Cisco、人と人以外のアイデンティティを総合的に保護してその可能性への架け橋を守る
大手ネットワーク プロバイダーは、人のユーザーやアプリケーションの特権アクセスを一元的に保護・監査することで、セキュリティを強化し、業務効率を向上させます
トップに戻る
まとめ
Cisco は、CyberArk Identity Security プラットフォームを使用して、スタッフが顧客にサービスを提供・開発するために必要な特権アクセスを動的かつワンクリックで提供します。そして、動的なシークレット管理戦略で DevOps パイプラインを加速し、保護しています。
会社概要
Cisco は、米国カリフォルニア州サンノゼに本社を置く、アメリカを拠点とする多国籍デジタル通信技術企業です。世界 180 か国で事業を展開し、6 つの戦略的柱の下でサービスを提供しています。安全で俊敏なネットワーク。ハイブリッド ワーク。最適化されたアプリケーション体験。エンドツーエンドのセキュリティ。未来のためのインターネット。そして、エッジにおける機能。
従業員数: 100,000人
課題
世界有数の IT 企業の顧客、スタッフ、資産、事業運営を守るその任務を想像してみてください。その任務は、Cisco の Enterprise Security Team の Senior Leader である Santosh Prusty 氏にあります。Cisco の従業員は 100,000 人、パートナー企業は世界中に数百社あり、ビジネスと Cisco の顧客をサポートするアプリケーションは 1,000 を超えます。
「数年前、私たちは特権アイデンティティとアクセス管理におけるギャップを検討しました」と、Prusty 氏は説明します。「ポイント ソリューションはありましたが、誰が何をしているのかというガバナンスの視点がなく、モニタリング機能もありませんでした。そこで、私たちはこれらのギャップを埋めるだけでなく、将来のアイデンティティ セキュリティのニーズにも対応できる製品を探していました」
50 年以上にわたり、Cisco は世界中のほとんどの技術ネットワークとビジネス IT インフラの礎となってきました。マルウェアやランサムウェアといった従来の脅威だけでなく、サプライチェーン攻撃やアイデンティティ セキュリティの重要性の高まりなど、Cisco をはじめとする多くの組織にとって脅威状況は変化しています。
「この 10 年間で、デジタル化、インフラの自動化、人工知能の変化により、脅威の全体像に対する見方は変わりました」と、Prusty 氏は言います。「自分たちのインフラを使えば、それが自分たちの境界にあるので安全だと感じます。しかし、分散した企業、遠隔地のスタッフ、自宅での仕事の増加により、外部からネットワークに接続する機会が劇的に増えています。私たちのアイデンティティが危険にさらされないようにするにはどうすればいいのでしょうか?」
Prusty 氏は、主要な脅威状況レポートが継続的に示していることを引用し、全ての侵害の 74 パーセントが人的要素を含んでおり、エラー、特権の悪用、盗まれた認証情報の使用、ソーシャル エンジニアリングのいずれかを介して人が関与していると述べます。「私たちのアイデンティティは、以前は主にユーザー名とパスワードに集中していました」と、Prusty 氏は言います。「今やアイデンティティには、複数の種類の認証情報、許可証、ラップトップ、その他仕事に使うあらゆるデバイスが含まれます。攻撃対象は広大です。それは人だけではありません。全ての組織が保護し、制御し、管理する必要のある、人以外のアイデンティティが存在します」
Cisco はアイデンティティ セキュリティを以下の 3 つの主要な柱に整理しました。内部、外部、特権アイデンティティです。しかし、特権ユーザーのセッション監視にはギャップがありました。監査報告や誰が何をしているのかを一元的に把握することはできませんでした。Cisco は大規模でグローバルな組織であり、さまざまな製品、サービス、パートナーを擁しています。同社は、ガバナンスとコントロールを強化するために、特権アクセスおよびアイデンティティ財産をトップダウンでよりよく把握する必要がありました。
ソリューション
Cisco が CyberArk の採用を決めた理由は、CyberArk にアイデンティティ セキュリティと特権アクセス管理 (PAM) のリーダーとしての実績があり、認められているからです。同社は、人と人以外の特権アクセス コントロールとアイデンティティを統合プラットフォームに統合できるソリューションを必要としていました。
