IT Leaders トップテクノロジー一覧セキュリティユーザー事例 > パナソニックIS、特権アクセス管理で数千台規模のサーバーへのログインを制御
セキュリティ セキュリティ記事一覧へ

[ユーザー事例]

パナソニックIS、特権アクセス管理で数千台規模のサーバーへのログインを制御

数々の問題をどう解決したか─キーパーソンが明かす導入のポイント

2024年10月28日(月)日川 佳三(IT Leaders編集部)

パナソニック インフォメーションシステムズ(パナソニックIS)が、セキュリティインシデントをきっかけに全社のサイバーセキュリティ強化に全力を挙げている。CyberArk Softwareの特権アクセス管理ツールを採用して、100台弱のCyberArkサーバーを導入し、2025年末までに数千台規模のサーバーのログイン制御を完了する予定。CyberArk Softwareが2024年10月24日に都内で開催した「IMPACT World Tour 24 Tokyo」にパナソニックISのキーパーソンが登壇し、特権アクセス管理導入時のポイントを説明した。

写真1:パナソニック インフォメーションシステムズ プラットフォームサービス事業部プロフェッショナルサービス部部長の八木洋至氏
拡大画像表示

 CyberArk Softwareは、イスラエルに本拠を置き、特権アクセス管理を中核としたID管理ソフトウェア製品を提供するセキュリティベンダーである。同社日本法人は2024年10月24日、東京都内で年次イベント「IMPACT World Tour 24 Tokyo」を開催した。

 導入事例セッションの1つとして、パナソニック インフォメーションシステムズ(パナソニックIS)の取り組みを紹介した。同社プラットフォームサービス事業部プロフェッショナルサービス部部長の八木洋至氏写真1)が登壇し、特権アクセス管理導入におけるポイントや課題を説明した。

 パナソニックISはすでに100台弱のCyberArkサーバー(800ユーザーライセンス)を導入・運用しており、2025年末までに数千台規模のサーバーへのログインを制御する予定である。

 CyberArkの特権アクセス管理ソフトウェアは、Webポータル画面と踏み台サーバーを経由し、バックエンドにあるサーバーに管理者アカウントで接続する仕組みをとる。Windows画面情報端末によるRDPでの画面操作、キャラクタ端末によるLinux OSへのSSHログイン、データベースサーバーへのSQLアクセス、Webアクセスなどを中継する。

 CyberArkの環境では、アクセス先となる個々のサーバーの管理者パスワードを隠蔽した状態でサーバーにログインできる。申請承認ワークフロー機能を備えており、申請に基いて管理者に特権アカウントを割り当てる運用が行える。アクセスを仲介する過程でサーバーの操作内容も監視できる。管理者がサーバーに対してどのような操作をしたのかを動画やテキストで記録する。

 パナソニックISがCyberArkを導入するきっかけになったのは、2021年11月に発生したセキュリティインシデントである。「海外からの不正アクセスを受け、ファイルサーバーのデータの一部が不正に読み出された。これを機にマルウェア対策、権限の最小化、認証強化などサイバーセキュリティ対策を強化に動き、その一環でCyberArkを導入した」(八木氏)。

 同社は以前から、IT資産(サーバー)をデータの重要度などに応じて4段階にレベル分け(LV1/LV2/LV3/LV3+)し、各レベルに応じたセキュリティ基準を設けていた。しかし、「サーバーの棚卸、点検、是正といった年次の運用サイクルはシステム管理者に委ねられており、システム化していなかった」(八木氏)という。

 ID/パスワードによるサーバーログインのセキュリティを強化する方法についてグローバル会議(2~3カ月に1回開催)で相談したところ、海外の参加者からCyberArkを勧められた。こうして、「CyberArkの仕組みや機能を調査し、他の製品と比較したうえで、求める要件をクリアしていたので採用した」(八木氏)。

100台弱のCyberArkで数千台規模のターゲットを制御

 パナソニックISは、CyberArkの導入・展開プロジェクトとして、2022年9月に要件定義を開始。それから約半年後の2023年4月に展開を始めるスケジュールを描き、まずはインフラ部門400人のユーザーライセンスでスタートした。

 CyberArkのサーバーソフトウェアはオンプレミス版を選び、Amazon Web Services(AWS)環境にインストールした。CyberArkにはSaaS版の「CyberArk Privilege Cloud(P-Cloud)もあるが、八木氏によると、導入当時は、CyberArkを経由せずに直接ターゲットサーバーにログインするバイパスログインを検知する機能がなかったのでオンプレミス版を選んだという。なお、現在のP-Cloudはバイパスログイン検知に対応している。

 CyberArkサーバーは、Web画面、踏み台サーバー、パスワード制御、ログイン監査など用途ごとに分かれている。パナソニックISは、本番環境(AWS東京リージョン、大阪のオンプレミス環境)とそれぞれのDR環境、検証環境(東京、大阪)とそれぞれのDR環境、合計で4つの環境に88台を導入。ログインテスト用のターゲットサーバー(オンプレミス/クラウド環境のWindowsとLinux)を合わせると約100台である(図1)。

図1:CyberArkサーバー88台の配置状況(出典:パナソニック インフォメーションシステムズ)
拡大画像表示

 CyberArkの展開先(ログイン対象)となるターゲットサーバーは大きく2種類ある。1つは、システム部門の管理下にあるサーバー(Windows約800台、Linux約2500台)で、特権IDに加えて一般IDによるログインも管理する。もう1つは事業部門が独自に用意するサーバー(Windows/Linux合わせて約3万台)のうち、重要度レベルLV3/LV3+の重要なデータを扱うサーバーで、特権IDを管理する。

●Next:CyberArkの導入・展開時に発生した諸問題と解決方法

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
【次ページ】周辺システムや社内調整の問題を乗り越えて導入
  • 1
  • 2
関連キーワード

パナソニック インフォメーションシステムズ / 特権ID管理 / CyberArk / ID管理 / Entra ID / ゼロトラスト / AWS

関連記事

おすすめのホワイトペーパー

more「製品/サービス資料ダウンロードサイト「Impress Business Library」へ」

トピックス

[Sponsored]

パナソニックIS、特権アクセス管理で数千台規模のサーバーへのログインを制御パナソニック インフォメーションシステムズ(パナソニックIS)が、セキュリティインシデントをきっかけに全社のサイバーセキュリティ強化に全力を挙げている。CyberArk Softwareの特権アクセス管理ツールを採用して、100台弱のCyberArkサーバーを導入し、2025年末までに数千台規模のサーバーのログイン制御を完了する予定。CyberArk Softwareが2024年10月24日に都内で開催した「IMPACT World Tour 24 Tokyo」にパナソニックISのキーパーソンが登壇し、特権アクセス管理導入時のポイントを説明した。

PAGE TOP