課題
Maximus社は、デジタル革新戦略を実施し、プログラムの効率化、作業のスマート化、生産性および品質の向上を推進しています。この戦略の中核となるのが、主要なシステムやアプリケーションをクラウドへ移行し、クラウド ファーストの企業環境へ移行する取り組みでした。この変革は、組織全体の特権アクセス管理(PAM)のアプローチを見直し、強化する機会ともなりました。
Maximus社の従来環境向けに以前導入されていた既存のPAMソリューションは、多くのカスタマイズを必要とし、統合機能にも制限があり、複雑なユース ケースには対応できませんでした。
Maximus社は、同社のPAM戦略を推進するため、Nigel Miller氏をアイデンティティおよびアクセス管理担当シニア マネージャーという重要な役職に迎え入れました。Miller氏が最初に直面した課題は、限られたリソースと小規模なチーム体制の中で、54億ドル規模の企業全体にどのように広範な改善をもたらすかを見極めることでした。
Miller氏は複数のPAMベンダーのソリューションを比較検討した結果、最終的に、パロアルトネットワークスのCyberArkと提携し、Idira™ Privileged Access Managerを導入することを決定しました。このソリューションは、Maximus社にビジネス目標を支えるために必要な柔軟性、拡張性、将来性を提供するとともに、他アプリケーションとの容易な統合や迅速な導入など、包括的な標準機能を備えていました。
「Idira(旧CyberArk)を選んだ最大の決め手は、チームへの信頼感でした。提供されるサポートや理解の深さ、そして迅速な立ち上げと稼働開始までのコミットメントは卓越していました」と、Miller氏は述べています。
– Nigel Miller
Maximus副CISO
ソリューション
新しいソリューションの導入においては、ユーザーの受け入れを得ることや、変革を管理することが大きな課題となる場合が少なくありません。しかしMaximus社は、人材、プロセス、テクノロジーで構成される特権アクセス管理を包括的に捉え、Idiraを中核として取り組みを進めました。また、Miller氏はこのプロセスの初期段階でシニア リーダーを巻き込み、トップ レベルでの変革の必要性への理解を深めることができました。その後は日々のアクセス ニーズを把握しながら、ドメイン管理者、サーバー管理者といった主要ユーザーから始めるという段階的なプロセスを踏んでいきました。
Miller氏は次のように振り返っています。「提案された変更に対して、当初は快く思わない人もいました。しかし私たちは露出したリスクを共有し、適切なレベルのアクセス権を与えることができました。私たちは時間をかけて耳を傾け、コミュニケーションを図り、テストとトレーニングを実施しました」
Idiraは、小規模なセキュリティ チームがPAMソリューションを導入するうえで、非常に大きな力となりました。Miller氏は次のように述べています。「Idira(旧CyberArk)チームとの議論や連携を通じて、大きな信頼感を持つことができました。それが、記録的な短期間での導入を進めるうえで極めて重要でした」「私たちはゼロの状態からスタートし、わずか2週間でIdiraを稼働開始まで持っていくことができました。そしてその後の1ヶ月間で、ドメイン管理者をシステムへ移行していきました。これほどスムーズな導入は初めてです。ぜひ今後もこのような導入を進めていきたいと思っています」
導入後3ヶ月で、すべてのドメイン管理者の保護を完了し、6ヶ月後にはWindowsサーバーの保護、さらに8ヶ月後にはすべてのLinux管理者の登録を完了しました。約350人のユーザーがオンボードされ、全ユーザーの約半数について、アクセス権限がより適切なレベルへと見直されました。
-
一元化ソリューション
特権アクセスを管理・制御 -
わずか2週間でソリューションを導入
数ヶ月で完全統合 -
管理者アクセスの削減
生産性を損なうことなく、管理者アクセスを50%削減 -
コストと負担を削減
貴重なスキルとリソースを節約
Miller氏は、Idiraについて次のように説明しています。「ユーザーが必要なときに、必要なシステムにアクセスできる一元的な場所です。ただし、必要になる前にアクセスを許可することはありません。それは、私たちが監視し、認証情報をローテーションしながら、特権アクセスを制御できる場所でもあります」
Miller氏は、なぜIdiraが同社のPAM戦略の中核となっているのかについて、次のように説明しています。「Idira により、意識向上を図り、ユーザー プロセスを最適化し、ユーザーごとにより精密な特権アクセス範囲を設定できるようになりました」大胆に聞こえるかもしれませんが、ユーザー自身もプロセスの効率化に積極的に関わっています。このようにして、私たちは特権アクセスに対するMaximus社の考え方と受け入れ方そのものを変えつつあります」
Maximus社は、1つのアクセス関連機能のみを利用するユーザーから、継続的に複数のアクセスポイントを必要とするユーザーまで、あらゆるユーザーにIdira Privileged Access Managerを適用しました。Miller氏は次のように述べています。「以前は、パワー ユーザーが使えるパスワードを探そうとして、さまざまなパスワードを試していました。現在では、なぜIdiraを使用するのかを理解しています。そして、必要なすべてのシステムへアクセスするための一貫した場所が1つになったことで、ユーザーにとって大きなメリットとなっています」
Miller氏は、Idiraの多要素認証(MFA)を大きな成果の1つとして挙げています。Maximus社はMFAを活用し、継続的なアクセスが必要なユーザーも含め、一貫して認証情報をローテーションしています。現在では、すべてのアクセスがIdiraを経由するようになっており、MFA機能によって追加の検証レイヤーが提供されることで、セキュリティとコンプライアンスが大幅に強化されました。
また、セキュリティ サービスは、Maximus社によるPAM機能の拡張を支援しました。特定のシナリオで標準外の変更が必要となる場合でも、Idiraチームは解決策の提示に非常に積極的でした。このようなサポートにより、同社はセキュリティ リソースを最大限に活用しながら、時間とコストも削減できるようになりました。その結果、バックエンド業務の管理にリソースを割く必要がなくなりました。