Cisco が導入した CyberArk Identity Security Platform は、CyberArk Privileged Access Manager と CyberArk Conjur Enterprise で構成されています。同社は近い将来、次世代の CyberArk Secrets Hub と CyberArk Dynamic Privileged Access 製品を導入する予定です。Cisco は、CyberArk の膨大な統合機能を活用して、Cisco 独自の多要素認証 (MFA) ソリューションである Duo と統合し、SailPoint や Saviynt などの他のアプリケーションと統合することで、アイデンティティ ガバナンス プロセスを自動化し、DevOps パイプライン全体のアプリケーションで使用されるユーザーとシークレットのオンボーディングを簡素化します。CyberArk Conjur は AWS でホストされ、企業全体のハイブリッドおよびマルチクラウド インフラで使用され、秘密管理を管理・統括しています。これにより、DevOps エンジニアは、ハードコードされた認証情報を、CI/CD (継続的インテグレーションと継続的デリバリー) パイプライン全体でアプリケーションがワークロードを実行するために必要な秘密を取得する API に置き換えるシンプルなプロセスを得られます。
「私たちのプログラムで達成したことをとても誇りに思います。CyberArk Identity Security Platform は、統合されたソリューションで人と人以外のアイデンティティを保護し、管理するのに役立ちます。50,000もの特権アイデンティティを保護し、毎月 25,000 以上のセッションを分離および監視し、1 日あたり 1,000 時間以上のセッションを記録しています。シークレット管理の観点から、アプリケーションで使用される何万もの認証情報を保管してローテーションし、月に 4,000 万件以上の API シークレット コールを管理しています」 – Cisco の Enterprise Security Team の Senior Leader、Santosh Prusty 氏
Cisco は、AWS、Azure、GCP を含むクラウド インフラの最大消費者の 1 つであり、オンプレミス環境のホスティングに加えて、真のハイブリッドおよびマルチクラウド企業となっています。そのため、さまざまなクラウドプラットフォームやオンプレミスに至るまで、人と人以外のアクセスを総合的に保護できるアイデンティティ セキュリティ ソリューションが必要になりました。
次のステップでは、CyberArk Identity Security Platform の 2 つのユース ケースと機能に焦点を当てます。CyberArk Secrets Hub は、セキュリティ チームがアプリケーションの認証情報を CyberArk で一元的に管理・監査する一方で、開発者が使い慣れた AWS や Azure のネイティブなシークレット管理サービスを利用できるようにすることで、運用の効率化と DevOps パイプラインの高速化を実現します。今後、Cisco は CyberArk Conjur を使用して、クラウド ポータブル アプリケーションを構築し、クラウド インスタンスをプロビジョニングし、ユーザーが API キー シークレット、アプリケーション、データベースの認証情報を管理・保存する予定です。CyberArk Dynamic Privileged Access (DPA) は、属性ベースのアクセス コントロール (ABAC) ポリシーを使用して、対象の仮想マシンまたはサーバ上に一時的なアクセス、時間制限のあるアクセスを作成することで、常時アクセスに関連する運用上のフットプリントとリスクを削減します。セキュリティ チームは、管理者のために RDP や SSH クライアントを使用し、リスクを考慮した適応型多要素認証 (MFA) を活用して、ジャストインタイム (JIT) で隔離された接続を開始します。全て、エージェントや VPN を介することなく、セキュアで隔離された監視されたセッションを仲介します。
結果
Cisco にとって、CyberArk は 3 つのコア バリューを提供しています。
- ワンクリックでエンドユーザーのシークレット管理をプロビジョニングできるようにすることでビジネスオペレーションを改善します。
- ユーザー アクセスを監視・管理することで、セキュリティ ガバナンスを強化します。
- DevOps パイプライン全体にわたってハードコードされた認証情報を削除し、開発者に API コールを活用して秘密を取得する簡単な方法を提供することで、開発者に運用効率を提供し、付加価値の高い活動に専念できるようにします。
