なぜ日本企業はID管理が進まないのか？ 構造的な課題に切り込む

セキュリティやガバナンスの観点からID管理の重要性が高まっている。一方でこの分野は欧米と比較すると日本企業は遅れているのが現状だという。その真因には日本企業特有の課題が存在した。

[宮田健，ITmedia]

　ランサムウェアをはじめとするサイバー攻撃が激化し、セキュリティ対策は喫緊の課題となっている。その対策として、多くの組織でエンドポイントを守るためのEDR（Endpoint Detection and Response）製品が導入されているが、CyberArk Software（以下、CyberArk）の日本法人で執行役社長を務める柿澤光郎氏は、この部分に新たな視点が必要だと主張している。

CyberArkの日本法人で執行役社長を務める柿澤光郎氏（筆者撮影）

　柿澤氏は2024年5月にCyberArkの日本法人の執行役社長に就任した。それまでもImperva Japanの代表執行役社長をはじめ、日本マイクロソフトや、Juniper NetworksおよびSymantecの日本法人で要職を歴任している。ネットワークやIT、サイバーセキュリティの分野で長くキャリアを積んできたキーパーソンだ。

　本稿では、サイバー攻撃の現状を踏まえ「特権ID管理」の重要性やマシンIDの増加に伴う新たなリスク、ID管理における日本企業特有の課題を踏まえてID管理のあるべき姿を考察する。

「データ」と「ID」さえ守ればサイバー攻撃の8〜9割は防げる？

――ランサムウェア攻撃が激化し、企業にとってセキュリティ対策は急務となっています。現状を踏まえつつ、2025年に向けたアイデンティティーセキュリティの展望と特権ID管理の重要性をあらためてお聞かせください。

柿澤氏：　もともと特権IDというのはニッチな分野だと思っています。ただ、特権IDはこれまでIT管理者など限られた人のみが使用するものでしたが、働き方の変化に伴い、一般の従業員も重要なリソースにアクセスする機会が増えています。

　例えば、従業員が顧客情報にアクセスするといったケースが挙げられます。IT管理者だけでなく、さまざまな従業員にも特権を持たせるようになりました。このような状況下では、従来の特権ID管理だけでなく、一般の従業員も含めたIDセキュリティ対策が不可欠になっています。

　世の中における特権ID管理というと、複雑だと思われたり導入が難しいものだと思われたりしています。セキュリティ対策といえば、EDRのようなエンドポイントセキュリティや、SASE（Secure Access Service Edge）といった「ネットワークセキュリティ」に注目が集まっています。しかし本当に守るべきものは「データ」そして「ID」ではないでしょうか。私自身は、この2つをしっかり守ればサイバー攻撃の8〜9割は対応できるのではないかと考えています。

――ID管理においてCyberArkは「ヒューマンID」と「マシンID」の2つに着目しています。それぞれの現状と課題について教えてください。

柿澤氏：　SaaSや生成AIなどの普及に伴い、ヒューマンID、つまり人にひも付いたIDに加えて、マシンIDの管理が重要になりました。マシンIDは、APIやアプリケーション、クラウドサービスなどに付与されるIDのことで、これらが増加する今、管理が大きな課題になっています。当社は2024年10月にVenafiというマシンIDセキュリティの会社を買収し、ヒューマンIDとマシンIDの両方に対応できるソリューションを提供する方針です。

――マシンIDの管理にはどのような課題があるのでしょうか。

柿澤氏：　アプリケーションに付与されたID／パスワードが長期間変更されずに放置されているケースや、証明書管理が徹底されていないケースなどが挙げられます。ある製造業や金融機関では、マシンIDがシステムごとに管理されており、パスワードローテーションも実施されていないという状況でした。

　当社は、マシンIDを狙ったサイバー攻撃は今後増加すると見立てています。例えばアプリケーションなどにひも付けられたID／パスワードが盗まれ、クラウドサービス全体に影響を及ぼすような事件が発生する可能性があります。

