アウトソーシング、ガバナンス強化のために CyberArk Endpoint Identity Security (EIS) を採用

まとめ

グローバルに人材サービスを展開するアウトソーシングでは、グループガバナンスの強化を進め ている。全世界に多数の従業員を抱える同グループにとって、エンドポイントの特権管理が重要 課題の 1つであった。同社は「CyberArk Endpoint Identity Security (EIS)」の導入を決定。誤 検知のないアーキテクチャでソフトウェア資産の管理を徹底。ランサムウェア対策の強化も果た し、ガバナンスとセキュリティの強化を実現した。まずアウトソーシングテクノロジーから展開を スタートして導入・運用ノウハウを蓄積し、アウトソーシング本社からグループ各社への導入を 進めている。

会社概要

株式会社アウトソーシングについて 1997 年、製造業向けの業務請負事業者として静 岡県静岡市で設立。「労働格差をなくし、生き甲 斐が持てる職場を創出することで、世界の人々の 人生を豊かにする。」という経営理念のもと、就 業機会と教育機会の創造に注力、グローバル市 場で求められる人材の育成と個人個人の生産性 向上に取り組んでいる。製造分野から始まった事 業は、現在では技術者派遣、設計開発受託、IT サービスなど多岐にわたり、顧客のニーズに合わ せた柔軟なサービス提供が特徴。

課題

アウトソーシングは、38 の国・地域に約 230 の連結会社を有し、幅広いスキルをグローバルに 提供する人材サービスを展開している。高度な技術を持つ人材の提供がアウトソーシンググルー

プの強みで、電子機器・自動車・家電・鋼材・住宅・食品などカバー領域は幅広く、顧客ニーズ に応じて業務請負や受託開発など柔軟なサービスを提供している。特に技術分野では国内に約 2 万 7,000 人のエンジニアを擁しており、アウトソーシンググループ内で教育・研修制度を整備 することで高い技術力を維持している。

「近年の急速なグローバル成長にともなって、上級執行役員 CCO（チーフ・コンプライアンス・ オフィサー）と専門チームを設置し、本格的なガバナンス強化の取り組みを急ピッチで進めてい ます。私たちは事業の性質上、世界中の顧客の技術情報や従業員の個人情報といった機密を取 り扱うためです。“人材”という重要なサプライチェーンの一環を担う事業者として、顧客のセキュ リティポリシーにも確実に対応できる体制を整えなければなりません。ガバナンスとセキュリ ティは、私たちにとって必要不可欠な施策の 1つです」と、アウトソーシング 常務執行役員 国内 技術統括本部 本部長の笠井嘉明氏は述べる。

ガバナンス／セキュリティ強化に努めるアウトソーシンググループでは、1 つ課題が残されてい た。国内だけでも、非エンジニアを含めれば 3 万人のスタッフがおり、PC を利用して業務を遂行 している。役職や業務によって使い方は千差万別であるため、ツールがなければ情報システム部 門で完全に制御することは難しい。特に注意が必要だったのは、エンジニアが開発などに利用す る多種多様なソフトウェアの存在だ。

「多くの場合、エンジニアは常駐する顧客からデバイスを貸与されることが多いのですが、当社が 貸与したデバイスを併用することもあります。当社支給のデバイスであっても、顧客のポリシーに 則った運用が欠かせません。ソフトウェア資産を適切に管理し、認められていないツールやミド ルウェアなどがインストールされていないことを顧客へ証明することも、私たちの責務だと考え ています」と、グループ内でも機電系・IT 系に強いアウトソーシングテクノロジーで、インテグレー ション事業本部 本部長を務める齋藤拓哉氏は述べる。今回のシステム導入についても、グループ での導入をどのように進めるのか助言する立場にあった。

