2025年は人間とマシンのアイデンティティー保護に注力--CyberArkが事業方針
特権アクセス管理を手掛けるCyberArk Softwareは12月18日、2025年に向けた事業方針説明会を開催した。人間のアイデンティティーに加えて、クラウドやIoTなどの“マシン”のアイデンティティーが急増しているとし、人間とマシンのアイデンティティーを包括的に保護するセキュリティに注力する。 説明を行った執行役社長の柿澤光郎氏は、まず2024年を総括。2024年は創業25周年、Nasdaq上場10周年を迎え、柿澤氏は「Nasdaq上場のセキュリティベンダーとしては第7位の規模にあり、お客さまやパートナーからの信頼のもと、再編が著しいサイバーセキュリティ業界で独立企業として存在し続けていることは大きい」と述べた。 2024会計年度第3四半期までのビジネスは、年間経常収益(ARR)がグローバルでは約30%増、日本では約20%で推移しているとのこと。「グローバルの成長率に比べて日本はもう少しという状況。人材採用を進めるなどビジネスの拡大に注力している」(柿澤氏)と述べる。 2024年のビジネス状況は、アイデンティティー情報の窃取や悪用を狙うサイバー攻撃の拡大、AIにまつわるリスクや懸念の高まり、世界各地で整備が進むサイバーセキュリティ関連の法規制などを背景に、特権IDを含むアイデンティティーの管理と保護へのニーズが拡大。国内ではパナソニックインフォメーションシステムズや東映アニメーション、鴻池運輸といった顧客がCyberArkを採用して、国内外のビジネスやIT環境のセキュリティ強化を推進しているという。 製品戦略では、独自のAI技術「Cora AI」をプラットフォームと位置付け、各種の製品やサービスへの実装を進める。同社が18カ国・地域で従業員数500人以上の組織の最高情報セキュリティ責任者などを対象に実施した調査によると、回答した2400人(日本2000人)のうちサイバー防御でAIを活用している組織はグローバルで99%、日本で100%に上った。 柿澤氏は、AIを悪用して顔認証を突破する「マスターフェイス」攻撃などAIを悪用する脅威が台頭し、セキュリティ防御側のAI活用も進んでいると説明。Cora AIでは、ユーザーが自然言語を使って問いかけると、CyberArkユーザーの状況分析に基づくインテリジェンスやセキュリティ対策のアドバイスなどの提供、アイデンティティー管理ポリシーの作成といったことを生成AIが支援する。 2025年の事業方針では、人間とマシンの包括的なアイデンティティーセキュリティに注力する。特に、ハイブリッドクラウドやマルチクラウド、クラウドネイティブな環境の利用拡大がアイデンティティーの増加とリスクの高まりをもたらしているからになるという。 前述の調査で、3つ以上のクラウドサービスプロバイダーを利用する組織はグローバルでは84%、日本では83%。直近1年に2回以上のアイデンティティー侵害を経験した組織は、グローバルでは93%、日本では96%だった。特にアプリケーションやデバイス、サービスといったマシン(人間ではないユーザー)のアイデンティティーの数は、現状で人間1人当たり45個にもなり、今後1年でマシンのアイデンティティー数が3倍に増加すると予想する組織は、グローバルでは47%、日本では52%に上る。 柿澤氏は、クラウド利用やマシンアイデンティティーの増加は、おのずとアタックサーフェス(攻撃対象領域)の拡大に至るものの、現状ではマシンのアイデンティティー保護への市場の認知がそれほど広がっていないと指摘する。 このためCyberArkは、10月に電子証明書などのライフサイクル管理ソリューションを手掛けるVenafiを約15億4000万ドルで買収した。Venafiは、特にSSL/TLS通信などを行うデバイスやシステム向けの電子証明書、暗号鍵などの自動更新に強みがあり、CyberArkとVenafiの統合で人間とマシンの双方のアイデンティティーを保護できるようになる。 柿澤氏は、GoogleとAppleが2027年までに電子証明書の有効期間を短縮する方針を打ち出していることも留意すべきと指摘する。従来398日だった電子証明書の有効期間をGoogleでは90日、Appleでは47日に短縮することを業界団体のCertification Authority Browser Forum(CA/B Forum)に提案している。 電子証明書が失効すれば、システムなどの運用に大きな支障が生じかねないが、その管理はスプレッドシートなどを使った人力作業がほとんど。柿澤氏は、電子証明書の管理の不備を狙うサイバー攻撃などが懸念されるとし、海外の金融機関がVenafiで電子証明証の管理を自動化している事例などを紹介した。 また、将来的には量子コンピューティング技術の進化に伴う従来暗号の危殆(きたい)化も懸念されるとした。ソリューションズ・エンジニアリング本部長の佐野龍也氏は、「既存の暗号技術が突破されることは、遠い未来ではなく近い将来に起こり得ると考えられる。Venafiを活用して、現在の電子証明証や使用している暗号の状況を可視化して把握しておくなど、今から少しずつ対応を始めていただきたい」と述べた。