　マシンIDは、ヒューマンIDの45倍も存在すると言われています。今後、AIエージェントにもIDが付与されるようになると、マシンIDの数はさらに爆発的に増加するでしょう。サイバー攻撃のリスクが高まる今、これらのIDをどのように管理するかが、新たな課題として浮上してきているのです。

　ただ、ヒューマンIDについても重要です。従来、ヒューマンID管理はガバナンスや監査の観点が重視されていました。しかし近年では、グローバルでガバナンスを効かせていきたいというニーズや、認証だけでなく認可を含めてセキュリティの観点からこれを見直す動きが増えています。やはり必要なのは、異常なアクセスがあったときにそれを止められるかという観点。そこまで含めてID管理をすることが、顧客の中でも理解されつつあります。実際、メガバンクや大手製造業でもPAM（Privileged Access Management）ソリューションの導入など、IDセキュリティへの需要が高まっています。

日本企業が抱えるID管理の構造的な課題

――ID管理における日本企業特有の課題とは何でしょうか。

柿澤氏：　日本企業では縦割り構造で事業部ごと、システムごとにIDが管理されており、横串で統合されていないケースが多くあります。この結果、グローバルでID管理のガバナンスを効かせられていない企業が大半です。サイバーセキュリティは投資だという話もありますがむしろ「経営課題」と捉える必要があります。そのために、企業はセキュリティ・バイ・デフォルトの考え方を取り入れるべきです。

　では、なぜID管理を横串で統合できないのかというと、組織のID管理を一手に引き受ける専任担当者や責任者がいないのが原因です。さらにいうと、CIO（最高情報責任者）やCISO（最高情報セキュリティ責任者）の権限が欧米に比べて低いのも問題です。権限がないので各部署をまとめられず、組織を横断したID管理を実現するのが困難になっているわけです。

　日本企業はITシステムの構築や運用をパートナー企業に依存する傾向が強いですが、SaaSの普及によってベンダーと直接やりとりする機会が増えてきています。今後は、自社でIT人材を育成し、システム導入や意思決定を迅速に実行する体制を構築することが重要になるでしょう。

　このためには国レベルでの取り組みも重要です。政府がリーダーシップを発揮し、サイバーセキュリティに関する人材育成を推進する必要があります。同時に早期の教育も重要です。高校や大学などの教育現場で、サイバーセキュリティに関する教育を充実させるべきです。サイバーセキュリティ人材の待遇を改善することも、人材育成のモチベーションになるでしょう。官民との人材交流をはじめ、人材の流動性も必要という話もあるかと思います。

　この他、多くの日本企業はネットワークセキュリティ対策からセキュリティを始めた結果、IDへのアクセスだけに着目しており、IDそのものを守るという視点がごっそり抜けていることも大きな問題だと思っています。当社としてもIDを守ることを“一丁目一番地”として考えてもらうための啓発活動は続けていかなければならないと思っています。

CyberArkの戦略とIDセキュリティの未来

――CyberArkの今後の展開についてお聞かせください。

柿澤氏：　当社はIGA（Identity Governance and Administration）の会社であるZilla Securityを買収し、IGA事業を強化していきます。今後は、IGAの導入を容易にするために、モダンIGAとわれわれが呼ぶ、SaaSベースでの提供を拡大する方針です。

　この他、生成AIへの対応も進めています。当社は「CyberArk CORA AI」というAIプラットフォームを開発し、ITDR（Identity Threat Detection and Response）と呼ばれる、IDに関わる脅威情報を収集・分析することで、顧客に最適なソリューションを提案できる仕組みを構築しています。今後は、このAIプラットフォームをさらに強化し、顧客への情報提供や「Splunk」などの外部システムとの連携も進める予定です。

　EDRなど導入などエンドポイントセキュリティ側での対策ももちろん重要ですが、それだけでは守れないということも多くの方が理解しつつあります。同時にID管理、そしてデータセキュリティも組み合わせることが、サイバーセキュリティ対策の基礎となるでしょう。

――ありがとうございました。