外部アクセスの保護
ベンダーのオンボーディングを加速しながら、安全なネイティブ アクセスを提供します。CyberArk Vendor PAM は、生体認証による MFA により、重要な資産への安全な VPN レスでパスワードレス環境を実現します。
課題
サードパーティ アクセスは、攻撃者の主要な標的
外部ベンダーや契約業者は、重要システムへの特権アクセスを必要とします。しかし従来の方法では、常時有効な認証情報がそのまま露出した状態になりがちです。攻撃者はこうした永続的な権限を悪用して侵入し、ラテラルムーブメントを行い、機密性の高い資産を脅かす可能性があります。必要な時にのみアクセスを付与・制限する仕組みがなければ、すべてのベンダーとの関係が潜在的な攻撃経路となります。
摩擦とリスクを生み出す従来のアクセス方法
VPN、共有アカウント、手動による認証情報の配信は、ベンダーのオンボーディングを遅らせ、IT チームの負担を増大させます。これらの従来型の手法は、エージェント、企業所有のデバイス、常時接続のネットワークを前提としているため、攻撃対象領域を広げるリスクも伴います。その結果、セキュリティ チームは「業務のスピード」と「適切なアクセス管理」のどちらかを選ばざるを得ないジレンマに直面しています。
作業終了後も残る特権
ベンダー アカウントは、プロジェクト完了後も高い権限を持ったままとなることが多くあります。アクセスの自動解除やジャストインタイムでの権限付与がない場合、孤立したアカウントや過剰な権限が組織内に蓄積し、監査で指摘されるリスクや、攻撃者による悪用リスクが高まります。
コンプライアンス上、ベンダー アクティビティを完全に可視化する必要がある
SOX、HIPAA、PCI DSS、NIS2 などの規制では、サードパーティの特権アクセスに対する文書化された管理が求められます。断片的なツールや一貫性のないセッション記録では、コンプライアンスの証明が難しく、組織は監査不適合や罰則のリスクにさらされます。
主な機能と特長
安全で効率的なベンダー特権アクセス
CyberArk は、VPN、パスワード、エージェントを必要としない、安全なサードパーティ アクセスを提供します。ベンダーはブラウザベースのエンドツーエンド暗号化セッションを通じて接続し、生体認証による MFA とジャストインタイムの権限付与が適用されます。すべてのセッションは分離・監視・記録されるため、完全な可視性が確保されます。アクセスは必要なときにのみ許可され、作業終了時には自動で取り消されます。常時特権はデフォルトで付与されません。
VPN、パスワード、エージェント不要の安全なアクセス
ベンダーは、VPN やエージェント、パスワード、企業所有デバイスを必要とせず、任意のブラウザから安全に接続できます。エンドツーエンド暗号化により、すべてのセッションが確実に保護されます。
生体認証による多要素認証
各セッション前にフィッシング耐性のある生体認証による MFA でベンダーのアイデンティティを確認し、認証情報の窃取やなりすましのリスクを低減します。
ジャストインタイムのプロビジョニング
必要なときにのみ、時間制限付きのアクセス権を付与します。権限は動的にプロビジョニングされ、作業終了後には自動的に失効。セッション間での常時特権は一切存在しません。
完全なセッション分離と記録
すべてのベンダー セッションは分離され、リアルタイムで監視され、検索可能なログとともに記録されます。これにより迅速な調査とコンプライアンス適合が可能となります。
OT 環境向けの安全なオフライン アクセス
承認されたベンダーに、エアギャップやネットワーク切断環境でも安全な認証情報アクセスを提供し、すべての操作を監査可能にします。
簡単なオンボーディングとセルフサービス
直感的なワークフローでベンダーのオンボーディングを加速します。管理者やベンダー自身が招待を管理でき、アクセス権は自動的に解除されます。
よくあるご質問
外部アクセス保護ソリューションに関するよくあるご質問
