導入事例 Philip Morris International

導入事例
Philip Morris International

Jan Billiet, Director of IS Security and Risk Management Philip Morris International

私たちがVaronisを選んだ理由は、社内ラボでの製品機能評価はもちろん、私たちの標準的な購買プロセスをサポートしているソリューションだからです。製品の評価そのものは特に重要で、Varonisが私たちの求める機能を提供しているということ、そしてまた私たちのような企業規模にも十分対応できるようなスケーラブルな中央集中管理型でのレポーティングや権限状況のモニタリングを持っているということが決め手でした。そして今、“だれがどの情報にアクセス権を持っているのか”といった、私たちがいまだかつて経験したことがないレベルでのファイルサーバアクセス権限の可視化を体感しています。

Jan Billiet, Director of IS Security and Risk Management
Philip Morris International

Phillip Morris International
会社プロフィール

logo-pmi

Philip Morris International (PMI)は180カ国以上でその製品を販売する国際的大手たばこ会社です。世界の国際的トップブランドであるマールボロをはじめ、4番目に高い人気を誇るL&Mなど、強力なブランド・ポートフォリオを有しています。また、世界の紙巻たばこの国際的ブランド上位15ブランドのうちマールボロやL&Mを含む7つのブランドがPMIのものです。また一方で、高品質で革新的な製品を成人喫煙者に提供すること、そして、たばこ製品による害を低減することを目指しています。害の低減に基づいた包括的な規制を支持し、疾病リスクを減らす可能性のある製品を開発することにより、たばこ製品による害の低減という目標に向けて取り組んでいます。

課題への挑戦

PMIはActive Directory、SharePoint、ファイルサーバーなどにおいて日々増え続けるアクセス権限情報に対して、グローバルなレベルで可視化でき、かつ、それら異なるフラットフォーム間を簡単に管理する方法を探していました。さらにPMIは以前に導入したアクセス権限管理の製品が期待していたものではなく、構造化データの保護のために導入しているID管理のソリューションを補完する適切な非構造化データの管理ソリューションを見つける必要に迫られていました。そしてそれはただに製品を動かせば良いというものではなく、運用上の痛み・問題点にきちんと対応したソリューションであり、証跡情報提供やSLAの実行も伴うものであるべきだと思っていました。

実評価の結果

PMIはその使っていた古いタイプのアクセス権限管理の製品をあきらめることを決め、特定のデータにアクセスするグループやユーザの確認作業ができる運用を計画しました。かれらはより効果的に管理できるために、さらに一歩踏み込んで、データの管理者を指名しその指名された人には権限付与時の判断にも協力してもらうということも考えていました。 Jan Billiet, Director of IS Security and Risk Management, PMIは以下のようにコメントしています。「パッケージのソフト、SI作業によるもの、考え付く限りのソリューションを検討したものの、Active Directoryとファイルサーバの間におけるアクセス権限を管理する際に、私たちが満足できる答えはないのだと思いました。検討したどれもがデータの増大やアクセス権限の複雑さに対応できるものではないと思ったのです。」

Varonisによる問題解決

最終的に、PMIはEPICS(Enhanced Protection of Important Information and Collaboration Systems)と自ら名付けた権限管理の仕組みを走らせることにしました。EPICSではVaronisを活用し、Active Directory内のすべてのユーザのアクセス権限管理の情報を提供します。実際にはActive Directory、SharePointそしてファイルサーバ上の“だれがどの情報にアクセス権を持っているのか”の全体的な可視化を実現するためのアプローチの中核部分として、DatAdvantage for SharePointとDatAdvantage for Windowsをインストールしました。一元管理を目標に、計画立案中にPMIが想定していた運用の痛み・問題点を解決できるよう仕組みの完成を目指しました。たとえば以下のような点が考慮されました。

  • 重要な情報が入ったフォルダーがどれなのか、スケジューリングされたレポーティングで確認できる、またその時点での権限ステータスをモニターできる
  • グループのメンバーシップを確認できる
  • ファイルサーバのアクセス権限を確認できる
  • SFTPの権限を確認できる
  • 利用がないアカウントを削除できる
  • ファイルサーバにおいてユーザが何をしているか確認できる
  • ITの作業効率化
  • 会社のID管理ソリューションでは管理しきれていないアカウントも確認できる
  • 欲しい部分のレポート要求に柔軟に対応できる

その使っていた古いタイプのアクセス権限管理の製品を取り外し、特定のデータにアクセスするグループやユーザの確認作業ができ、そしてデータの管理者を指名しその指名された人には権限付与の判断に協力してもらうことができる一方で、会社としてはセキュリティの基本事項として、Active Directoryやファイルサーバの標準的な運用も担保しようとしました。そしてまた、常にレポーティングの拡張が可能であったり、一元管理で権限の状況の追跡ができたり、さらにはビジネスの実情に沿って権限付与の最適化ができたりするシステムが重要でした。

EPICSの仕組みとサービスはいまやヨーロッパ、アジア、ラテンアメリカにまで広がり48ケ国50,000以上のユーザ、2百万以上のAD上の登録数、80台以上のサーバーをまたぐSharePointとファイルサーバの中の7百万以上のフォルダーに及んでいます。DatAdvantageの展開はそのEPICSのゴールに合わせておおよそ1年かかりました。EPICSのサービス開始以来、PMIの全世界50人規模の情報セキュリティ担当者達はDatAdvantageから20,000以上のレポートを受け取っています。

PMI社内ではEPICSの開発を継続して行っています。それはさらなる利便性を求めてのものです。次の計画では権限の現場への委譲・権限付与の自動化のソリューションであるDataPrivilegeのパイロット運用を検討しています。会社が求めていた、現場への権限付与の委譲とその権限付与プロセスの自動化に答えを出すものと確信しています。

Varonisのメリット

世界中のPMIを1つのプラットフォームでActive Directory、SharePointそしてファイルサーバを横断的に可視化
PMIのEPICSでは“だれがどの情報にアクセス権を持っているのか”の全体的な可視化を実現するためのアプローチの中核部分として、VaronisのソリューションであるDatAdvantage for SharePointとDatAdvantage for Windowsを導入しています。

最適なアクセス権限管理の実現、 そしてActive Directoryのアセスメントに関しての意識の向上
PMIのIT部門はVaronisのソリューションによって生成されるメタデータから、重要なローカルグループ内の正しい権限付与・アクセス権の最適化を行うことができたことに満足せず、IT管理者や関係者の間ではさらなるアクセス権限管理への意識が芽生えています。

皆にさらされているフォルダー(必要以上に開放されているアクセス権限)を見つけ出し修正
DatAdvantageによって収集されたメタデータ情報から不適切に付与されているアクセス権限、権限を制限せずに誰にでもアクセスを許しているフォルダーを洗い出します。重要なフォルダーに関する権限状況確認・設定には現場で任命したデータ管理者にも参加してもらい、より効率的・自動的な運用によってIT管理者のアクセス権限管理への負担を減らすことに成功しています。