Healthfirst、ゼロ トラストを実現するため、アイデンティティ セキュリティ ファーストのアプローチを採用

会社概要

Healthfirst はニューヨーク州最大の非営利の健康保険団体です。Medicaid、Medicare Advantage、長期介護、適格医療、個人・小グループプランなど、あらゆるライフ ステージに対応する高品質で手頃なプランを提供しています。Healthfirst のユニークな利点は、幅広いプロバイダー ネットワークと共通の目標に向かって緊密に提携することで、会員を第一に考えることです。Healthfirst は、病院や医師が患者の成果に基づいて報酬を得る価値に基づく医療 (バリューベース ケア モデル) のパイオニアでもあります。

年間売上高:140 億米ドル従業員数 : 5,000 名

課題

Healthfirst の CISO、ブライアン・ミラー氏は、サイバーセキュリティの脅威の状況や防御のターゲットとなる場所について幻想を抱いてはいません。ミラー氏は次のように説明します。「サイバー攻撃は、無限に変化します。砂漠を横断する軍隊を考えてみてください。課題を解決するには、砂漠全体にセキュリティ フェンスが必要です。しかし、峠に 300 人を配備すれば、全軍を止めることができます。アイデンティティは環境の峠であり、Healthfirst はアイデンティティに多額の投資を行っています」

ニューヨーク州最大の非営利の医療保険団体である Healthfirst は、サイバーセキュリティ業務を進化させたいと考えていたため、ミラー氏が同団体に引き抜かれました。約 30 年前に設立された Healthfirst は、病院システム、地域プロバイダー、パートナーのネットワークと協力し、特に医療サービスが行き届かない地域社会で医療を受けやすくすることで、健康状態の改善と健康の公平性の向上を着実に進めています。

この成功により、Healthfirst は急成長を遂げ、現在ではニューヨーク州で約 180 万人の会員にサービスを提供しています。しかし、現代の医療保険者が直面する成長と複雑化するニーズや要求には、同様に強固なサイバーセキュリティ プログラムが必要です。

会員へのデジタル対応

Healthfirst は登録および請求、カスタマーケア、支払、請求処理、健康データを含む会員関連情報の最も包括的なデータベースの 1 つです。180 万人の会員と 5,000 名のスタッフに関する機密性の高い医療記録とアイデンティティを保護することは最重要課題です。Healthfirst は計算環境に、クラウドファースト戦略を採用しました。現在、システムやアプリケーションの約 70% がクラウド化され、70% が遠隔地にある 10,000 のエンドポイントを持つ組織では、高度で堅牢なセキュリティが求められています。「Healthfirst は、会員のデジタル化によって業界を変革することを目指しています」とミラーは言います。「そして、その一環として、セキュリティと高い保証を提供することです。私たちは、デジタル アプリや、バーチャルのコミュニティベース オフィス、多くのモバイル ソリューションに多額の投資を行ってきました。アプリや電話で来た会員も、コミュニティ オフィスに入ってきた会員も、全ての道はアイデンティティに通じています」

ソリューション

CyberArk は市場をリードしているため、Healthfirst はすでに Privileged Access Manager や Vendor Privileged Access Manager などの一連の CyberArk 製品を導入していました。Healthfirst は、最高水準の特権アクセス管理を提供する CyberArk に信頼を置き、デジタル トランスフォーメーションの安全性を確保するために、このアイデンティティ セキュリティ プロバイダーのテクノロジーを追加で採用することを決定しました。例えば、Healthfirst は、開発者のワークフローとシームレスに統合され、大量のシークレットを処理できることから、いくつかのレガシーのシークレット管理アプリも Conjur に移行しています。

ビジネスにおけるセキュリティの重要性

CyberArk のソリューションと並行して、Healthfirst は、ランサムウェアのような最新のサイバー攻撃が組織とそのメンバーに与えうるリスクと影響をスタッフに理解してもらうための教育および採用プログラムを実施しました。「CyberArk の導入後、特権アクセス管理に関する教育を行う時期がありました」と、ミラー氏は振り返ります。「実はセキュリティの価値を理解してもらうための変更管理の取り組み、という側面が強かったのです。すると、職員が抵抗を押し通すのをやめ、ビジネスとしてのセキュリティの重要性に気付く転機が訪れました」

Healthfirst は、アイデンティティを効果的なサイバーセキュリティ インフラの構築に不可欠な要素の 1 つと認識し、CyberArk ポートフォリオの Workforce Identity 管理ソリューションの に注目しました。Healthfirst は最近、CyberArk Identity を導入し、Single Sign-On と Multi-Factor Authentication (MFA) を使って、シンプルかつ極めて安全なビジネス リソースへのアクセスをスタッフに提供しています。「目的は、インターネットの外部からの侵入と同様、システムやソフトウェア、開発チェーンへの内部からの侵入をできるだけ困難にすることです。強固なアイデンティティ管理は、攻撃者がどこにいても関係ないというゼロトラストの考え方の一環です。そうすれば攻撃者は何もできません」と、ミラー氏は付け加えました。

「Healthfirst が Workforce Identity 管理を進化させるにあたり、非常に期待していることのひとつが、フェデレーション機能です」とミラー氏は明かしました。「他のシステムでは、例えばコール センターがシステムにアクセスできるようにするために、ライセンスに多額を費やしています。CyberArk を利用することで、職員のアイデンティティとのフェデレーション、コストやライセンス料の削減、MFA に CyberArk のデスクトップ ソフト トークンを利用することが可能になります。これにより、非常に堅牢で費用対効果の高いソリューションが得られます」

CyberArk のソリューションは、特権アクセス管理とアイデンティティ保護のいくつかの領域にわたって統合されているため、Healthfirst は、同様の機能を果たす複数のツールを使用していたときよりも効率的かつ費用効率的にセキュリティを管理できるようになり、それによって会社の業務効率を大幅に向上させることができました。

結果

ゼロ トラスト管理アイデンティティ

「アイデンティティを管理できれば、現代のほとんどの攻撃を阻止することができます。そして、アイデンティティを管理すれば、全ての境界、アプリケーション、コンテナなど、事実上、環境のあらゆる部分を管理することができます。それこそが真のゼロ トラストであり、当社が CyberArk を活用する理由です。「これがあれば夜も安心して眠れます」 -ブライアン・ミラー氏、HealthFirst CISO

CyberArk とのパートナーシップは、Healthfirst が効果的な特権アクセス管理およびアイデンティティ セキュリティ プログラムを構築するための重要な要素の 1 つでした。ミラー氏は次のように締めくくりました。「私には文化やビジョンがあり、自分たちがやっていることに情熱を注いでいるベンダーと仕事をしたいと思っています。CyberArk には、両社の価値を高めるために努力する堅実な企業文化があります。CyberArk の従業員の中には長年勤めている人もいますが、会社が成長・進化し続けているため、時代遅れの印象はありません。CISO として、そういうパートナーに賭けてみようと思っています」

重要な利点

• 包括的な特権アクセス管理の構築
• 人間、コンピュータ、サードパーティのアイデンティティの保護能力を強化
• 180 万人の会員の個人健康情報 (PHI) を保護
• フェデレーションされたアイデンティティ管理などのソリューションにより、セキュリティ コストを削減
• 高価なセキュリティ ソフトのライセンスが不要
• 複数のツールを統合したアイデンティティ セキュリティ プラットフォームに置換