米国の保険会社、CyberArk でセキュリティとコンプライアンスを強化

会社概要

Federated Insurance はミネソタ州オワトナに本社を置き、49 州とコロンビア地区で事業を展開しています。同社は、米国の企業に以下のようなカスタマイズされた財産保険や損害保険を提供しています。アンブレラ保険、生命保険、就業不能所得補償保険 債務保証保険、 保証保険、 労働者災害補償保険。同社は、A.M. Best Company® から A+ (優) に格付けされ、Ward の 50 社リストのトップクラスの業績を誇る保険会社 (2022 年) に選出されています。

総資産額: 105 億米ドル従業員数: 2,800 名

課題

1904 年、ミネソタ州オワトンナ周辺の地元農家や企業経営者たちが、自分たちで保険会社を設立することを決意しました。それから約 120 年、Federated Mutual Insurance Company (Federated Insurance) は活発な国家保険事業を展開しています。リスク ビジネスに携わる同社は、サイバー攻撃の脅威、特に金融業界の脅威が高まっていることを十分に認識しています。「リスク マネジメントというのが私たちの考え方で、できることならリスクはゼロにしたいと思っています。しかし、それが不可能であることは承知しています。私たちはできる限りのリスクを軽減しようと試み、そのために CyberArk のような市場をリードするサイバーセキュリティ技術に投資してきました」と、Federated Insurance のアイデンティティ・アクセス管理担当ビジネス テクノロジー マネージャーのアンジェラ・クライン氏は述べています。

パスワードのメモ 数年前、同社はサイバーセキュリティ能力を見直し、特に特権アクセス管理とアイデンティティ保護に関して改善できることに気付きました。「ほとんどのパスワードがどこかにメモされていたり、ユーザー アイデンティティとリンクしていたりしたはずです。「私たちは、長いパスワードを覚え続けたり、書き留めたりする必要がないように、特権アカウントの管理を容易にする必要があると考えました。特権アカウントと特権アクセスをより安全なものにする、より成熟した方法に移行しました」と、クライン氏は語ります。また、コンプライアンスは万全でしたが、サイバーセキュリティに関する規制と保険基準は厳しくなりつつあり、同社は、より強固な特権アクセスとアイデンティティ保護が必要であることも承知していました。

ソリューション

同社は、特権アクセス管理を調査するために部門横断的なチームを立ち上げ、いくつかの異なるベンダーと概念実証を行い、最終的に　CyberArk との提携を決定しました。「全社的に、幾つかの CyberArk のチャンピオンを確立したところ、早速、製品の使いやすさやシンプルさを実感したようです。IT の観点から、CyberArk は管理もしやすいと判断しました。それに加えて、CyberArk が昔も今も市場のリーダーであるという事実が、同社のソリューションを選択する圧倒的な根拠となりました」

Federated Insurance は、CyberArk Privileged Access Manager を含む CyberArk Identity Security プラットフォームをセルフホステッド　デプロイメントとして使用しています。Federated Insurance は、約 350 名の従業員からなる社内 IT 部門を運営しており、インフラ、ビジネス ユーザー、アプリケーションなど、全てをサポートしています。現在、これらの IT スタッフは、サーバー管理と特権アカウントに Privileged Access Manager を使用しています。

CyberArk チャンピオンの確立 CyberArk が邪魔になるかもしれないという懸念を払拭し、採用を促進するために、評価時に任命したチャンピオンが、導入時に組織全体で特権アクセスのセキュリティの重要性を伝えるために役割を果たしました。「チャンピオンのコンセプトは、CyberArk がより安全に仕事をするために役立つということを人々に理解させるものでした」と、クライン氏は説明します。「それ以来、多くのスタッフが自らチャンピオンになり、CyberArk が自分のプロジェクトの作業改善にどのように役立つかを尋ねています。今や CyberArk は、当社の IT 組織とエコシステムに欠かせない存在となっています」

CyberArk がタイムリーに情報やデータを配信し、分かりやすい形式で報告するため、クライン氏とそのチームは、取締役会に対して会社のセキュリティ態勢の有効性と強さを示し、実証することができるようになりました。

結果

「現在、当社の年次セキュリティ評価では、アイデンティティ保護だけでなく、セキュリティ プログラム全般において、高いサイバーセキュリティのスタンスが定期的に示されています」と、クライン氏は述べています。「CyberArk は、特権アカウントをどのように保護しているかを監査人に明確に説明できるため、その実現に大きな役割を果たしています。それが監査法人に、私たちが顧客やクライアントを効果的に保護しているという安心感を与えています」 保険会社である Federated は、個人を特定できる情報 (PII:Personally Identifiable Information) をはじめとする厳しい財務規制に対応する必要があります。「CyberArk のおかげで、重要なビジネス データや顧客データを保護することができます」と、クライン氏は語ります。「CyberArk の特権セッション管理を利用することで、PII のようなデータの安全性を高めています。パスワードは、攻撃に弱いエンドユーザーのデバイスにはもうありません」

保険会社の安心感 サイバー攻撃の脅威が高まるにつれ、サイバーセキュリティ保険の意義も高まり、引受保険会社から企業に対してより強固な保護策の導入が求められるようになっています。

「サイバーセキュリティ保険、申請や更新の手続きをする際、CyberArk と特権アクセス管理プログラムを導入していることで、申請が簡単にできるようになりました」

– アンジェラ・クライン氏、Federated Insurance ビジネス テクノロジーマネージャ

「CyberArk により、私たちがアイデンティティを保護していることを保険会社に保証できます。最近、他の多くの組織が慌てて特権アクセス管理プログラムを導入しているのを目にします」 Federated Insurance は、この関係の重要性と、CyberArk のカスタマー サクセス チームとサポート チーム、アカウント担当者との「素晴らしい」パートナーシップを称賛しています。Federated Insurance がサポートを必要とするときには、いつでも即座に対応して、意欲的に問題解決に取り組んでくれます。「Federated Insurance と CyberArk は、CyberArk のソリューションに関する洞察とベスト プラクティスを得ることで、相互の信頼関係を確立しました」と、クライン氏は語りました。Federated Insurance は、顧客に地域密着型のパーソナルな対面式リソースを提供することに努めています。同社は、顧客サービスのレベルを維持するために、常に将来を見据えて顧客の保護に努めています。「アイデンティティは新しい境界線になりました。従業員が、四方を壁に囲まれた会社で働くことに縛られることはなくなりました。アイデンティティが特定されて保護されていなければ、従業員が何をしても意味がありません」と、クライン氏は締めくくりました。「私たちは、従業員、特権アカウント、デバイス、その他のあらゆる場所のアイデンティティが安全に保護されていることを常に確認しています。しかし、私たちは次に何が起こるか、そしてアイデンティティ戦略を前進させるために CyberArk とどのように協力できるかに注意を払っています」

重要な利点

• 市場をリードする特権アクセスとアイデンティティ防御を構築
• 最先端のアイデンティティ保護とセキュリティを提供
• アイデンティティとパスワードのセキュリティ コントロールを変革
• セキュリティ管理と運用を簡素化
• サイバーセキュリティを障害ではなく、ビジネスの利益に格上げ
• サイバーセキュリティ保険会社からの厳しい基準値への対応に貢献