自社のアイデンティティー管理は万全？ 成熟度を測る6つの質問（2/2 ページ）

クレデンシャル情報を狙ったサイバー攻撃が増加する今、これらの情報を保護しつつ、アクセス権を付与するなど適切に管理することが求められている。だが企業における、アイデンティティーセキュリティの成熟度はまだまだのようだ。

[吉田育代，ITmedia]

パスワード対応やログイン問題は効果的なID管理によって解決可能

──企業がアイデンティティーセキュリティを強化することでどのようなメリットが得られるのでしょうか？

ミルズ氏：　アイデンティティーセキュリティは今日の企業にとって明らかに最重要項目であるべきですが、今回の調査ではより優れたID管理によって、大きな変化をもたらすさまざまな方法が明らかになりました。一例を挙げると、ヘルプデスクへの問い合わせの50％がパスワードに関するものであり、IT担当者の貴重な時間が雑多な業務によって浪費されていますが、これはパスワードレスアクセスなどの最新のIDおよびアクセス管理ソリューションによって解消可能です。

　また調査によると、顧客の58％がログイン時のトラブルで購入を断念しており、優れたユーザー体験のためであれば、より高い金額を支払う意思がある顧客は86％に達します。これはIDが単なるセキュリティツールではなく、顧客やパートナーのビジネスへの関わり方を向上させる手段であるという事実を浮き彫りにしています。

　アイデンティティーセキュリティは、セキュリティの枠をはるかに超えて広がっています。ID数が急増してパスワードレスアクセスや自動プロビジョニングなどのアプリケーションがより便利で身近なものになるにつれ、効果的なID管理の必要性は高まっています。アイデンティティーセキュリティに取り組み始めたばかりの企業、あるいは取り組みが順調に進んでいる企業にとって、この分野における市場の現状と将来性を理解することは非常に重要です。

日本企業はID管理複雑化への対応に遅れ　経営課題としての認識が必要

──一方で日本企業については、アイデンティティーセキュリティの成熟度を高める上で、どのような課題があるとお考えでしょうか？

藤本 寛氏（以下、藤本氏）：　大企業は非常に多くのクラウドサービスやオンプレミスシステムを利用しています。多くの企業はこれらのシステムを効率的、かつ安全に使用するためにシングルサインオンや多要素認証などの導入を進めています。

　しかしセキュリティという観点では、「個人が持つ全てのアイデンティティーがどのようなアクセス権を持っているのか」「それらのアイデンティティーが実際にどのようなアクセスをしているのか」を全社的に把握することも非常に重要です。多い企業では1000を超えるシステムが利用されている環境下でそれぞれのシステムにアイデンティティー管理が委ねられてしまっていては、全社的な管理が複雑化することは避けられないでしょう。

　統合ID管理製品などを導入し、個々のシステムのIDを集約してデータベース化している企業も見受けられます。しかしこうした企業でも、クラウドのような新たな技術が続々と企業内に追加されている環境において、ダイナミックかつタイムリーに全てのアイデンティティーを適切な状態を維持するための可視化と自動化ができているかどうか、という観点においては成熟度はまだ低いと思われます。

　アイデンティティーセキュリティの成熟度を高めるにはこれを経営課題として認識し対策を検討すべきです。現状はこの領域を積極的に推進、リードする部門が不明確になっている、あるいは十分な権限を与えられていない部門が多く、これが大きな課題になっていると思います。アイデンティティーセキュリティを企業のデジタル戦略を実行するために必要不可欠な基盤として実施するためには、経営層が理解してこの課題への対策を講じることが重要です。

──アイデンティティーセキュリティ強化に向けて、日本企業がまずやるべきことは何でしょうか？

藤本氏：　まず、自社内および自社システムを利用する全てのアイデンティティーに関して現状を把握することが必要です。例えば以下のような問いかけに回答できるでしょうか。

【アイデンティティー視点】

• 所有者が不明なIDを即座に判別できますか？
• 業務上の役割とアクセス権限に乖離がありそうな異常なIDをすぐに見つけられますか？
• アイデンティティーに与えられた権限がどのように承認されたか分かりますか？

【システム、アプリケーション視点】

• 導入された新しいアプリケーションにアクセスできるようにすべきですか？
• 既存、新規を問わず必要な権限をタイムリーに付与できていますか？
• その権限は恒久的なものにすべきか、特定の期間に限定すべきか判断できていますか？

　もしこれらの問いかけに対して、答えられないということであれば、リスクの想定ができないだけでなく、何らかの事象が発生した際の説明責任を果たせない可能性が高く、アイデンティティー管理について包括的に管理する役割、組織の準備をする検討も進めた方がよいでしょう。

デジタルビジネス基盤としてのアイデンティティーセキュリティ普及に注力

──2022年の振り返りおよび2023年の抱負をお聞かせください。2023年度、企業のアイデンティティーセキュリティ強化のためにSailPointとして特に注力すべきことは何ですか？

藤本氏：　2022年は日本市場でのアイデンティティーガバナンスについて日本企業との対話を重ねながら、Webサイトでの情報発信強化、パートナー協業の強化などを通して、顧客支援体制の構築をしてきました。おかげで、Webサイト訪問者は前年比で16倍に増加しました。また、近年要望の高まっている日本のデータセンターも設立して、サービス提供を強化しています。

　2023年で注目しているのは、日米安全保障協議委員会共同発表やソフトウェアサプライチェーンといった国内外、企業内外にわたる動きです。SailPointとしては、海外ユーザー事例の先進的な取り組みや、国内ユーザー事例の現実的な取り組みなどを積極的に情報提供していきます。

　ID情報をバッチ的に集約するID管理から、業務に適した権限をタイムリーに渡しつつ、危険な権限については即座に無効化できるダイナミックなアイデンティティーセキュリティの構築支援を国内外を問わずしていきます。”アイデンティティーは新たな境界線である”というのが、当社のメッセージです。

──本日はありがとうございました。