Cisco、人と人以外のアイデンティティを総合的に保護してその可能性への架け橋を守る

大手ネットワークプロバイダーは、人のユーザーやアプリケーションの特権アクセスを一元的に保護・監査することで、セキュリティを強化し、業務効率を向上させます

トップに戻る

まとめ
会社概要
課題
ソリューション
結果
主要な効果

まとめ

Cisco は、CyberArk Identity Security プラットフォームを使用して、スタッフが顧客にサービスを提供・開発するために必要な特権アクセスを動的かつワンクリックで提供します。そして、動的なシークレット管理戦略で DevOps パイプラインを加速し、保護しています。

会社概要

Cisco は、米国カリフォルニア州サンノゼに本社を置く、アメリカを拠点とする多国籍デジタル通信技術企業です。世界 180 か国で事業を展開し、6 つの戦略的柱の下でサービスを提供しています。安全で俊敏なネットワーク。ハイブリッドワーク。最適化されたアプリケーション体験。エンドツーエンドのセキュリティ。未来のためのインターネット。そして、エッジにおける機能。

従業員数: 100,000人

課題

世界有数の IT 企業の顧客、スタッフ、資産、事業運営を守るその任務を想像してみてください。その任務は、Cisco の Enterprise Security Team の Senior Leader である Santosh Prusty 氏にあります。Cisco の従業員は 100,000 人、パートナー企業は世界中に数百社あり、ビジネスと Cisco の顧客をサポートするアプリケーションは 1,000 を超えます。

「数年前、私たちは特権アイデンティティとアクセス管理におけるギャップを検討しました」と、Prusty 氏は説明します。「ポイントソリューションはありましたが、誰が何をしているのかというガバナンスの視点がなく、モニタリング機能もありませんでした。そこで、私たちはこれらのギャップを埋めるだけでなく、将来のアイデンティティセキュリティのニーズにも対応できる製品を探していました」

50 年以上にわたり、Cisco は世界中のほとんどの技術ネットワークとビジネス IT インフラの礎となってきました。マルウェアやランサムウェアといった従来の脅威だけでなく、サプライチェーン攻撃やアイデンティティセキュリティの重要性の高まりなど、Cisco をはじめとする多くの組織にとって脅威状況は変化しています。

「この 10 年間で、デジタル化、インフラの自動化、人工知能の変化により、脅威の全体像に対する見方は変わりました」と、Prusty 氏は言います。「自分たちのインフラを使えば、それが自分たちの境界にあるので安全だと感じます。しかし、分散した企業、遠隔地のスタッフ、自宅での仕事の増加により、外部からネットワークに接続する機会が劇的に増えています。私たちのアイデンティティが危険にさらされないようにするにはどうすればいいのでしょうか?」

Prusty 氏は、主要な脅威状況レポートが継続的に示していることを引用し、全ての侵害の 74 パーセントが人的要素を含んでおり、エラー、特権の悪用、盗まれた認証情報の使用、ソーシャルエンジニアリングのいずれかを介して人が関与していると述べます。「私たちのアイデンティティは、以前は主にユーザー名とパスワードに集中していました」と、Prusty 氏は言います。「今やアイデンティティには、複数の種類の認証情報、許可証、ラップトップ、その他仕事に使うあらゆるデバイスが含まれます。攻撃対象は広大です。それは人だけではありません。全ての組織が保護し、制御し、管理する必要のある、人以外のアイデンティティが存在します」

Cisco はアイデンティティセキュリティを以下の 3 つの主要な柱に整理しました。内部、外部、特権アイデンティティです。しかし、特権ユーザーのセッション監視にはギャップがありました。監査報告や誰が何をしているのかを一元的に把握することはできませんでした。Cisco は大規模でグローバルな組織であり、さまざまな製品、サービス、パートナーを擁しています。同社は、ガバナンスとコントロールを強化するために、特権アクセスおよびアイデンティティ財産をトップダウンでよりよく把握する必要がありました。

h3>ソリューション

Cisco が CyberArk の採用を決めた理由は、CyberArk にアイデンティティセキュリティと特権アクセス管理 (PAM) のリーダーとしての実績があり、認められているからです。同社は、人と人以外の特権アクセスコントロールとアイデンティティを統合プラットフォームに統合できるソリューションを必要としていました。

Cisco が導入した CyberArk Identity Security Platform は、CyberArk Privileged Access Manager と CyberArk Conjur Enterprise で構成されています。同社は近い将来、次世代の CyberArk Secrets Hub と CyberArk Dynamic Privileged Access 製品を導入する予定です。Cisco は、CyberArk の膨大な統合機能を活用して、Cisco 独自の多要素認証 (MFA) ソリューションである Duo と統合し、SailPoint や Saviynt などの他のアプリケーションと統合することで、アイデンティティガバナンスプロセスを自動化し、DevOps パイプライン全体のアプリケーションで使用されるユーザーとシークレットのオンボーディングを簡素化します。CyberArk Conjur は AWS でホストされ、企業全体のハイブリッドおよびマルチクラウドインフラで使用され、秘密管理を管理・統括しています。これにより、DevOps エンジニアは、ハードコードされた認証情報を、CI/CD (継続的インテグレーションと継続的デリバリー) パイプライン全体でアプリケーションがワークロードを実行するために必要な秘密を取得する API に置き換えるシンプルなプロセスを得られます。

「私たちのプログラムで達成したことをとても誇りに思います。CyberArk Identity Security Platform は、統合されたソリューションで人と人以外のアイデンティティを保護し、管理するのに役立ちます。50,000もの特権アイデンティティを保護し、毎月 25,000 以上のセッションを分離および監視し、1 日あたり 1,000 時間以上のセッションを記録しています。シークレット管理の観点から、アプリケーションで使用される何万もの認証情報を保管してローテーションし、月に 4,000 万件以上の API シークレットコールを管理しています」 – Cisco の Enterprise Security Team の Senior Leader、Santosh Prusty 氏

