約半数の企業は“初期段階” アイデンティティーセキュリティに関する調査が公開

SailPointテクノロジーズジャパンは企業のアイデンティティーセキュリティの成熟度に関する調査結果をまとめた「アイデンティティー セキュリティ調査レポート 2023」を発表した。調査から約半数は成熟度の初期段階にいることが分かった。

[田渕聖人，ITmedia]

　SailPointテクノロジーズジャパンは2024年4月16日、企業のアイデンティティーセキュリティの成熟度に関する調査結果をまとめた年次レポート「アイデンティティー セキュリティ調査レポート 2023」を発表した。

　イニシャルアクセスブローカーといったアイデンティティーを狙ったサイバー攻撃者の出現や内部不正による情報漏えいなどのリスクの増加を背景に、企業内の全てのアイデンティティーを可視化し、統合管理するアイデンティティーガバナンス管理（IGA）の必要性が高まっている。これに対して、企業の取り組みはどこまで進んでいるのだろうか。

企業の約半数は初期段階　推進を阻む“壁”とは？

　同レポートは、AccentureとSailPoint Technologies（以下、SailPoint）が共同で作成し、北米や中南米、欧州、アジアのグローバル企業で、サイバーセキュリティ関連の責任を担う経営幹部375人以上を対象とした調査結果をまとめたものだ。

　アイデンティティーセキュリティとは、従業員や契約社員のID、botのIDを含む自社のデジタルアイデンティティーにおいて、適切なタイミングで適切なテクノロジーへのアクセスを可能にすることだ。これは近年話題になっているIDaaS（IDentity as a Service）製品などの導入のみならず、アイデンティティーの管理から破棄までの一連のライフサイクルを適切に運用できることを指す。

　調査から、約半数の企業がアイデンティティーセキュリティの初期段階にある他、多くのセキュリティ担当者がアイデンティティーが持つビジネス価値の効果的な伝え方に苦戦していることが明らかになった。

　同レポートは戦略や人材、運用モデル、技術力に基づいて企業のアイデンティティーセキュリティの成熟度を5段階に分類した。成熟度の詳細は以下の通りだ。

• 第1段階：　成熟度が最も低い。デジタルアイデンティティーの取り組みを可能にするための戦略と技術が欠けている
• 第2段階：　ある程度のアイデンティティー技術を導入しているが、手作業への依存度が依然として高い
• 第3段階：　アイデンティティー管理の規模が拡大しており、組織全体でより広範に普及している
• 第4段階：　大規模に自動化しており、デジタルアイデンティティーを強化するためにAIを利用している
• 第5段階：　アイデンティティーの未来の姿に最も近い状態。企業のアイデンティティーコントロールと外部のアイデンティティーエコシステムの境界が曖昧（あいまい）になり、次世代の技術革新においてアイデンティティーがビジネスをサポートする

　調査によると、企業の44％が上記の成熟度で第1段階に属しており、第5段階に至っている企業は1％未満だ。

アイデンティティーセキュリティの成熟度は、44％の企業が第1段階にいる（出典：SailPointテクノロジーズジャパン提供資料）

　アイデンティティーセキュリティを推進する上での障壁についても聞いたところ、回答者の91％が予算の制約を、85％がスキルを持つ技術者の不足を、77％が経営幹部のサポートが限定的であることを挙げた。

アイデンティティーセキュリティの成熟度で言うと第1段階にいる（出典：SailPointテクノロジーズジャパン提供資料）

　SailPointのクリス・ゴセット氏（Senior Vice President of Technology Services）は、この結果について「アイデンティティーセキュリティの持つビジネス価値を経営幹部に伝えられないことがこの課題につながっている。アイデンティティーセキュリティの推進においては、戦略的な優先順位と価値主導型の経営幹部の考え方に沿った、経営幹部向けのビジネスケースを構築する必要がある」と指摘した。

　ではアイデンティティーセキュリティのビジネス価値とは何か。ゴセット氏は「ビジネスの俊敏性とイノベーション」「技術的イニシアチブと組織的イニシアチブの推進」「効率性の向上」「リスクの軽減とコンプライアンスの実現」の4つを挙げ、これらがいかにビジネス価値向上に役立ったかを定量的に説明することが重要だと語る。

価値の定量化の例。アイデンティティーセキュリティを適切に講じることでランサムウェアによる身代金支払いを阻止し、300万ドルを超える損失が発生するリスクを回避できた（出典：SailPointテクノロジーズジャパン提供資料）

アイデンティティーセキュリティの鍵を握るのは

　この他、同調査では成熟度が第3段階または第4段階にいる企業がアイデンティティーセキュリティにおいてML（機械学習）を含むAIを積極的に活用していることも分かった。これらの企業はAIソリューションを活用することで動的な認証モデルを構築し、アジリティーを大幅に向上させることでビジネスの成長につなげている。

　調査によると、アイデンティティーセキュリティにおいてSaaSやAI、自動化機能を活用する企業は、そうでない企業と比べて10〜30％早くビジネス成長を遂げるとともに、活用できる機能や能力が増えることでセキュリティ投資から得られる価値も高まることが分かったという。

　さらに、自動化とAI機能を活用したアイデンティティープラットフォームを利用することで、AIを活用していない企業と比較して最大37％速いスピードでアイデンティティー関連の業務を処理できることも判明した。

AIの活用によって最大37％速いスピードでアイデンティティー関連の業務を処理できる（出典：SailPointテクノロジーズジャパン提供資料）

　SailPointテクノロジーズジャパンの藤本 寛氏（社長　兼　本社バイスプレジデント）は「経営幹部の間ではアイデンティティーセキュリティへの期待は高まっているが、短期的にリターンを得られなかったり、直接的に収益につながるものではなかったりすることから導入が進んでいないと思われる。まずはビジネス価値につながることを定量的に示せる材料を用意してシミュレーションすることが重要だ」とコメントした。