
私たちが普段利用しているIT資産は、サーバー、データベース、ネットワーク機器だけでなく、近年、クラウドを活用したサービス上に置かれる機会が増えてきました。それにともない、IT資産にアクセスできる入り口やサイバー攻撃の標的も増え、重要なIT資産がますます危険にさらされることになっています。

CyberArkは、サーバー、データベース、ネットワーク機器といったこれまでのIT資産だけでなく、クラウドサービスの特権IDを保護し、サイバー攻撃を防ぐ特権ID管理製品です。
特権IDのパスワードを安全に保管・管理し、特権IDユーザーのアクティビティを記録・監視します。現在進行中のセッションをリアルタイムでモニタリングできるので、特権IDに関係するインシデントを即座に検知し、迅速に対応することができます。
また、RPAやアプリケーション、ツール、コンテナ、DevOpsに対する特権IDにも対応しています。
CyberArk社製品の特権ID管理システム構築において、当社の長年の知見を基に製品導入前のカウンセリングからお客様の運用に合わせたカスタムプラグイン開発までワンストップで提供し、お客様にとって最適な特権ID管理を支援します。

特長
- 特権IDとパスワードを管理する事で利用者は特権IDを意識する事なく対象にアクセスできます
- 指定のルールに基づいてパスワードの文字列を機械的に作成し、定期的に更新します
- 特権IDの利用申請/承認のワークフローを提供できます
- 管理する特権IDごとにワークフローの利用有無を設定でき、特権ID使用時のワークフロー申請/承認の強制ができます
- 特権IDユーザーのアクティビティについて、「誰が」「いつ」「どのシステムに」アクセスし「どのような操作をしたか」を記録/監視します
- 特権IDの自動検出機能があります
- エージェントレスでWindows、UNIX、Linuxのセッションを記録した動画ファイル内のアクティビティを検索することができます
- リアルタイムで現在進行中のセッションをモニタリングすることで、特権IDに関係するインシデントを即座に検知し、迅速に対応できます
- Active DirectoryやSIEMなどと連携し、CyberArk管理対象外のデバイスで使用されている特権IDの不正利用も検知します
- サーバー、データベース、ネットワーク機器、アプリケーション、クラウド、SaaSなどコネクターをカスタマイズすることで多種デバイスの特権IDを一元管理できます
機能
特権ID情報を格納 (基本機能)
- CybarArkが取り扱うすべての重要なデータ、パスワード、録画データ、ログなどを厳重に管理します
- セキュリティ上強固に隔離されており、CyberArkのコンポーネントのみアクセス可能です
- 冗長化構成も可能です
特権IDに対するポリシーを一元管理 (基本機能)
- パスワード管理機能として以下を実現します
- パスワードの貸し出し
- パスワードの自動更新
- ワンタイムパスワードの生成
チェックイン/チェックアウト(パスワードの利用を固定します)
- 定期的にパスワード/SSH鍵のローテーションが可能です
- 自動スキャン機能により、新規のユーザーも容易に管理対象へ組み込みできます
- 管理対象となるデバイスの種類が豊富です
- OSやデータベースだけでなく、ネットワーク装置やクラウドサービスなど多種多様なシステムのパスワードを管理します(100種類以上)
- 新サービスなどサポートされていないシステムにもテンプレートをカスタマイズすることで対応できます

IIS上で稼働する特権ID管理、管理対象へのアクセス用Webサイト (基本機能)
- アカウントのリクエスト、パスワードのリトリーブ、およびリモートコンソールの接続はPVWAから行います
- PVWAでパスワード管理、およびアカウントアクセスのマスターポリシーを設定し、プラットフォームごとに個別ポリシーも設定ができます

操作内容の記録/監査/監視 (オプション機能)
- 監査ログ、特権ID利用者の操作画面、実行コマンドなどを録画やテキスト形式などで記録/取得します
- すべてのセッションをモニタリングし、セッションの停止も可能です
- PTAと連携し、リスクスコアが高い不審な活動にアラートや自動対策することもできます
- 作業履歴を効率的に検索できます
- コマンド制御(SSH接続)します
- 取得したデータは Vault で管理します