アウトソーシングは、これらエンドポイントの統制を図るため、エンドポイント特権管理ソリュー ションに注目。さらに同社は、適切に特権を管理することがセキュリティ強化につながることも重 視した。つまり、エンドユーザーが意図していないソフトウェアのインストールを防ぐことができ れば、ランサムウェア被害の防止にもつながるというわけだ。

「特権が適切に管理されていれば、悪意のあるスクリプトなどを実行してしまっても、より悪質な エクスプロイトコードの実行を防止して、サイバーキルチェーンを切断できます。EDR でも対策 を強化できる領域ですが、意図しないソフトウェアやアプリケーションをインストールした後の 対処であり、また検知・防御が困難なゼロデイ攻撃の存在もあります。エンドポイント特権管理 は、ゼロデイであろうと意図しないソフトウェアのインストールそのものを防ぐことができるの です」（齋藤氏）

ソリューション

エンドポイント特権管理のソリューションを検討するにあたり、まずアウトソーシングが重視した のはグローバルな大規模環境への対応である。前述したとおり、アウトソーシンググループは世 界中に事業を展開しており、M＆Aで統合した組織も多い。あらゆる条件のあらゆる端末を柔軟 に統合管理できるようなツールでなければ、適切に制御することは難しい。そこでアウトソーシン グは、「CyberArk Endpoint Identity Security (EIS)」に注目した。

「CyberArk は、特権管理のグローバルリーダーとして知られ、私たちの世界中の拠点をサポート できる体制があり、ノウハウと経験を豊富に有しています。CyberArk EIS は、エンドポイント特 権管理のためのツールとして高く評価されており、当社グループの大規模な環境を十分にカバー できる能力があると考えました」（齋藤氏）

「当社グループでは、お客さまへセキュリティを提供する事業も展開しています。近年は特権管理 のニーズも高く、中でも CyberArk のツールは非常に高い評価を受けています。CyberArk EIS の運用ノウハウを自社で蓄積することで、付加価値の高いセキュリティを提供したいという思い もありました」と、笠井氏は振り返る。

結果

アウトソーシンググループでは、まずアウトソーシングテクノロジーとグループ会社の 1 万デバイ スほどを CyberArk EIS で管理し、未認可のツールや意図しないソフトウェアのインストールを 検知する設定で運用している。運用開始後は大きな問題も発生せず、安定的に稼働しており、運 用の変化に対しても従業員からのクレームはないとのことだ。

“「CyberArk EIS は、他のセキュリティ製品のような誤検知や過検知が発生しないアーキテクチャ ですから、管理者の負担が増大せずに済むというメリットがあります。デバイスのインベントリ情 報を容易に入手できるようになり、資産の棚卸し作業が進んだというメリットも大きいですね。 しっかりと CyberArk で管理しているというエビデンスをお客さまへ提示できますので、ビジ ネスへの好影響も期待されます」
– 株式会社アウトソーシング 常務執行役員 国内技術統括本部 本部長 笠井 嘉明 氏

こうして CyberArk EIS の導入・運用ノウハウをアウトソーシングテクノロジーへ蓄積したのち、 現在はアウトソーシング本社への展開を進め、グループ全体へ展開していく予定だ。また齋藤氏 の構想どおり、CyberArk EIS と CyberArk PAM との連携を果たし、グローバルなグループガ バナンスおよびセキュリティ対策の大幅な強化を図っていく計画である。

「CyberArk EIS によって、組織の拡大や事業の成長をスピードアップしながらも、グループガバ ナンスやセキュリティ対策の強化を図れるようになりました。今後は、人材サービスを通じて、こ の特権管理に関する経験・ノウハウをお客さまへ価値として届けたいと考えています。
CyberArk にはこれまで以上に親身なサポートを期待しています」（笠井氏）

主要な効果

• 1万台以上のエンドポイント特権を 統合管理、将来的に海外拠点への 展開も計画
• グローバル：グループガバナンスの 大幅強化を目指した特権管理
• ランサムウェア：誤検知・過検知のない アーキテクチャで既存のランサムウェア 対策を補完