南東ヨーロッパのある大手石油・ガス会社が、オンプレミスのデータとアプリケーションをパブリッククラウドインフラに移行することになったとき、浮上した無数のセキュリティ問題に対処するために、Lookout 。Lookout Cloud Access Security Broker (CASB) ソリューションと高度なデータ損失防止 (DLP)は、すべてのデータセキュリティとコンプライアンスへの配慮を保証するために必要な幅広い統合機能を提供し、同時にオープンクラウドデータとの相互作用を可能にしました。
課題
企業のクラウド移行は、特に規制の厳しい業界では、困難なプロセスになることがあります。従業員数11,000人以上のこの大手石油・ガス会社では、SAPがオンプレミスの人的資本管理(HCM)ソリューションのサポート終了を示唆したことで、クラウドへの移行が加速されました。その代わりに、SAPSuccessFactorsクラウドベース HCM スイートへの移行を顧客に促したのです。この組織は、人事関連プロセスのすべてをSAPに大きく依存しており、また従業員中心のデータに関する厳しいプライバシー規制を遵守する必要があったため、ITチームは安全なクラウド移行について迅速に研究する必要がありました。
最初のクラウド移行プロジェクトということで、チームはプロフェッショナルサービスのコンサルタントに依頼し、考えられるすべての移行リスクを評価した。その結果、4つの重要な課題が明らかになった。
- シングルサインオン(SSO)のSAP Identity Authentication Service(IAS)、Titusのデータ分類、セキュリティ情報・イベント管理(SIEM)のArcSightなど、既存のセキュリティソリューションと統合する。
- 機密性の高い人事データへのアクセスを許可されたユーザーのみに許可する、きめ細かい制御ポリシーの導入
- 欧州連合の一般データ保護規則(GDPR)を含むデータプライバシー法との整合性
- 機密データを保護し、ランサムウェアなどのマルウェアがインフラにアップロードされるリスクを軽減します。
解決策
チームはすぐに、これらの緊急課題に加え、より多くのデータとアプリケーションをクラウドに移行する際に生じるであろう将来の課題にも対応できる、高度なデータ損失防止(DLP)を備えたCASB(Cloud Access Security Broker)ソリューションが必要であることに気づきました。ベンダーを徹底的に比較した結果、HCMプラットフォームを確実かつ安全にクラウドへ移行するために、Lookout CASB with DLPを選択しました。
Lookout 主なメリット
サードパーティとの連携による効率的な展開が可能
シングルサインオン(SSO)のSAP Identity Authentication Service(IAS)、Titusのデータ分類、セキュリティ情報・イベント管理(SIEM)のArcSightなど、既存のセキュリティツールとの連携が容易なことも重要な選定条件でした。これにより、不要な活動や費用、製品に至るまでが排除され、プロジェクト全体の複雑さが軽減されました。
きめ細かな制御によるアクセスの定義と強制
次のステップは、ユーザーの役割、デバイスの姿勢、場所、要求されるデータの種類に基づいたきめ細かいセキュリティ制御を導入することでした。一人の社員がシステムを完全にコントロールできないように特権を制限する必要がありましたが、それでも個々のユーザーは、どんなデバイスや場所からでも生産性を上げるために必要なツールにアクセスすることができるのです。
また、データの移動(アップロードとダウンロードの両方)は、タイタスが管理するデータ分類ラベルによって制御する必要がありました。簡単に言えば、データの分類とは、データの種類、機密性、ビジネス上の価値に応じてラベルを付けることで、組織内外でどのようにデータを管理、保護、共有するかについて、十分な情報に基づいて選択できるようにするプロセスです。
分類が行われると、財務や研究開発情報など人事とは無関係のデータをSuccessFactorsにアップロードできないようにすることができます。また、すでにSuccessFactorsに保存されている機密データを、信頼されていないデバイスや承認されていない場所にダウンロードできないようにする必要もあった。
最後に、Lookout を「リバースプロキシモード」で導入することで、信頼できるデバイスと信頼できないデバイスの両方から、機密性の高い人事データへのアクセスをブロック、制限、または許可する DLP ポリシーを適用することができます。DLP を Titus と組み合わせて使用する場合、ゼロ・トレランス・ポリシーを導入して、機密データとして識別されるあらゆるデータのダウンロードをブロックすることができます。「ユーザーが機密データをダウンロードしようとした場合、当社のセキュリティポリシーによってデフォルトで拒否する必要があります」と、同社のITセキュリティアーキテクトは述べています。
個人情報保護法の遵守を実現する
特に、候補者が応募の過程で機密データを提出する場合、多国籍企業であるがゆえにデータ・プライバシーの問題が発生します。「データセンター運用の責任者は、「私たちは、国民識別番号、医療情報、その他個人を特定できる情報(PII)など、保護すべき機密データをたくさん持っています」と述べています。このデータは、そのままSuccessFactorsに取り込まれます。
個人情報保護法に対応するため、サクセスファクターズに保存されている個人を特定できる情報(PII)を暗号化する必要があり、鍵の管理という問題が出てきました。暗号鍵の管理とは、暗号鍵を保護、保管、整理、配布するための方針と手順を管理することです。今回のケースでは、お客様は、オンプレミスでの保管も含め、暗号鍵の保管を希望されていました。
Lookout は、Lookout 鍵管理システム(KMS)を通じて、お客様に暗号鍵のオンプレミス保管を提供しながら、機密データの暗号化に対応することができました。Lookout KMSは、許可された従業員だけが機密のPIIデータにアクセスできることを保証します。
SuccessFactorsにマルウェアがアップロードされるのを防ぐ
SuccessFactorsのようなクラウドベースのアプリケーションは、ファイルアップロードをサポートしており、それ自体がセキュリティ上の脆弱性をはらんでいます。例えば、求職者は、求職の一環として履歴書や職務経歴書をアップロードすることができます。アップロードされた文書はすべて、マルウェアのチェックが必要でした。マルウェアは、悪意のある者がバックドアを開いたり、内部システムの認証を取得したり、データを盗んだり、一般的にビジネスを混乱させたりすることを可能にするものです。「Lookout によって検証され、スキャンされていない書類は、SuccessFactors にアップロードすることを許可しません」と Data Center Ops の責任者は述べています。
でクラウドへの旅を続けるLookout
HCMシステムの安全な移行に伴い、Lookout 、このお客様には、クラウドベースのコラボレーションやコミュニケーションプラットフォームなど、追加のアプリケーションワークロードのクラウド移行計画を策定するよう、引き続き働きかけています。
データセンター運用責任者によると、"SuccessFactorsの利用を追加モジュールで拡大し、データのクラウド化を進めていく中で、データの安全・安心を守るために、Lookout CASBを必ず利用する "とのことです。
SAP SuccessFactorsのセキュリティを確保するために、Lookout CASBがどのように独自に構築されているかについては、こちらのビデオをご覧ください。