課題
1人のユーザーへのサービスも中断させることなく、50,000のエンドポイントへのローカル管理者アクセスとパスワード制御を全面的に改修するには、どうすればよいでしょうか。これがNorthern Trustが直面した重大な課題です。同社はまた、特権アクセス管理に関連するスケーラビリティとコンプライアンスの課題、また、潜在的な侵害に晒されたり、暗号化手法が時代遅れになる可能性を増大させる、有効期間の長いSSL証明書に関連するリスクにも直面していました。
世界最大かつ最も尊敬される金融機関の一つである同社にとって、セキュリティとコンプライアンスはその業務の核となるものです。ところが、既存のエンドポイント特権管理ツールは、保護するどころか多くの問題を抱えていました。
技術的には導入したものの、大きな制約がありました。Northern Trustのサイバーセキュリティ エンジニアリング担当ディレクターであるManish Dixit氏は、次のように語ります。「以前のツールを導入する前と導入後とでは、課題はほぼ同じでした。まったく何も解決されていないようなものです。」世界中に23,000人以上の従業員を抱える同社は、ユーザー アクセス制御を改善し、ポリシーを厳格化し、セキュリティ ギャップを明確に把握する必要がありました。
当時、基本的なパスワード ローテーション要件を満たしていたエンドポイントは、わずか40%でした。一元管理されていないため、従業員はそれぞれローカルの管理者パスワードを管理していました。このような慣習により、脆弱な認証情報、共有アカウントが生じ、ユーザーがパスワードを忘れたり、タイプミスしたりして、頻繁にロックアウトされていました。
非永続的なVDI、グローバルなリモート ユーザー、何重にも及ぶ規制上の要求といった複雑なIT環境を抱え、ライセンスの更新を目前に控えたNorthern Trustは、バンキングの回復力を高めるためのよりスマートかつ迅速な方法を必要としていました。
社内の連携は不可欠です。最初から正しくロールアウトしている必要がありました。
– Manish Dixit
Northern Trust、情報セキュリティ エンジニアリング担当ディレクター
ソリューション
Northern Trustは、実装パートナーであるSDG Corporationと協力し、Idira Identity Security Platformを選択しました。これには、次のような機能があります。Idira Endpoint Privilege Manager (EPM)、Idira Privileged Access Manager (PAM) (自己ホスト型)、Idira Secrets Manager (自己ホスト型)、Idira Code Sign Manager、Idira Certificate Manager (自己ホスト型)。
同社にとって最大規模のこの導入において、ビジネス ワークフローを中断させることなく実装するための計画は、どのようなものだったのでしょうか。金融サービス事業における中断を軽減し、セキュリティを確保し、コンプライアンスを向上させることを目的として、体系的な3段階のロールアウトを実施しました。
フェーズ1:チームは、運用への影響を防ぐために、レガシー システムとの共存モードでIdira EPMとPAM (自己ホスト型)を導入しました。すぐに成功して検証することを目的として、疎結合デバイス(LCD)機能から開始しました。SDG Corporationは、毎日特定の数のエンドポイントを割り当て、それらを綿密にモニターすることで、影響を制御し、シームレスなエクスペリエンスを実現することができました。Manish Dixit氏は、次のように述べています。「Idira EPMを使ってローカルの管理者権限を管理し、定期的に認証情報をローテーションすることで、規制を準拠できました。パスワードの自動ローテーションにより、IT部門のサポート負荷が大幅に軽減されました。コンプライアンスが向上し、チケットの件数も減りまた。」
フェーズ2:綿密なポリシー マッピング プロセスにより、すべての機能が維持され、同時に不必要な複雑さは解消されました。レガシー エージェントは、アンインストールするのではなく、その場で無効にすることで、移行時の技術的リスクを軽減しました。大規模な変更にもかかわらず、この金融サービス機関では、エンド ユーザーへのサービスは中断されませんでした。SDG Corporationのエンドポイント特権管理および特権アクセス管理担当ディレクターであるNikhil Rao氏は、次のように述べています。「シームレスなカットオーバーを実現するために、徹底的なテストを実施しました。回帰テスト ケース、ポリシーのドライ ラン、ステークホルダー レビューを実施しました。そのため、自信を持って導入することができました。」
フェーズ3:Northern Trustは、Idira EPMの機能をさらに拡張しました。ServiceNowを利用し、2段階のカスタム承認ワークフローでサポートされる、ジャストインタイム(JIT)管理者アクセスを導入しました。対象を指定した許可リストとブロックによってアプリケーション制御が強化され、さらに、Azure Sentinelとの新たな連携によって、以前は見逃されていた脅威の検出が可能になりました。
