約半数の企業は“初期段階” アイデンティティーセキュリティに関する調査が公開
SailPointテクノロジーズジャパンは企業のアイデンティティーセキュリティの成熟度に関する調査結果をまとめた「アイデンティティー セキュリティ調査レポート 2023」を発表した。調査から約半数は成熟度の初期段階にいることが分かった。
SailPointテクノロジーズジャパンは2024年4月16日、企業のアイデンティティーセキュリティの成熟度に関する調査結果をまとめた年次レポート「アイデンティティー セキュリティ調査レポート 2023」を発表した。
イニシャルアクセスブローカーといったアイデンティティーを狙ったサイバー攻撃者の出現や内部不正による情報漏えいなどのリスクの増加を背景に、企業内の全てのアイデンティティーを可視化し、統合管理するアイデンティティーガバナンス管理(IGA)の必要性が高まっている。これに対して、企業の取り組みはどこまで進んでいるのだろうか。
企業の約半数は初期段階 推進を阻む“壁”とは?
同レポートは、AccentureとSailPoint Technologies(以下、SailPoint)が共同で作成し、北米や中南米、欧州、アジアのグローバル企業で、サイバーセキュリティ関連の責任を担う経営幹部375人以上を対象とした調査結果をまとめたものだ。
アイデンティティーセキュリティとは、従業員や契約社員のID、botのIDを含む自社のデジタルアイデンティティーにおいて、適切なタイミングで適切なテクノロジーへのアクセスを可能にすることだ。これは近年話題になっているIDaaS(IDentity as a Service)製品などの導入のみならず、アイデンティティーの管理から破棄までの一連のライフサイクルを適切に運用できることを指す。
調査から、約半数の企業がアイデンティティーセキュリティの初期段階にある他、多くのセキュリティ担当者がアイデンティティーが持つビジネス価値の効果的な伝え方に苦戦していることが明らかになった。
同レポートは戦略や人材、運用モデル、技術力に基づいて企業のアイデンティティーセキュリティの成熟度を5段階に分類した。成熟度の詳細は以下の通りだ。
- 第1段階: 成熟度が最も低い。デジタルアイデンティティーの取り組みを可能にするための戦略と技術が欠けている
- 第2段階: ある程度のアイデンティティー技術を導入しているが、手作業への依存度が依然として高い
- 第3段階: アイデンティティー管理の規模が拡大しており、組織全体でより広範に普及している
- 第4段階: 大規模に自動化しており、デジタルアイデンティティーを強化するためにAIを利用している
- 第5段階: アイデンティティーの未来の姿に最も近い状態。企業のアイデンティティーコントロールと外部のアイデンティティーエコシステムの境界が曖昧(あいまい)になり、次世代の技術革新においてアイデンティティーがビジネスをサポートする
調査によると、企業の44%が上記の成熟度で第1段階に属しており、第5段階に至っている企業は1%未満だ。
アイデンティティーセキュリティを推進する上での障壁についても聞いたところ、回答者の91%が予算の制約を、85%がスキルを持つ技術者の不足を、77%が経営幹部のサポートが限定的であることを挙げた。
SailPointのクリス・ゴセット氏(Senior Vice President of Technology Services)は、この結果について「アイデンティティーセキュリティの持つビジネス価値を経営幹部に伝えられないことがこの課題につながっている。アイデンティティーセキュリティの推進においては、戦略的な優先順位と価値主導型の経営幹部の考え方に沿った、経営幹部向けのビジネスケースを構築する必要がある」と指摘した。
ではアイデンティティーセキュリティのビジネス価値とは何か。ゴセット氏は「ビジネスの俊敏性とイノベーション」「技術的イニシアチブと組織的イニシアチブの推進」「効率性の向上」「リスクの軽減とコンプライアンスの実現」の4つを挙げ、これらがいかにビジネス価値向上に役立ったかを定量的に説明することが重要だと語る。
価値の定量化の例。アイデンティティーセキュリティを適切に講じることでランサムウェアによる身代金支払いを阻止し、300万ドルを超える損失が発生するリスクを回避できた(出典:SailPointテクノロジーズジャパン提供資料)
アイデンティティーセキュリティの鍵を握るのは
この他、同調査では成熟度が第3段階または第4段階にいる企業がアイデンティティーセキュリティにおいてML(機械学習)を含むAIを積極的に活用していることも分かった。これらの企業はAIソリューションを活用することで動的な認証モデルを構築し、アジリティーを大幅に向上させることでビジネスの成長につなげている。
調査によると、アイデンティティーセキュリティにおいてSaaSやAI、自動化機能を活用する企業は、そうでない企業と比べて10〜30%早くビジネス成長を遂げるとともに、活用できる機能や能力が増えることでセキュリティ投資から得られる価値も高まることが分かったという。
さらに、自動化とAI機能を活用したアイデンティティープラットフォームを利用することで、AIを活用していない企業と比較して最大37%速いスピードでアイデンティティー関連の業務を処理できることも判明した。
SailPointテクノロジーズジャパンの藤本 寛氏(社長 兼 本社バイスプレジデント)は「経営幹部の間ではアイデンティティーセキュリティへの期待は高まっているが、短期的にリターンを得られなかったり、直接的に収益につながるものではなかったりすることから導入が進んでいないと思われる。まずはビジネス価値につながることを定量的に示せる材料を用意してシミュレーションすることが重要だ」とコメントした。
関連記事
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
2024年3月に発生した日本の光学機器・ガラスメーカーHOYAのセキュリティインシデントについて、仏メディアがサイバー犯罪グループ「Hunters International」の関与を指摘した。同グループはHOYAに1000万ドルを要求しているという。 - GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
遠隔から電話などで被害者をだましてマルウェアのインストールなどに誘導する“サポート詐欺”が頻発しています。GoogleやMetaのような広告プラットフォーマーが対処に乗り出さない以上、自分たちで身を守るしかありませんが、さてどうすればいいでしょうか。 - Copilot for Securityはどう使えばいい? マイクロソフトがプロンプトの例を公開
Microsoftは2024年4月1日から「Copilot for Security」の提供を開始した。Copilot for Securityは、新しいMicrosoft Entraのスキルを搭載し、IDとセキュリティインシデントの解決を支援する。マイクロソフトはプロンプトの実例も公開した。 - 自分を“自分”であるとどう証明すればいい? 悪用が進む「当人認証」を考える
非対面で本人であることを証明するために「eKYC」をはじめとした新たな技術が登場する中、攻撃者もこれを攻略するためにあらゆる手をこまねいています。今回は「当人認証」の現在地と筆者が予測する将来を紹介します。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.