自社のアイデンティティー管理は万全？ 成熟度を測る6つの質問（1/2 ページ）

クレデンシャル情報を狙ったサイバー攻撃が増加する今、これらの情報を保護しつつ、アクセス権を付与するなど適切に管理することが求められている。だが企業における、アイデンティティーセキュリティの成熟度はまだまだのようだ。

[吉田育代，ITmedia]

　IDやパスワードなどのアイデンティティーを狙ったサイバー攻撃が激増する中、これを保護することは企業にとって喫緊の課題となっている。

　だが、アイデンティティーセキュリティベンダーのSailPoint Technologiesが実施したグローバル調査によると、調査対象企業のうち約半数がアイデンティティーセキュリティの成熟度が最低レベルであることが明らかになった。

　安全なID管理を実現するにはどうすればいいか。SailPoint Technologiesのマット・ミルズ氏（ワールドワイドフィールドオペレーション担当プレジデント）とSailPoint テクノロジーズジャパンの藤本 寛氏（社長兼本社バイスプレジデント）にグローバル調査の詳細と、アイデンティティーセキュリティ構築に向けて日本企業がやるべきことを聞いた。

アイデンティティーセキュリティの成熟度は5段階ある

──アイデンティティーセキュリティについてあらためて教えてください。

マット・ミルズ氏（以下、ミルズ氏）：　アイデンティティーセキュリティとは、従業員や契約社員のID、botのIDを含む自社のデジタルアイデンティティーにおいて、適切なタイミングで適切なテクノロジーへのアクセスを可能にすることです。

　近年、デジタルアイデンティティーと導入するテクノロジーが急激に増加したことで、適切に管理すべきテクノロジーアクセスポイントが何十万にも上り、管理が複雑化の一途をたどっています。テクノロジーへのアクセスニーズを人手で適切に管理することが困難な企業もあります。また、セキュリティを犠牲にせずに、ビジネスを継続するために必要なアクセス権の付与を実現することも求められています。

　つまり、アイデンティティーセキュリティは企業にとって最優先事項であり、現在ではビジネスに不可欠でエンタープライズセキュリティの根幹を成すものだと認識されつつあるのです。

──グローバル調査の概要を教えてください。

ミルズ氏：　グローバル調査は世界各国の企業幹部350人を対象としており、調査データを抽出することで企業によるアイデンティティーセキュリティの取り組みに関する現状と全体的な方向性を明らかにする目的があります。

　調査を通じて、戦略や技術力、オペレーションモデル、人材に関する回答を得るとともに、これらの項目について50以上の能力を検証しています。その結果を5段階に分類、同等の能力を持つ企業をグループ化しました。聞き取り調査では業界の専門家の協力を得て、各段階の能力を定義。各項目の回答をk平均法（注）によるクラスタリングを実施し、成熟度が最も低い段階から最も高い段階まで5つに分類しました。調査対象が銀行やヘルスケア、ハイテク、小売など、幅広い業種にわたっていることも特筆すべき点となっています。

