パナソニック インフォメーションシステムズ、 CyberArk PAM でグループ全社のセキュリティ

まとめ

パナソニックグループの IT 戦略を担うパナソニック インフォメーションシステムズは、全社的な セキュリティ強化の一環として特権管理の見直しに着手した。既存の管理方法はサーバー管理者 に依存している部分が多く、実行状況の確認も不十分だった。グローバルの導入実績を踏まえて「CyberArk Privileged Access Manager」を採用し、認証・認可・アクセス制御・証跡を一 元管理。人に依存しない強固な特権管理環境を構築し、Windows/Linux サーバーを含む数千 台規模の環境への段階的な適用を進めている。

会社概要

パナソニック インフォメーションシステムズ 株式会社について パナソニック インフォメーションシステムズは、 パナソニックグループの IT 事業会社として 「Panasonic Transformation(PX)」の推進をデ ジタルのチカラでリードしている。グローバル・ 小売・流通・製造などグループの各分野のビジ ネスを支え、その経験・知見を生かし、社外顧客 にもデータ分析、インフラ、ICT・セキュリティな ど幅広い領域でソリューションを提供している。

課題

パナソニック インフォメーションシステムズは、パナソニックグループの IT 戦略を牽引する企業 として、情報システムの企画・開発・運用などを担っている。流通・製造・小売など各ビジネス 分野へのソリューション提供、データ分析、インフラ、ICT・セキュリティといった幅広い領域で専 門性を発揮し、グループのビジネス変革を支援している。

パナソニックグループでは現在、グループ全体でカルチャー変革・オペレーティング・モデル変革、 IT 変革の 3 層で総合的・本質的な変革を目指す「Panasonic Transformation（PX）」を推進し ている。パナソニック インフォメーションシステムズは、この IT 変革においても実装・実行を担 う中核組織として機能している。 PX・IT 変革の実現には、全般的に活用するデジタル技術の安全が極めて重要だ。また 2021 年 ごろに発生したセキュリティインシデントがきっかけとなって、セキュリティ対策を全面的に強化 する取り組みも推進されていた。

「従来から、基本的なセキュリティ方針やガイドラインを整備していました。例えばサーバーであ れば、必要なセキュリティレベルに応じて実施すべき対策を明確に規定していました。しかし、実 際にそれらが確実に実行されているかどうかを確認するチェック機構が十分ではなかったので す」と、パナソニック インフォメーションシステムズ プラットフォームサービス事業部 プロフェッ ショナルサービス部 部長の八木洋至氏は述べる。

特にサーバーの特権 ID の管理については、各サーバーの管理者に運用が委任されていた。パナ ソニック インフォメーションシステムズにも数千台のサーバー群が存在するうえ、グループ各社 が独自に管理しているものも含めれば膨大な数に上る。これらがガイドラインに沿って設定・運 用されているかどうか、実態を把握するのは極めて困難だった。

「ガイドラインには 50 項目以上の要件が定められており、管理者は 1 つ 1 つ確認しながらサー バーを設定しなければならないうえ、一人あたり何台ものサーバーを管理しているのがふつうで す。定期的な棚卸し作業もありますが、作業負担は非常に大きいものです。資産管理システムへ の回答にも時間を要し、膨大な作業量でした」と、パナソニック インフォメーションシステムズ プラットフォームサービス事業部の安井達哉氏は当時の状況を振り返る。

中でもサーバーへのアクセス制御・認証等の仕組みは大きな課題だった。しかし既存の特権管 理ツールは、ワンタイムパスワードは利用できるがパスワードの秘匿にならないこと、申請・承 認を管理するワークフロー機能がないため別途開発する等、運用維持管理面で課題が多かった。

特権管理は運用で対応できると思われがちだが、実際には人間に依存した運用では限界があ る。特に八木氏は、現場の管理者が「チェックしなくてよい」「設定しなくてよい」「人まかせにしな い」仕組みが必要であると考えていた。グローバル全体で統一的なセキュリティ基準が必要とさ れる中で、人手に頼らない確実なシステムが必要だった。

パナソニックグループがグローバルにセキュリティ強化へ取り組む中、パナソニック インフォメー ションシステムズは、サーバー環境の特権アクセス管理の強化に向けた取り組みを開始した。具 体的には、ガイドラインの実効性を高めて確実に特権管理を実施できる仕組み、管理者の負担を 軽減して確実性と効率性を両立させる方法、グループ全体を保護できるような拡張性、そして人 間の目視確認を不要とするシステム化に向けて、最適なソリューションを求めていた。

ソリューション

パナソニックグループでは、グローバル IT 会議が行われており、セキュリティの統一化もその議 題の 1 つであった。サーバーの特権管理についても施策やソリューションの話し合いが行われ、 すでにいくつかの国・地域で「CyberArk Privileged Access Manager（PAM）」を採用して効 果を上げていることが注目された。