「現在では、全てを 1 つのアイデンティティ セキュリティ プラットフォームに統合することで、特権アクセス管理と運用の観点から効果的なものとなっています」と、Prusty 氏は明かします。「私たちは、管理者や開発者が資産に接続するための安全で柔軟な方法を提供することができました。その結果、CyberArk で保護された特権アカウントは 50,000 に達し、プラットフォームは Conjur への API シークレット コールを月間 4,000 万件処理しました。また、ユーザーとアプリケーションのオンボーディングを合理化するために、複数の自動化と統合を実装しました。以前はオンボーディングに数週間かかっていました。今では、数分でシームレスに自動的にできるようになりました」
CyberArk の他の利点の 1 つは、可視化と監視です。「CyberArk を使えば、全てのセッションが記録・保存されます」と、Prusty 氏は続けます。「何が起こったのか、誰が、どの地域で、いつ、どれくらいの時間ログオンしたのか戻って確認できます。これにより、分析や監査に役立つ真の洞察力を得ることができます」
Cisco は CyberArk と共に戦略的パートナーを確立しました。CyberArk Blueprint と CyberArk Success Plans は、Cisco にとって測定可能なリスク削減と業務効率化を継続的に達成するためのロードマップを設定し、両者が協力して実行するのに役立ちました。「この 3 年間、CyberArk は Cisco にとって素晴らしい存在でした」と、Prusty 氏は感謝を示します。「現在、私たちは CyberArk Identity Security Platform を進化させ、CyberArk が開発中の新しく先進的なソリューションの一部を活用することを計画しています。CyberArk Dynamic Privileged Access のような製品を Cisco に導入することで、何千人もの管理者ユーザーに常時アクセスではなく、ジャストインタイムのアクセスを提供し、攻撃対象領域を劇的に減らせます」
「CyberArk Secrets Hub を使用することで、私たちは開発者がどこにいても顔を会わせることができます。開発者は、クラウドプロバイダのネイティブなシークレット管理ツールを使用し、私たちは CyberArk でシークレットの一元管理と監査を行います」 – Cisco の Enterprise Security Team の Senior Leader、Santosh Prusty 氏
Cisco にとって差し迫った課題の一つが、ベンダー管理です。「Cisco は世界中の何百ものサプライ チェーン パートナーと協力しています」と、Prusty 氏は言います。「これらのパートナーが Cisco のビジネスの中核を担っており、私たちは彼らの成功を望んでいます。しかし、サプライ チェーン パートナーの管理とガバナンスを簡素化し、必要なアクセスを効率的に提供する方法を考えなければなりません。それに関連して、シームレスな取引を可能にするために、技術サポートとベンダー チームがパートナーと連携する方法を簡素化しています。これらの課題を解決するために、私たちは CyberArk と協議しています」
「CyberArk は、CyberArk Secure Web Browser、プラットフォーム全体にわたる AI の活用、クラウド セキュリティの強化、パスワードレス アクセスなど、重要な取り組みやソリューション開発を進めており、その一翼を担えることは素晴らしいことです」と、Prusty 氏はこのように締めくくりました。「私たちはパスワード レス戦略に取り組んでいますが、CyberArk が先行してじっくり考えてくれたことに感謝するとともに、私たち固有のユース ケースの幾つかを管理、統治するために提携したことを誇らしく思います」
重要な利点
- 特権アクセスとアイデンティティ セキュリティを 1 つのプラットフォームに統合
- Conjur で月間 4,000 万件の API シークレット コールをエンタープライズ規模で処理
- 50,000 の特権アクセス アカウントを保護
- 月間 25,000 以上のセッションを分離・監視
- 1 日 1,000 時間以上の録画セッション
- 業務システムへの迅速かつ安全なワンクリック アクセスが可能
- 将来の課題と改善のためのセキュリティ ロードマップを提供
関連する顧客事例
エキスパートに相談する
アイデンティティ セキュリティ戦略の重要な要素を理解
CyberArk のソリューションを実際に見る
アイデンティティ セキュリティ実現のための次のステップを確認する