特権IDとSSH鍵の管理 (オプション機能)
- SSH接続時の公開鍵認証で利用する鍵を一元管理します
- SSH鍵管理を自動化します
- ポリシーに従ってSSH鍵へのアクセスを保護します
特権IDの悪用をリアルタイムに検知 (オプション機能)
- PSMで取得した情報や操作を監視し、あらかじめ設定した不審な活動ルールと対策が自動的に実施されます
- PSMと連携し、アクセス記録を保管することもできます
- 通常時の特権IDの利用状況を自動学習し、不正アクセスをリアルタイムに検知します
- Vault、SIEM製品、Active Directoryから収集された情報を分析し、脅威をリアルタイムを検知します
- 検知した疑いのあるインシデントを管理者に警告します
- レポート機能によりインシデント履歴や対策の情報を参照することもできます
検知できる不審なふるまい(例)
- ゴールデンチケット攻撃、Overpass-the-Hash攻撃、ドメインアカウントの悪意ある取得 など

アプリケーションなどに埋め込まれた特権IDの管理 (追加機能)
- ユーザーだけでなくアプリケーションの認証情報を保護します
- AIMを利用することでスクリプトへのパスワードの書き込みが不要となります。認証情報の漏えいを防ぐだけでなく、パスワード変更に伴うスクリプトの書き換え負担を軽減します。
- コンフィグファイルに含まれたパスワードも自動変更できます
特権IDのコマンド制御 (追加機能)
- 特権ID利用ユーザーごとに使用できるコマンドを制限し、必要な権限を付与します
CyberArk Privilege Cloud
「CyberArk Privilege Cloud」は、CyberArkのオンプレミスPAS製品をSaaS化した製品です。
包括的な特権ID管理を短期間、スモールスタートで実現
- 「CyberArk Privilege Cloud」は、接続コネクターを準備するだけで、オンプレミスやクラウド上リソースの特権IDや特権IDを埋め込まれた運用自動化ツールも包括的に管理が可能となります
- 「CyberArk Privilege Cloud」は、オンプレミス版の「CyberArk Privilege Access Security」の主要機能を網羅しており、導入後も様々な機能アップデートを利用できます
専任コンサルタントによる支援プログラム(Guided Success Plan)を提供
- · 支援プログラムの主な内容
- 実装前チェックリストによるシステム環境調査
- 「CyberArk Privilege Cloud」の展開スケジュール策定
- 支援期間中の定期的なミーティングによる最適プランの見直し - 迅速な特権ID管理の実現を目指し、導入規模に応じた、段階的な支援メニューを提供します
(注)不正操作監視、リスク評価のPTA機能は現在サポートされておりません、2021年に実装予定です。
CORE PAS(オンプレミス)との機能的差異 (2020年4月現在)
機能 | Core PAS(オンプレミス) | Privilege Cloud | |
---|---|---|---|
認証 | CyberArk | ○ | ○ |
LDAP(複数ドメイン) | ○ | ○ | |
SAML | ○ | ○ | |
RADIUS | ○ | ○ | |
PKI | ○ | - | |
Windows統合認証 | ○ | - | |
基本管理機能 | レポート | ○ | ○ |
メール | ○ | ○ | |
カスタムプラグイン(CPM/PSM) | ○ | ○ | |
冗長化・災対構成(CPM/PSM) | ○ | ○ | |
アカウント一括登録 | ○ | ○ | |
アカウントディスカバリー&自動登録 | ○ | ○ | |
設定変更(PVWA/PrivateArk) | ○ | -
クラウドサービス運用側で管理) | |
REST API | ○ | ○ | |
サードパーティ連携 | SIEM連携 | ○ | ○ |
チケッティングシステム連携 | ○ | ○
(ServiceNow) | |
CyberArk間連携 | PTA | ○ | -
(今後連携の予定あり) |
AAM | ○ | ○
(CP/CCP/ASCP・オプションライセンス) | |
OPM | ○ | - | |
Alero | ○ | ○ | |
EPM | ○ | ○ |
導入支援
運用カウンセリング
当社の専門技術者とCyberArk社の専任コンサルタントが連携して支援プログラムを推進し、スムーズな運用を実現します。特権ID管理における長年の実績から、当社がお客様の保有する特権IDの棚卸とお客様環境に最適な特権ID管理構成を策定します。また、特権ID管理で求められる他製品連携(SIEM、RPA、ERP、DB等)においても、当社の専門部隊と連携し、幅広く豊富なノウハウにより、お客様の特権ID管理をワンストップで支援します。
カスタムプラグインの作成
「CyberArk Privilege Cloud」の標準機能として提供されている他製品との連携プラグインに、お客様指定の製品が含まれていない場合、当社でカスタムプラグインを開発し提供します。