Cisco は、AWS、Azure、GCP を含むクラウドインフラの最大消費者の 1 つであり、オンプレミス環境のホスティングに加えて、真のハイブリッドおよびマルチクラウド企業となっています。そのため、さまざまなクラウドプラットフォームやオンプレミスに至るまで、人と人以外のアクセスを総合的に保護できるアイデンティティセキュリティソリューションが必要になりました。

次のステップでは、CyberArk Identity Security Platform の 2 つのユースケースと機能に焦点を当てます。CyberArk Secrets Hub は、セキュリティチームがアプリケーションの認証情報を CyberArk で一元的に管理・監査する一方で、開発者が使い慣れた AWS や Azure のネイティブなシークレット管理サービスを利用できるようにすることで、運用の効率化と DevOps パイプラインの高速化を実現します。今後、Cisco は CyberArk Conjur を使用して、クラウドポータブルアプリケーションを構築し、クラウドインスタンスをプロビジョニングし、ユーザーが API キーシークレット、アプリケーション、データベースの認証情報を管理・保存する予定です。CyberArk Dynamic Privileged Access (DPA) は、属性ベースのアクセスコントロール (ABAC) ポリシーを使用して、対象の仮想マシンまたはサーバ上に一時的なアクセス、時間制限のあるアクセスを作成することで、常時アクセスに関連する運用上のフットプリントとリスクを削減します。セキュリティチームは、管理者のために RDP や SSH クライアントを使用し、リスクを考慮した適応型多要素認証 (MFA) を活用して、ジャストインタイム (JIT) で隔離された接続を開始します。全て、エージェントや VPN を介することなく、セキュアで隔離された監視されたセッションを仲介します。

結果

Cisco にとって、CyberArk は 3 つのコアバリューを提供しています。

ワンクリックでエンドユーザーのシークレット管理をプロビジョニングできるようにすることでビジネスオペレーションを改善します。
ユーザーアクセスを監視・管理することで、セキュリティガバナンスを強化します。
DevOps パイプライン全体にわたってハードコードされた認証情報を削除し、開発者に API コールを活用して秘密を取得する簡単な方法を提供することで、開発者に運用効率を提供し、付加価値の高い活動に専念できるようにします。

「現在では、全てを 1 つのアイデンティティセキュリティプラットフォームに統合することで、特権アクセス管理と運用の観点から効果的なものとなっています」と、Prusty 氏は明かします。「私たちは、管理者や開発者が資産に接続するための安全で柔軟な方法を提供することができました。その結果、CyberArk で保護された特権アカウントは 50,000 に達し、プラットフォームは Conjur への API シークレットコールを月間 4,000 万件処理しました。また、ユーザーとアプリケーションのオンボーディングを合理化するために、複数の自動化と統合を実装しました。以前はオンボーディングに数週間かかっていました。今では、数分でシームレスに自動的にできるようになりました」

CyberArk の他の利点の 1 つは、可視化と監視です。「CyberArk を使えば、全てのセッションが記録・保存されます」と、Prusty 氏は続けます。「何が起こったのか、誰が、どの地域で、いつ、どれくらいの時間ログオンしたのか戻って確認できます。これにより、分析や監査に役立つ真の洞察力を得ることができます」

Cisco は CyberArk と共に戦略的パートナーを確立しました。CyberArk Blueprint と CyberArk Success Plans は、Cisco にとって測定可能なリスク削減と業務効率化を継続的に達成するためのロードマップを設定し、両者が協力して実行するのに役立ちました。「この 3 年間、CyberArk は Cisco にとって素晴らしい存在でした」と、Prusty 氏は感謝を示します。「現在、私たちは CyberArk Identity Security Platform を進化させ、CyberArk が開発中の新しく先進的なソリューションの一部を活用することを計画しています。CyberArk Dynamic Privileged Access のような製品を Cisco に導入することで、何千人もの管理者ユーザーに常時アクセスではなく、ジャストインタイムのアクセスを提供し、攻撃対象領域を劇的に減らせます」

「CyberArk Secrets Hub を使用することで、私たちは開発者がどこにいても顔を会わせることができます。開発者は、クラウドプロバイダのネイティブなシークレット管理ツールを使用し、私たちは CyberArk でシークレットの一元管理と監査を行います」 – Cisco の Enterprise Security Team の Senior Leader、Santosh Prusty 氏

Cisco にとって差し迫った課題の一つが、ベンダー管理です。「Cisco は世界中の何百ものサプライチェーンパートナーと協力しています」と、Prusty 氏は言います。「これらのパートナーが Cisco のビジネスの中核を担っており、私たちは彼らの成功を望んでいます。しかし、サプライチェーンパートナーの管理とガバナンスを簡素化し、必要なアクセスを効率的に提供する方法を考えなければなりません。それに関連して、シームレスな取引を可能にするために、技術サポートとベンダーチームがパートナーと連携する方法を簡素化しています。これらの課題を解決するために、私たちは CyberArk と協議しています」

「CyberArk は、CyberArk Secure Web Browser、プラットフォーム全体にわたる AI の活用、クラウドセキュリティの強化、パスワードレスアクセスなど、重要な取り組みやソリューション開発を進めており、その一翼を担えることは素晴らしいことです」と、Prusty 氏はこのように締めくくりました。「私たちはパスワードレス戦略に取り組んでいますが、CyberArk が先行してじっくり考えてくれたことに感謝するとともに、私たち固有のユースケースの幾つかを管理、統治するために提携したことを誇らしく思います」