（注）k平均法：サンプルデータをいくつのクラスタに分けるかを事前に指定し、指定したクラスタ数（k個）に基づきサンプルを分割するという方法

ミルズ氏：　アイデンティティーセキュリティの成熟度レベルを5段階に分類したものは下記の通りです。

• 第1段階：最も遅れている状態です。この段階ではアイデンティティー戦略や運用モデル、ソリューション開発に必要な能力が欠けています。
• 第2段階：アイデンティティー管理プログラムを立ち上げたものの、ほとんどマニュアル（手作業）で実施している状態です。この段階では、経営陣がアイデンティティープログラムに注目するのはコンプライアンスやセキュリティ侵害、ビジネス変革など、何らかの外的圧力に対する戦術的な対応である可能性が高いです。このようなグループの企業はツールを購入し始めているかもしれませんが、普及率が低く社内であまり賛同を得られていません。集中管理されたアイデンティティーアクセス管理（IAM）機能は単なるヘルプデスクにすぎない可能性が高いです。
• 第3段階：アイデンティティープログラムのデジタル化および規模が拡大され、会社全体に幅広く普及している状態です。この段階におけるアイデンティティー戦略は、ビジネスの価値や影響に関する指標と結び付いています。こうした企業における集中型の運用モデルは、特定のツールに結びついた機能を中心に構成されており、このツール中心の設計が導入と保守を推進します。
• 第4段階：先進的なデジタルツールや予測技術を活用しており、アイデンティティープログラムはビジネスの変革やイノベーション、強靭なセキュリティのための戦略的要素となっています。プログラムは高度に自動化されており、AI（人工知能）のリスク評価予測に基づいて意思決定を行います。データやクラウド、APIなどの環境に加えてサプライヤーやビジネスパートナーなど、労働力とビジネスネットワークにおけるほとんどのアイデンティティーに対応しています。専任のエンジニアチームがアイデンティティーに注力し、担当者が分析を実施し、オピニオンリーダーの役割を果たしています。
• 第5段階：今回の調査において最も進んだ状態にあるグループです。この段階では拡張／統合されたアイデンティティーによって、企業のアイデンティティー管理と外部のアイデンティティーエコシステムの境界が曖昧になっています。IAM戦略は他社や開発者コミュニティー、公的機関などとのエコシステムを超えたコラボレーションを可能にする運用モデルであるため、企業にとってより広範なイノベーションの柱となっています。この段階では、動的なセキュリティトラストモデル、ユニバーサルIDフレームワーク、フリクションレスアクセスと統合されたアイデンティティーをサポートする技術的能力があります。この段階はアイデンティティーの未来に最も近いと考えられます。

ミルズ氏：　グローバル調査では企業が管理・保護する必要のあるアイデンティティーの種類についても調べています。セキュリティ確保が必要なのは、もはや人間のアイデンティティーだけではありません。アイデンティティーはユーザー認証情報をはるかに超えており、企業はマシンIDや顧客、従業員、契約・派遣社員、パートナーなどのアイデンティティーも保護する必要があるからです。

グローバル企業の45％が手作業に頼る第1段階にとどまっている

──グローバル調査結果の概要を教えてください。

ミルズ氏：　アイデンティティーの現状を分析したところ、グローバル企業の45％が第1段階にあることが判明しました。このような企業にとって、アイデンティティーは断片的な体験であり、手作業が多く発生します。

　第2段階のグローバル企業は約29％で、ある程度のアイデンティティー機能を備えていますが、依然として手作業が残っており、問題が起きてから対応することが多く、アイデンティティーの道のりの初期段階にすぎません。

　第3段階のグローバル企業は約20％で順調な進展がうかがえます。この段階ではアイデンティティープログラムがデジタル化されつつあり、規模も拡大して組織全体への導入が進み、ある程度の自動化とアイデンティティーの拡張がクラウドやデータガバナンスにまで広がっています。

　第4段階は現時点においてグローバル企業の6％のみです。この段階はアイデンティティープログラムがビジネス変革やイノベーション、セキュリティレジリエンスのための戦略的な基盤となっています。リスク予測に基づき意思決定するAlによる高度に自動化された機能、ほとんどのアイデンティティー（労働力、ビジネスネットワークなど）と環境（データ、クラウド、APIなど）にまたがる機能、製品主導のオペレーションモデル、明確な製品所有権を持つアジャイルチーム、アイデンティティーイノベーション専門のアイデンティティーチームなどを有します。

　最終目標となるのが第5段階です。この段階では、IAM戦略が企業の広範なイノベーション戦略の柱となります。このレベルの企業はサイバー攻撃への迅速な対応と復旧によるサイバーレジリエンス、ビジネスの運営と継続性の確保など、言うまでもなく全面的に最大のメリットを手にすることになります。

調査企業のうち45％が第1段階。第4段階まで進んでいる企業は6％だった（出典：SailPoint テクノロジーズジャパン提供資料）

　アイデンティティーの種類については、平均的な企業ではマシンIDが全IDの43％を占め、顧客（31％）、従業員（16％）と続きます。これらの結果は向こう3〜5年の成長予測と一致しています。すなわちID総数は14％増加し、特にマシンおよび顧客IDは最も速いペースで成長する見通しです。これはアイデンティティーセキュリティの全体像を理解する上で重要です。