クレデンシャル情報を狙ったサイバー攻撃が増加する今、これらの情報を保護しつつ、アクセス権を付与するなど適切に管理することが求められている。だが企業における、アイデンティティーセキュリティの成熟度はまだまだのようだ。
この記事は会員限定です。会員登録すると全てご覧いただけます。
IDやパスワードなどのアイデンティティーを狙ったサイバー攻撃が激増する中、これを保護することは企業にとって喫緊の課題となっている。
だが、アイデンティティーセキュリティベンダーのSailPoint Technologiesが実施したグローバル調査によると、調査対象企業のうち約半数がアイデンティティーセキュリティの成熟度が最低レベルであることが明らかになった。
安全なID管理を実現するにはどうすればいいか。SailPoint Technologiesのマット・ミルズ氏(ワールドワイドフィールドオペレーション担当プレジデント)とSailPoint テクノロジーズジャパンの藤本 寛氏(社長兼本社バイスプレジデント)にグローバル調査の詳細と、アイデンティティーセキュリティ構築に向けて日本企業がやるべきことを聞いた。
──アイデンティティーセキュリティについてあらためて教えてください。
マット・ミルズ氏(以下、ミルズ氏): アイデンティティーセキュリティとは、従業員や契約社員のID、botのIDを含む自社のデジタルアイデンティティーにおいて、適切なタイミングで適切なテクノロジーへのアクセスを可能にすることです。
近年、デジタルアイデンティティーと導入するテクノロジーが急激に増加したことで、適切に管理すべきテクノロジーアクセスポイントが何十万にも上り、管理が複雑化の一途をたどっています。テクノロジーへのアクセスニーズを人手で適切に管理することが困難な企業もあります。また、セキュリティを犠牲にせずに、ビジネスを継続するために必要なアクセス権の付与を実現することも求められています。
つまり、アイデンティティーセキュリティは企業にとって最優先事項であり、現在ではビジネスに不可欠でエンタープライズセキュリティの根幹を成すものだと認識されつつあるのです。
──グローバル調査の概要を教えてください。
ミルズ氏: グローバル調査は世界各国の企業幹部350人を対象としており、調査データを抽出することで企業によるアイデンティティーセキュリティの取り組みに関する現状と全体的な方向性を明らかにする目的があります。
調査を通じて、戦略や技術力、オペレーションモデル、人材に関する回答を得るとともに、これらの項目について50以上の能力を検証しています。その結果を5段階に分類、同等の能力を持つ企業をグループ化しました。聞き取り調査では業界の専門家の協力を得て、各段階の能力を定義。各項目の回答をk平均法(注)によるクラスタリングを実施し、成熟度が最も低い段階から最も高い段階まで5つに分類しました。調査対象が銀行やヘルスケア、ハイテク、小売など、幅広い業種にわたっていることも特筆すべき点となっています。
(注)k平均法:サンプルデータをいくつのクラスタに分けるかを事前に指定し、指定したクラスタ数(k個)に基づきサンプルを分割するという方法
ミルズ氏: アイデンティティーセキュリティの成熟度レベルを5段階に分類したものは下記の通りです。
ミルズ氏: グローバル調査では企業が管理・保護する必要のあるアイデンティティーの種類についても調べています。セキュリティ確保が必要なのは、もはや人間のアイデンティティーだけではありません。アイデンティティーはユーザー認証情報をはるかに超えており、企業はマシンIDや顧客、従業員、契約・派遣社員、パートナーなどのアイデンティティーも保護する必要があるからです。
──グローバル調査結果の概要を教えてください。
ミルズ氏: アイデンティティーの現状を分析したところ、グローバル企業の45%が第1段階にあることが判明しました。このような企業にとって、アイデンティティーは断片的な体験であり、手作業が多く発生します。
第2段階のグローバル企業は約29%で、ある程度のアイデンティティー機能を備えていますが、依然として手作業が残っており、問題が起きてから対応することが多く、アイデンティティーの道のりの初期段階にすぎません。
第3段階のグローバル企業は約20%で順調な進展がうかがえます。この段階ではアイデンティティープログラムがデジタル化されつつあり、規模も拡大して組織全体への導入が進み、ある程度の自動化とアイデンティティーの拡張がクラウドやデータガバナンスにまで広がっています。
第4段階は現時点においてグローバル企業の6%のみです。この段階はアイデンティティープログラムがビジネス変革やイノベーション、セキュリティレジリエンスのための戦略的な基盤となっています。リスク予測に基づき意思決定するAlによる高度に自動化された機能、ほとんどのアイデンティティー(労働力、ビジネスネットワークなど)と環境(データ、クラウド、APIなど)にまたがる機能、製品主導のオペレーションモデル、明確な製品所有権を持つアジャイルチーム、アイデンティティーイノベーション専門のアイデンティティーチームなどを有します。
最終目標となるのが第5段階です。この段階では、IAM戦略が企業の広範なイノベーション戦略の柱となります。このレベルの企業はサイバー攻撃への迅速な対応と復旧によるサイバーレジリエンス、ビジネスの運営と継続性の確保など、言うまでもなく全面的に最大のメリットを手にすることになります。
アイデンティティーの種類については、平均的な企業ではマシンIDが全IDの43%を占め、顧客(31%)、従業員(16%)と続きます。これらの結果は向こう3〜5年の成長予測と一致しています。すなわちID総数は14%増加し、特にマシンおよび顧客IDは最も速いペースで成長する見通しです。これはアイデンティティーセキュリティの全体像を理解する上で重要です。
Copyright © ITmedia, Inc. All Rights Reserved.