MFA導入で終わってない? 盤石なID管理に向けて“本当に”取るべき対策:Cybersecurity Dive
自社のIDセキュリティは十分なのか。他社はID管理にどのように取り組んでいるのか。Cisco Systemsが公開した調査レポートから企業のID管理の実態が明らかになった。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Cisco Systemsのクラウド型認証サービス「Cisco Duo」は2025年8月26日(米国時間)、同サービスのブログで調査結果を公開した(注1)。それによると、企業はID管理システムを標的としたサイバー攻撃に懸念を抱く一方、自社のID管理システムに存在する脆弱(ぜいじゃく)性を十分に把握していないという実態が明らかになった。
どうなってる? 自社のIDセキュリティ
この内容は、北米と欧州のITおよびセキュリティ部門のリーダー650人へのインタビューを基にした調査レポート「2025 State of Identity Security: Challenges and Strategies from IT and Security Leaders」に詳しくまとめられている。
調査結果によると、「自社が利用しているID管理システムを使えば、サイバー攻撃を防げると自信を持っている」と答えた回答者は全体の33% だった。回答者の69%は、「ID管理システムの脆弱性について十分把握し切れていない」と回答した。
回答者の94%は、「自社のID管理システムの複雑さによって、システムの保護が困難になっている」と答えた。回答者が所属する企業では、平均5つのID管理システムを利用していることも分かった。
ソフトウェアの脆弱性は、ハッカーが侵入するための一般的な手段であり続けている。その一方、国家レベルで確保されたは、ユーザーの認証情報を盗み、それを使ってユーザーになりすまし、標的のネットワークにログインする手法を多用している(注2)。2020年に発覚した監視ツールベンダーSolarWindsの事例では、攻撃者が同社のネットワーク監視ツール「Orion」のアップデートに悪意のあるバックドア(システムに不正に侵入するための入り口)を仕掛けた。さらに、正当な認証トークンを偽造し、管理者権限でクラウドサービス群「Microsoft Azure」の運用環境にアクセスできるようにした(注3)。IDセキュリティ(注4)はセキュリティ分野で重要性を増す領域となっている。
一方、IT部門の担当者の中にはITインフラを構築する際、IDセキュリティを十分に考慮していない場合がある。調査レポートによると、「ITインフラの構築時、IDセキュリティを後回しにする」と答えた回答者は74%に上った。
管理し切れていないIDもリスクに
調査レポートによると、69%の回答者が「ID管理システムの脆弱性について十分把握し切れていない」と答えた。この結果について、「組織が管理し切れていない特権アカウントや一般アカウントは死角となり、攻撃の足掛かりになる。セキュリティ体制に重大な欠陥がある状態でもある」と同レポートは指摘している。
米Informa TechTarget傘下の調査部門Omdiaアナリストのトッド・ティーマン氏(エンタープライズストラテジーグループ主任)は、管理が行き届かないアカウントの存在を「深刻な問題」だと説明している。
ティーマン氏はさらに、「オンプレミス環境、複数のクラウドサービスやSaaS(Software as a Service)ツールが乱立すれば、管理すべき対象は多岐にわたる。システム全体の可視化は、時間がかかる取り組みだ」と述べる。
外部委託業者が自社のシステムを利用するようになれば、ID管理の懸念はさらに拡大する。「外部委託業者に対する十分なセキュリティ管理ができていない」と答えた回答者は86% 、「自社システムへの不正アクセスを目撃した」と答えた回答者は57%だった。
企業におけるID管理の課題は他にもある。調査レポートは、高度なID管理システムだけでなく、多要素認証(MFA)をはじめとした基本的なセキュリティシステムさえ導入できていない企業があると指摘している。
調査レポートによると、スマートフォンのショートメッセージサービス(SMS)やメールによる認証方法を使わない、「フィッシング耐性のあるMFAを使っている」と答えた回答者は全体の87%だった。一方、「自社のフィッシング対策に自信を持っている」と答えた回答者の割合は30%にとどまった。フィッシング耐性のあるMFAを導入する障壁は、「研修やトレーニングの実施」(53%)に続いて「ハードウェアの購入や維持に掛かる費用」(46%)が上がった。
よい兆しもあった。セキュリティ予算の権限を持つ意思決定者の82%は、「IDセキュリティの予算を増やした」と回答した。ID管理を担うチームにとっては「追い風」が吹いていることが示唆されている。
(注1)Research insights: 4 trends reshaping identity security in 2025(Cisco Systems)
(注2)Credential Theft Becomes Cybercriminals' Favorite Target(DARKREADING)
(注3)Echoes of SolarWinds in New 'Silver SAML' Attack Technique(DARKREADING)
(注4)Why identity is the new perimeter and how to defend it(TechTarget)
© Industry Dive. All rights reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- サイバー戦争は認知空間が主戦場に? 「詐欺被害額が1年で倍増」を招いた裏事情
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ソニー、AWSのAI基盤で推論処理300倍増へ ファンエンゲージメントはどう変わる?
- Microsoft 365の値上げが訴訟 Copilotの抱き合わせ販売問題が再燃
ITmediaはアイティメディア株式会社の登録商標です。