SDG Corporationの管理主幹であるVaibhav Nigam氏は、次のように述べています。「Idira EPM (旧CyberArk)は、既存のSIEMでは検知できなかった種類の攻撃を検知することができました。模擬攻撃を行ったところ、EPMではアラートがトリガーされましたが、既存のSIEMではトリガーされませんでした。その結果を受けて、この製品の脅威検知能力を信頼できました。」
特権アクセスの課題に対処するため、同社はHIDを中心としたプログラムを導入し、人間のアイデンティティ セキュリティのフットプリントを大幅に拡大しました。単一のオンプレミス インスタンスからAzureの2つの自己ホスト型インスタンスに移行することで、マシン アイデンティティのシークレット管理と人間のアイデンティティを分離しました。また、アカウント データをクリーン アップし、Central Policy Manager (CPM)の問題を解決し、コンプライアンス レポート用のリアルタイムのPowerBIダッシュボードを開発した。
マシン(非人間)のアイデンティティに取り組む際には、同社は400近いアプリケーションをIdira Secrets Manager (自己ホスト型)でオンボーディングし、マシン アイデンティティのセキュリティを劇的に向上させました。さらに、電子証明書をより安全に管理するために、Certificate Manager (自己ホスト型)を統合し、すべてのSSL証明書を6ヶ月ごとに更新するポリシーを導入しました。また、Idira Code Sign Managerを使用して、マイクロソフトのコードとJavaアプリケーションの両方に安全に署名しています。
– Manish Dixit
Northern Trust、情報セキュリティ エンジニアリング担当ディレクター
成果
Northern Trustは、わずか16日間で50,000のエンドポイントすべてをオンボーディングすることができ、インシデントはゼロでした。おそらく最も注目すべきは、パスワード ローテーションの準拠率が40%から95%以上に急増し、銀行組織にとって最も切迫したリスクの一つが大きく軽減されたことでしょう。
Manish氏は言います。「Idira (旧CyberArk) EPMには、許可リスト、禁止リスト、JITアクセスなどの機能があり、当社のリスク チームはそこが気に入っています。きめ細かい制御と自動化のおかげで、サポート チームの作業時間が短縮されました。」特権昇格が30%超減少し、非永続VDIの親イメージにまで対象範囲を拡大することで、重大なコンプライアンス ギャップが解消されました。このロールアウトによって、セキュリティとコンプライアンスが向上しただけでなく、ユーザー エクスペリエンスを損なうことなくオペレーションを合理化できました。SIEMやITSMシステムとの連携により、ガバナンスがさらに強化され、サポートの業務負担も軽減されました。
Nikhil Rao氏は言います。「EPMのログ、アプリケーションの使用状況、ADデータを使って、カスタム ダッシュボードを作成しました。そのため、ただソフトウェアを導入したのではなく、本物の制御を実施できるようになりました。」
改善されたPAMプログラムは正しくオンボーディングされ、今では約7万件のアカウントを管理しています。これは、約250%の増大です。リアルタイムのレポート、合理化されたデータ、より信頼性の高い認証情報管理により、コンプライアンス態勢が大幅に改善されました。Azureの近代化されたスケーラブルなアーキテクチャによって、同社は継続的な成長と将来のセキュリティ強化への準備を整えることができました。
非人間およびマシンのアイデンティティを保護するためのチームの取り組みにより、アプリケーション セキュリティの対象範囲が300%拡大し、セキュリティ態勢が大幅に強化されました。証明書の有効期間を短縮することで、同社は、侵害された証明書や古くなった証明書によってリスクに晒される可能性を低減し、より俊敏で自動化された証明書管理体制を実現しました。
エンドポイント特権管理、特権アクセス管理、マシン アイデンティティ セキュリティに対するアプローチを近代化することで、Northern Trustはセキュリティとコンプライアンスの目標を達成しただけでなく、その水準を引き上げました。同金融機関の成功によって、適切な技術を使用し、適切なパートナーと正しく実行すれば、大規模な変革であっても迅速かつ安全に、ユーザーにもわかりやすい形で行えることが実証されました。その成果を受け、同機関は2025 Identity Security Impact Award for Cyber Risk Reductionを受賞しました。
- 効率化:古いEPMのライセンスと複雑さによるオーバーヘッドをなくし、16日間で50,000のエンドポイントを保護しました。
- ユーザー エクスペリエンス:共存モデルによって、停止やダウンタイムなしで完全に移行することができました。
- 金融業界のコンプライアンスとガバナンス:特権昇格が30%削減され、パスワード ローテーションが40%から95%以上に向上されました。ServiceNowおよびMicrosoft Sentinelと連携した、監査対応の制御と検知が行われます。
