Healthfirst、ゼロ トラストを実現するため、アイデンティティ セキュリティ ファーストのアプローチを採用

会社概要

Healthfirst はニューヨーク州最大の非営利の健康保険団体です。Medicaid、Medicare Advantage、長期介護、適格医療、個人・小グループプランなど、あらゆるライフ ステージに対応する高品質で手頃なプランを提供しています。Healthfirst のユニークな利点は、幅広いプロバイダー ネットワークと共通の目標に向かって緊密に提携することで、会員を第一に考えることです。Healthfirst は、病院や医師が患者の成果に基づいて報酬を得る価値に基づく医療 (バリューベース ケア モデル) のパイオニアでもあります。

年間売上高:140 億米ドル従業員数 : 5,000 名

課題

Healthfirst の CISO、ブライアン・ミラー氏は、サイバーセキュリティの脅威の状況や防御のターゲットとなる場所について幻想を抱いてはいません。ミラー氏は次のように説明します。「サイバー攻撃は、無限に変化します。砂漠を横断する軍隊を考えてみてください。課題を解決するには、砂漠全体にセキュリティ フェンスが必要です。しかし、峠に 300 人を配備すれば、全軍を止めることができます。アイデンティティは環境の峠であり、Healthfirst はアイデンティティに多額の投資を行っています」

ニューヨーク州最大の非営利の医療保険団体である Healthfirst は、サイバーセキュリティ業務を進化させたいと考えていたため、ミラー氏が同団体に引き抜かれました。約 30 年前に設立された Healthfirst は、病院システム、地域プロバイダー、パートナーのネットワークと協力し、特に医療サービスが行き届かない地域社会で医療を受けやすくすることで、健康状態の改善と健康の公平性の向上を着実に進めています。

この成功により、Healthfirst は急成長を遂げ、現在ではニューヨーク州で約 180 万人の会員にサービスを提供しています。しかし、現代の医療保険者が直面する成長と複雑化するニーズや要求には、同様に強固なサイバーセキュリティ プログラムが必要です。

会員へのデジタル対応

Healthfirst は登録および請求、カスタマーケア、支払、請求処理、健康データを含む会員関連情報の最も包括的なデータベースの 1 つです。180 万人の会員と 5,000 名のスタッフに関する機密性の高い医療記録とアイデンティティを保護することは最重要課題です。Healthfirst は計算環境に、クラウドファースト戦略を採用しました。現在、システムやアプリケーションの約 70% がクラウド化され、70% が遠隔地にある 10,000 のエンドポイントを持つ組織では、高度で堅牢なセキュリティが求められています。「Healthfirst は、会員のデジタル化によって業界を変革することを目指しています」とミラーは言います。「そして、その一環として、セキュリティと高い保証を提供することです。私たちは、デジタル アプリや、バーチャルのコミュニティベース オフィス、多くのモバイル ソリューションに多額の投資を行ってきました。アプリや電話で来た会員も、コミュニティ オフィスに入ってきた会員も、全ての道はアイデンティティに通じています」

Solutions

Because of the market-leading position of CyberArk, Healthfirst had already deployed a range of CyberArk products including Privileged Access Manager and Vendor Privileged Access Manager. The insurer trusted CyberArk to provide best-of-breed privileged access management and decided to adopt additional technologies from the Identity Security provider to secure its digital transformation. For example, Healthfirst has also migrated several legacy secrets management apps to Secrets Manager (formerly Conjur Secrets Manager) because it integrates seamlessly with developer workflows and can handle a large volume of secrets.

Business importance of security

Alongside the CyberArk solution, Healthfirst ran an education and adoption program to help staff understand the risk and impact that modern cyberattacks, like ransomware, could have on the organization and its members. “After implementing CyberArk, we went through a period of having to educate the business about privileged access management,” recalled Miller. “But it was really a change management effort to help people understand the value of security. Then there is a tipping point where you stop pushing through resistance and people realize the importance of security for them as a business.”

Having recognized identity as one of the critical elements in building an effective cybersecurity infrastructure, Healthfirst has now turned to the CyberArk portfolio of workforce identity management solutions. The company recently deployed CyberArk Identity to provide staff with simple yet extremely secure access to business resources using single sign-on and multi-factor authentication (MFA). “The objective is to make it as hard as possible to break into systems, software and development chains from inside the system, as it is from outside on the internet. Strong identity control is a part of that Zero Trust idea where it does not matter where the bad guy is; they cannot harm anything,” added Miller.

“One of the things Healthfirst is very excited about as we evolve workforce identity management is the ability to federate,” disclosed Miller. “With other systems we are spending lots of dollars on licenses, for example, to allow call centers to access our systems. With CyberArk, we will be able to federate with their identities, cut costs and licensing fees, and use CyberArk desktop soft tokens for MFA. That will give us a very robust and cost-effective solution.”

Because CyberArk solutions are integrated across several areas of privileged access management and identity protection, Healthfirst can now control security more efficiently and cost effectively than when it had multiple tools performing similar functions, thereby driving significant operational efficiencies in the company.

結果

ゼロ トラスト管理アイデンティティ

「アイデンティティを管理できれば、現代のほとんどの攻撃を阻止することができます。そして、アイデンティティを管理すれば、全ての境界、アプリケーション、コンテナなど、事実上、環境のあらゆる部分を管理することができます。それこそが真のゼロ トラストであり、当社が CyberArk を活用する理由です。「これがあれば夜も安心して眠れます」 -ブライアン・ミラー氏、HealthFirst CISO

CyberArk とのパートナーシップは、Healthfirst が効果的な特権アクセス管理およびアイデンティティ セキュリティ プログラムを構築するための重要な要素の 1 つでした。ミラー氏は次のように締めくくりました。「私には文化やビジョンがあり、自分たちがやっていることに情熱を注いでいるベンダーと仕事をしたいと思っています。CyberArk には、両社の価値を高めるために努力する堅実な企業文化があります。CyberArk の従業員の中には長年勤めている人もいますが、会社が成長・進化し続けているため、時代遅れの印象はありません。CISO として、そういうパートナーに賭けてみようと思っています」

重要な利点

• 包括的な特権アクセス管理の構築
• 人間、コンピュータ、サードパーティのアイデンティティの保護能力を強化
• 180 万人の会員の個人健康情報 (PHI) を保護
• フェデレーションされたアイデンティティ管理などのソリューションにより、セキュリティ コストを削減
• 高価なセキュリティ ソフトのライセンスが不要
• 複数のツールを統合したアイデンティティ セキュリティ プラットフォームに置換