりやすい。

　こうした特権アカウントを保護するため、従来から「特権アカウント管理」や「特権ID管理」と呼ばれるセキュリティ製品のジャンルが存在する。多数のサーバーやシステムの特権アカウントをデータベースで一元管理し、申請フローを介して利用希望者にアカウントを貸し出す。保護対象システムのパスワードを定期的に自動変更する機能、特権アカウント利用者の操作をログ記録する機能なども備えるのが一般的だ。

　この特権アカウント管理をさらに機能強化し、進化させたものが、CyberArkの提唱する「特権アカウントセキュリティ（PAS：Privileged Account Security）」と言えるだろう。同社は7つの製品群で、このPASを実現している。

CyberArkの「特権アカウントセキュリティ（PAS）」で実現する基本機能と製品群

　具体的な特徴としてはまず、幅広い保護対象の特権アカウントに対応していることだ。サーバーだけではなく、エンドポイント端末、クラウド上のインスタンスやSaaS、産業制御システム（ICS）、IoTデバイスなど、近年新たに登場した特権アカウントの保護対象もカバーできる。

　また、特権アカウント利用者による操作内容をすべて記録するとともに、サードパーティ製SIEMなどとも連携して情報収集を行い、そのふるまいをスコアリングして不正利用を検知する機能も提供している。

「Privileged Threat Analytics（PTA）」は、特権アカウントによる操作ログや各種情報を収集、分析し、不審なふるまいをリアルタイムに検知する

　そのほかにも、アプリケーションにクレデンシャル情報（ID／パスワード）をハードコーディングすることなく特権アカウント操作を可能にする機能、SSH鍵を管理する機能、保護対象のサーバーやエンドポイント（Linux/UNIX、Windows）上で動作し特定操作を禁止する機能なども提供する。

　こうした機能は、それぞれ異なる製品モジュールとして提供されており、顧客が用途に応じて組み合わせて導入する。また、各モジュールは共通プラットフォーム上で動作するようになっており、その基盤となる「Secure Digital Vault」は、特許技術に基づく堅牢な特権アカウントセキュリティ管理と共有を実現している。

CyberArkが提供する製品ポートフォリオ。共通プラットフォーム上に、用途別のモジュールとして提供されている

共通の技術基盤となる「Secure Digital Vault」

Global 2000の国内トップ100社をターゲットに営業を展開

　CyberArk Softwareは、1999年にイスラエルで設立された特権アカウントセキュリティ専業ベンダーであり、2014年には米国NASDAQに上場している。「Fortune 100」企業のうち45社、「Forbes Global 2000」企業の25％と、金融や製造のグローバル企業を中心に多くの顧客を持ち、全世界では3000社以上の導入実績を誇る。

　日本法人社長の本富氏は、CyberArkでは昨年（2016年）からAPJ市場の強化を図っており、すでに国内30社の導入実績があると語った。現在、7社の国内販売パートナーがあり、今後さらに拡大していく方針。

　今後、国内のセールス面ではまず、Global 2000に入っている日本企業のトップ100社にアプローチし、J-SOXなどのコンプライアンス対応で特権アカウント管理が必要な金融業やグローバル製造業に対して積極的にアプローチしていくと述べた。

　また、クラウドやDevOps、IoTといった、新しい特権アカウント保護対象への提案も進めていく。CyberArkでは導入前のアセスメントサービス「DNA（Discovery & Audit）」も提供しており、2017年度は新規顧客30社の獲得、既存顧客20社でのアップセルを目標とすると、本富氏は述べている。

　なお、CyberArkのPASは導入する製品（モジュール）や保護対象数などにより価格が異なるが、「グローバルインフラに導入する場合で1000万～数千万円程度」（本富氏）としている。

■関連サイト