当初、CyberArk PAM についての知識が限定的であったため、パナソニック インフォメーショ ンシステムズは詳細な調査を開始した。すぐに営業にコンタクトし技術的な説明を申し入れたほ か、CyberArk のハンズオンセミナーを受講して直接的に機能や使い勝手を確認したり、日本国 内での導入実績を持つ企業に話を聞いたりと情報収集も行った。

最終的には、認証・認可・アクセス制御・証跡まで必要なセキュリティ機能が網羅されている こと、グループ全体・数千台規模の大規模なサーバー環境にも対応できる拡張性を持つことが 決め手となった。

特に、特権管理に必要な機能が網羅されている点は重要だった。既存のツールでは一部の機能し か提供しておらず、他のツールと組み合わせたインテグレーションが必要となる。もちろんそれら の運用負担も無視できない。CyberArk PAM に統合できるというのは大きなメリットと考えら れた。

将来的には、パナソニック インフォメーションシステムズが管理する Windows サーバー約 800 台、Linux サーバー約 2,500 台に加え、グループ各社が独自に保有するサーバーも含める と膨大な数になる。これだけのサーバー規模に対応できる特権管理ソリューションは数少なく、 グローバルで導入可能かつ実績のある CyberArk PAM が適していると判断された。

特権管理を強化するため、単にシステムを導入するだけでなく、運用プロセスも変更していかな ければならなかった。パナソニック インフォメーションシステムズでは、申請・承認フローを確 立し、管理者にはワークフローに従って特権アクセスを申請、承認を受けてサーバーへアクセス する仕組みを CyberArk PAM に統合した。

結果

“CyberArk PAM の導入により、パナソニック インフォメーションシステムズは特権管理におけ る課題を大きく改善することができた。最も重要な成果は、管理者の手作業やモラルに頼ること なく、セキュリティポリシーに従った確実な特権アクセス管理を自動的に行えるようになったこ とである。”

– パナソニック インフォメーションシステムズ 株式会社 プラットフォームサービス事業部 プロフェッショナルサービス部 部長 八木 洋至 氏

また、特権アクセスの可視化も大きな成果だ。誰がいつどのサーバーにアクセスし、どのような操 作を行ったかが CyberArk に記録され、監査証跡として保持される。問題が発生した場合の事 後検証が容易になるだけでなく、不正アクセスに対する抑止効果も期待できる。

「特権アクセス管理は、確実にやるべき施策です。現場のサーバー管理者の手間は増えましたが、 これまでが省略しすぎていたとも捉えられます。私たちにとって、本来あるべき対策、手作業では 不十分な対策を CyberArk PAM が統合的に自動化してくれるという点は、大きなメリットだと 考えています」（安井氏）

現在、パナソニック インフォメーションシステムズは自社のサーバー環境を中心に展開を着実に 進めており、2025 年度中には対象となるすべてのサーバーへ CyberArk の導入を完了する計画 だ。またグループ各社のサーバーも、特に重要なデータを扱うサーバーは優先的に対応を進めて いる。

さらにシステム環境のクラウド化が進められていることを踏まえて、CyberArk のクラウド版で ある「CyberArk Privilege Cloud」の活用も検討している。サーバー運用コストの最適化や、よ り柔軟な特権管理の実現を目指す予定だ。

また八木氏らは、マシン・ツー・マシン接続のセキュリティ管理も重要な課題であると考えてお り、シークレットや証明書を中心としたマシン ID 管理ソリューションである CyberArk の Secrets Manager や Venafi にも注目しているとのことだ。特権アクセス管理以上に対応が容 易ではない領域のため、しっかりと検討して対応策を練っていきたいと八木氏は述べている。

パナソニック インフォメーションシステムズでは、こうして CyberArk の導入・活用を通じて学 んだ特権アクセス管理についてノウハウ・知見を、グループ内外へ拡大していきたい意向だ。 CyberArk の提供を含めて、さまざまな企業のセキュリティレベル向上に貢献していきたいとし ている。

「CyberArk のユーザー会なども企画してほしいですね」と、八木氏。「特権管理のような専門的 な領域では、他の事例や運用ノウハウの共有が非常に重要です。ユーザーどうしが悩みや解決策 を共有し、共に成長していけるような場があるとよいですね。互いにセキュリティレベルを高めら れると期待しています」

パナソニック インフォメーションシステムズは、CyberArk PAM の導入によって、パナソニ ク グループ全体のセキュリティレベルを向上し、PX という大きな取り組みを下支えするという目標 に向けて大きく前進した。人間の努力や善意に依存せず、システムによって担保された特権管理 の実現は、現代のセキュリティ対策において必要不可欠な要素である。同社の経験や知見は、 サーバー管理に悩む企業にとって大いに参考になることだろう。

主なメリット

• 統合：特権アクセス管理に必要な機能を統合して一元的に管理
• システム化：ポリシーやガイドラインに 基づく設定・運用がシステムで担保され、 人為的なミスや怠慢を防止し、 心理的負担を軽減
• 数千台：グループ各社のサーバー群を 含めて特権管理の基準を統合し、 セキュリティレベルを均質化できる 拡張性