SailPointテクノロジーズジャパンは、アイ・ティ・アール(以下、ITR)と「企業におけるセキュリティおよびアイデンティティ・ガバナンス実態調査2023」を実施し、その結果をまとめた調査レポート「デジタル&サステナブル時代に求められるアイデンティティ・ガバナンス」を発表した。
同調査レポートでは、調査結果を「企業IT・アイデンティティ・セキュリティ全般」「SaaS/IaaS」「非構造化データ」「非正規社員」の4つの領域について、直面する課題に企業がどう取り組んでいるかについて解説しているという。
調査概要
- 実施期間:2023年9月25日~27日
- 調査方法:ITRの独自パネルを対象としたインターネット調査
- 調査対象:国内企業(ITベンダー、システムインテグレーター、官公庁・公共を除く)において、自社のIT戦略またはアイデンティティ/セキュリティ/アクセス管理に関与している部次長以上の役職者・役員並びに経営者
- 有効回答数:324件
企業IT・アイデンティティ・セキュリティ全般
過去12ヵ月間に投資額を上昇したテクノロジーとして企業が選択したものは、「セキュリティツール」(回答企業の58%)、「クラウドサービス:IaaS」および「SaaSアプリケーション」(ともに44%)が上位を占めた。企業の脱レガシー化の流れの中で、SaaSおよびPaaSのクラウドサービスが進展するにともない、投資についても堅調な増加が示されたといえる。
一方で、「過去12ヵ月は違反・情報漏洩がない」と回答した企業は、前年(2022年)調査から5ポイント減少し、今回の調査では20%となった。つまり、回答企業の80%が、アイデンティティ・アカウントに関する情報漏洩を経験していることになり、情報漏洩対策がクラウド利用拡大の趨勢に追いついていない状況が垣間見えるという。
![図1:過去12ヵ月間のアイデンティティ・アカウントに関する情報漏洩(複数回答)<br/>[画像クリックで拡大表示]](http://ez-cdn.shoeisha.jp/static/images/article/19118/19118_01.png)
[画像クリックで拡大表示]
Software as a Service/Infrastructure-as-a-Service
基幹系業務システムのSaaS化の進展が見込まれるなか、SaaS環境で解決すべき最大の課題は、前年に引き続き、「全てのユーザーアクティビティと全てのデータアクセスに対する可視性の欠如」(31%)となり、引き続きアイデンティティ・アクセス権限そのものの課題が主要な解決テーマであることが確認された。
![図2:SaaS環境で最も解決すべき課題<br/>[画像クリックで拡大表示]](http://ez-cdn.shoeisha.jp/static/images/article/19118/19118_02.png)
[画像クリックで拡大表示]
また、IaaS環境全体のアクセス管理に関連して、「全てのクラウドプラットフォームへのアクセスの全体像が見えない」(40%)「ガバナンス要件の実施が困難(アクセス権のレビュー、職務分離のチェック、自動化されたライフサイクル管理)」(40%)といった課題を抱えると回答した企業が4割となっている。「IaaSのアクセス管理における難問はない」と回答した企業は僅か2%にとどまっており、クラウド投資が拡大するにともない、システム全体に散在するアクセス権限および職務権限分離を透過的に管理することに課題を抱えている状況が確認されたとしている。
![図3:IaaS環境のアクセス管理で遭遇した難問(複数回答)<br/>[画像クリックで拡大表示]](http://ez-cdn.shoeisha.jp/static/images/article/19118/19118_03.jpg)
[画像クリックで拡大表示]
非構造化データ
非構造化データを管理する上での課題は、前年調査から引き続き「データに含まれている情報が可視化されていない」(40%)が首位となった。前年と比較すると、2023年の調査では2位の「非構造化データの量の膨大さ」が5ポイント上昇し38%となる一方で、「アクセス管理における課題はない」と回答した企業は3ポイント減の8%となり、ほとんどの企業が非構造化データのアクセス権限の管理に課題を抱えていることが、改めて浮き彫りとなったという。
非構造化データに関連するインシデントでは、「データへの不正アクセス」が前年調査から3ポイント上昇して47%となり、今回3位の「コンプライアンス違反による罰則」は前年から2ポイント、4位の「データ侵害」は4ポイント上昇している。
![図4:非構造化データ管理の課題(複数回答)<br/>[画像クリックで拡大表示]](http://ez-cdn.shoeisha.jp/static/images/article/19118/19118_04.png)
[画像クリックで拡大表示]
非正規社員
働き方の多様化を受け、協力会社やパートナー、委託先などの非正規社員との協業が増加している中、約8割の企業で、非正規社員およびボットなど人以外のアクセス権管理に起因する問題が発生しているとのこと。具体的には、「リソース制御不能」と「データの喪失」が41%で首位、続いて「情報漏洩」が3位となっており、3社に1社が「情報漏洩」を経験している。
非正規社員にアクセス権を提供している企業のうち、「正社員以外に提供されたアクセス権が、仕事上の関係が終了した後も抹消されていないことを発見したことがある」と回答した企業は68%にのぼり、業務関係が終了した後のアクセス権の削除方法が「完全に自動化されたプロセス」であると回答した企業は22%と少数にとどまるなど、手作業への依存や従事者への負担が大きいことがわかったという。
![図5:非従業員および人以外のアクセス権管理に起因するセキュリティ問題(複数回答)<br/>[画像クリックで拡大表示]](http://ez-cdn.shoeisha.jp/static/images/article/19118/19118_05.png)
[画像クリックで拡大表示]
【関連記事】
・塩野義製薬が約6,500人のアイデンティティ管理にSailPointを採用
・セブン銀行、従業員約1,700人のアイデンティティをSailPointソリューションで管理
・SailPointテクノロジーズジャパン、東京にサービス提供基盤を構築
