ゼロトラストおよびゼロ知識アーキテクチャに基づくアイデンティティセキュリティと特権アクセス管理（PAM）を提供するKeeper Security APACは、海底石油・ガス業界向けコンピュータビジョンソフトウェアを手がけるDrillDocsの導入事例を公開した。事例では、DrillDocsが「KeeperPAM」を導入し、世界各地に分散する従業員や外部パートナーの特権アクセス管理を強化した取り組みを紹介している。

DrillDocsはこれまで、機密情報管理ソリューション「Keeper Secrets Manager」を活用し、DevOps環境における認証情報の保護を実施していた。自動展開時には認証情報をメモリ上で直接利用する仕組みを採用し、平文での保存を回避するなど、マシン間アクセスのセキュリティを確保していた。

一方で、24時間365日のサポート体制を構築するため外部エンジニアリング企業との連携を拡大する中、個人端末を利用する社内エンジニアや外部パートナーを含めた特権アクセスの管理が新たな課題となっていた。経営陣は、アクセス権限の可視化や迅速な付与・失効、将来的な事業拡大に対応できるスケーラブルな管理基盤を求めていたという。

DrillDocsの共同創業者兼最高科学責任者（CSO）のFrancois Ruel氏は、「個人端末が業務環境に混在する中で、信頼関係を維持しながらも、アクセスを検証できる仕組みが必要だった」と説明する。

KeeperPAMは、パスワード管理からエンドポイント特権管理までを統合したクラウドネイティブ型のPAMプラットフォームで、ゼロトラスト・ゼロ知識アーキテクチャを採用している。ユーザーごとの役割に応じたアクセス制御を実施し、すべてのセッションを記録・監査できるほか、アクセス権限の付与や削除を迅速に実行できる。VPNや認証情報の共有を必要とせず、安全なブラウザベースの接続環境を提供する点も特徴だ。

DrillDocsでは、短期間で導入を完了し、従来の非公式なアクセス管理から、事業規模やリスクに見合った統制されたアクセス管理体制へ移行したという。

Keeper Securityは、DrillDocsが抱えていた課題は日本企業においても広く見られると指摘する。長年の取引関係や信頼関係を重視する文化の中で、共有アカウントや不要になった権限が放置されるケースは少なくない。さらに、外部委託先によるアクセス状況が十分に把握できていない企業も多いという。

経済産業省や内閣サイバーセキュリティセンター（NISC）がサプライチェーンを含むセキュリティ対策の強化を求める中、特権アクセス管理の重要性は高まっている。Keeper Security APACの日本カントリーマネージャーである西山高徳氏は、「信頼を前提としたアクセス管理から、検証可能なアクセス管理への移行が求められている」と述べる。

また、Keeper Securityの共同創業者兼CEOであるダレン・グッチョーネ氏は、「外部パートナーやマルチクラウド環境、分散した従業員を抱える組織は、業種を問わず同様のリスクに直面している。暗黙の信頼だけでは十分なセキュリティは実現できない」と指摘する。

AIを活用したサイバー攻撃の高度化や規制強化が進む中、DrillDocsの事例は、業務継続性を維持しながら厳格なアクセス統制を実現できることを示すケースとして注目される。

引用元記事：https://prtimes.jp/main/html/rd/p/000000121.000113863.html