CyberArk Vendor PAM は、エンドツーエンド暗号化による安全なブラウザベース アクセスを提供し、VPN を不要にします。ベンダーは生体認証を含む多要素認証(MFA)で認証され、分離されたセッションを通じて承認済みシステムに直接接続できます。この仕組みにより、常時接続ネットワークによる攻撃対象領域が排除され、エージェントや企業所有デバイスも不要となり、オンボーディングが大幅に加速します。セキュリティチームはセッションの監視と記録を通じて完全な制御を維持しつつ、ベンダーには摩擦のないスムーズなアクセスを提供します。
ゼロスタンディング権限(ZSP)とは、ベンダーがセッション間で永続的な権限を持たないことを意味します。攻撃者が悪用できる常時接続アクセスを残すことなく、CyberArk は作業が必要なときにのみ、時間制限付きの権限を動的に付与します。セッション終了時にはアクセスが自動的に取り消され、ベンダーのアイデンティティが侵害された場合でも、悪用可能な常時有効の認証情報や権限は存在しません。このアプローチにより、セキュリティ侵害のリスクを大幅に低減すると同時に、アクセス ガバナンスも簡素化されます。
ベンダー特権アクセス管理(Vendor PAM) は、VPN、エージェント、共有パスワードといった従来型のインフラを使わずに、重要な内部システムへのサードパーティ アクセスを安全に保護します。外部ベンダーには、分離され監視されたセッションを通じて、ジャストインタイムかつ最小特権のアクセスを提供。ベンダーは生体認証を含む MFA によって認証され、ブラウザから直接接続できます。企業所有デバイスは不要で、アクセスは必要なときに自動で付与され、作業完了後には自動で取り消されるため、セッション間での常時特権は一切存在しません。
ジャストインタイム(JIT)アクセス は、ベンダーに必要な権限を、必要なときに必要な期間だけ付与する仕組みです。ベンダーがアクセスを必要とする際、CyberArk はポリシー、アイデンティティ確認、承認ワークフローに基づき、一時的なアクセス権を付与します。ベンダーは隔離され、記録されたセッション内で作業を完了します。作業終了後は、手動操作なしでアクセス権が自動的に失効します。JIT により、常時アカウントが抱えるセキュリティリスクを排除しつつ、ベンダーの生産性も向上します。
CyberArk は、ネットワークに接続できないエアギャップ環境、OT 環境、ICS 環境で作業するベンダー向けに、安全なオフライン アクセスを提供します。承認されたベンダーは、監査証跡付きで認証情報の使用状況が完全に記録される安全なプロセスを通じて、必要な認証情報を受け取ります。これにより、セキュリティ チームは可視性とコンプライアンス管理を維持しつつ、接続されていない環境でも業務を安全かつ継続的に実行できます。
CyberArk Vendor PAM は、完全なセッション分離、リアルタイム監視、すべてのサードパーティ活動の検索可能な記録を提供します。自動化されたアクセス レビューとジャストインタイム(JIT)プロビジョニングにより、最小特権で制御されていることの証拠を文書化可能です。これらの機能は、SOX、HIPAA、PCI DSS、NIS2、DORA などの規制要件に直接対応しており、セキュリティ チームは迅速にコンプライアンス レポートを生成でき、監査準備の時間を短縮し、証拠の欠落リスクも解消します。
CyberArk Vendor PAM は、各セッション前にベンダーのアイデンティティを確認するため、生体認証による多要素認証を採用しております。このフィッシング耐性のあるアプローチにより、盗難や共有の恐れがあるパスワードを使用することなく、許可されたユーザーのみが重要 な システムにアクセスできることを保証します。ベンダーはモバイル端末で登録を行い、接続のたびに生体認証で認証されるため、強力な身元保証を提供しつつ、シームレスなユーザー体験を実現します。
すべてのベンダー セッションは隔離され、リアルタイムで監視されます。CyberArk は、インデックス付きで検索可能なセッション ログとフルビデオ再生機能により、すべての活動を詳細に記録します。これにより、セキュリティ チームは複数のツールを使うことなく、ベンダーのアクティビティを確認し、インシデントを迅速に調査し、監査証拠を効率的に生成できます。さらに、脅威検出機能がセッション中の不審な行動を特定し、潜在的な侵害に迅速に対応することを可能にします。
デモをリクエスト
