シングルサインオン・ID連携

CyberArk さいばーあーく

特権アクセス管理PAMパスワード管理資格情報ゼロトラストセキュリティ
CyberArkについて教えて

簡単に言うとこんな感じ!

CyberArkは「会社の中で最も強力な鍵(管理者パスワード)を、厳重な金庫に入れて管理する」仕組みだよ!サーバーやシステムの管理者アカウントが悪用されると大惨事になるから、誰が・いつ・何のために使ったかを全部記録しながら、鍵の貸し借りを一元管理するセキュリティ製品なんだ!


CyberArkとは

CyberArkは、イスラエル発のセキュリティ企業「CyberArk Software」が提供する特権アクセス管理(PAM: Privileged Access Management)のプラットフォームです。企業のITシステムにおける「特権アカウント」、つまりサーバーの管理者・データベースの root・クラウドの上位権限などを一元管理し、不正利用・情報漏えいを防ぐことを目的としています。

特権アカウントとは、システム全体を操作できる”スーパーユーザー”のようなアカウントで、一度悪用されると全データの窃取・削除・改ざんが可能になります。サイバー攻撃の多くはこの特権アカウントの奪取を最終目標としており、CyberArkはその「最後の砦」として世界中の大企業・官公庁で採用されています。

CyberArkは単なるパスワード管理ツールにとどまらず、セッションの録画・監視・自動パスワードローテーション・多要素認証との連携など、特権アクセスのライフサイクル全体をカバーするプラットフォームへと進化しています。ゼロトラストセキュリティの考え方とも親和性が高く、「信頼せず、常に検証する」を実現するための中核製品として位置づけられています。


CyberArkの主な機能と構成

CyberArkのプラットフォームは複数のモジュールで構成されており、それぞれが特権アクセス管理の異なる側面をカバーします。

モジュール名機能概要実務での使われ方
Enterprise Password Vault(EPV)パスワードを暗号化して一元保管管理者パスワードを金庫に格納し、必要な人だけ取り出す
Privileged Session Manager(PSM)特権セッションの仲介・録画管理者が何を操作したか動画で記録・監査
Central Policy Manager(CPM)パスワードの自動ローテーション一定期間ごとに自動でパスワードを変更
Endpoint Privilege Manager(EPM)PC端末の特権制御従業員PCの管理者権限を必要最小限に制限
Secrets Managerアプリ・APIの認証情報管理DevOpsのCI/CDパイプラインで使う秘密情報を管理
Workforce Identity従業員向けSSOMFA社員のID管理・シングルサインオン

「金庫」と「受付」のイメージで覚える

CyberArkのしくみは、パスワードという”鍵”を金庫(Vault)に預けて、受付(PSM)を通してしか使わせない銀行のような構造です。

利用者
  ↓ 申請(誰が・なぜ使う?)
[CyberArk PSM(受付・監視員)]
  ↓ 認証OKなら一時的に鍵を貸し出す
[Enterprise Password Vault(金庫)]
  ↓ パスワードを取り出してシステムに接続
対象サーバー・DB・クラウド
  ↓ 操作内容をすべて録画
[監査ログ・セッション録画]

利用者は実際のパスワードを直接知ることなく、CyberArk経由でシステムへ接続できます。これにより「パスワードの漏えい」「元社員による不正アクセス」を根本から防げます。

特権アカウントの4分類

種類具体例リスクの高さ
OSの管理者WindowsのAdministrator、LinuxのRoot★★★
データベース管理者Oracle sys、MySQL root★★★
ネットワーク機器ルーター・スイッチのenable★★☆
クラウド上位権限AWS IAMのAdmin、Azure Global Admin★★★

歴史と背景

  • 1999年 — イスラエルのテルアビブにてCyberArk Software創業。当初から特権アカウントのセキュリティに特化
  • 2000年代初頭 — 大規模な内部不正事件が相次ぎ、特権アクセス管理の重要性が世界的に認識され始める
  • 2014年 — NASDAQに上場。グローバル企業への導入が本格化
  • 2017年頃 — DevOpsの普及に伴い「Secrets Manager」(アプリが使う認証情報の管理)機能を強化
  • 2019年 — エンドポイント特権管理のDuo・Conjurなどを買収し機能拡張
  • 2020年SolarWinds攻撃事件をはじめとするサプライチェーン攻撃が多発。特権アクセス管理の重要性が一段と高まり、CyberArk需要が急増
  • 2023年 — Workforce Identity(従業員向けID管理)領域に注力し、PAMとIAMの統合プラットフォームへ進化
  • 現在 — Fortune 500の50%超が導入。金融・官公庁・医療など規制の厳しい業界で事実上の標準として普及

競合製品・類似ソリューションとの比較

CyberArkは「PAM(特権アクセス管理)」の最有力製品ですが、似た機能を持つ製品もあります。

PAMソリューション 比較マップ 機能の深さ(縦)× 対象範囲の広さ(横) 機能が深い 機能がシンプル 特権専門 全体ID管理 CyberArk PAM特化・機能最多 エンタープライズ向け BeyondTrust PAM専業・競合 Delinea 旧Thycotic+Centrify Okta / Azure AD 全社ID管理が主軸 HashiCorp Vault DevOps向け秘密情報管理

CyberArkと主要製品の機能比較

比較項目CyberArkBeyondTrustDelineaOkta
特権セッション録画
自動パスワードローテーション
エンドポイント特権管理×
Secrets Manager(DevOps)×
SSO・MFA(一般社員向け)
導入の難易度高(専門知識要)
価格帯高め中〜高

PIM・PAM・IAMの違いを整理する

よく混同される3つの概念を整理しましょう。

IAM(Identity and Access Management)
└── 全社員・全ユーザーのID・権限を管理する大きな枠組み
    ├── PAM(Privileged Access Management)← CyberArkが得意
    │   └── 管理者・特権ユーザーだけを対象に深く管理
    └── PIM(Privileged Identity Management)
        └── 特権ユーザーのIDライフサイクルを管理(一時的な権限昇格など)

関連する規格・RFC

規格・基準内容
NIST SP 800-53米国政府標準のセキュリティ管理策。特権アカウント管理を要求項目として明記
ISO/IEC 27001情報セキュリティマネジメントの国際規格。アクセス制御の管理策としてPAMを推奨
PCI DSS v4.0クレジットカード業界のセキュリティ基準。特権アクセスのモニタリングを義務付け
SOC 2 Type IIクラウドサービスの信頼性基準。特権アクセスのログ・証跡保全が審査対象

関連用語