SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

ID管理だけでは足りない? “IGA”でガバナンスを確立

認証の問題はIDaaSだけでは解決しない? コロナ禍を経た今、真に求められる“統合ID管理”とは


 企業ではリモートワークを含む多様な働き方が求められている。今や各種クラウドサービスを利用するのは当たり前で、オンプレミスも含めた多様な環境を様々な場所から安全に利用したいと考えている企業も多いだろう。これらを実現するために、改めて見直していくべきなのが“ID管理”だ。コロナ禍を経て、企業におけるID管理にはどのような課題があるのか。課題を解決するにはどのようにアプローチすれば良いのか。NTTデータ先端技術 セキュリティ事業本部 セキュリティソリューション事業部 認証ソリューション担当 担当課長の福田秀紀氏に話を聞いた。

企業が抱える課題の根本はIDaaSではなく“ID管理”に

 福田氏は現場におけるSE(システムエンジニア)の経験が長く、ネットワークエンジニアや営業を経て、プロジェクトマネージャを20年余りにわたり実践してきた。現在は、NTTデータ先端技術で提供する統合ID管理ソリューション「VANADIS Identity Manager(以下、VANADIS)」のプロダクトマネージャーとしても活躍している。VANADISの案件に関わる各種システムの構築に携わり、昨年は20年の歴史があるこの製品のリニューアルプロジェクトもリードした経験を持つ。

 VANADISの開発チームは製品の開発・構築だけでなく、脆弱性を診断する仕組みや電子証明書を用いた契約書管理など、セキュリティに関連したシステムの開発も行っている。このような取り組みを行う中、最近はますます企業におけるID管理の重要性を感じると福田氏は話す。

 「特にコロナ禍以降、『ゼロトラスト』が多様な働き方に対応するためのキーワードとして注目され、ゼロトラストを契機に、セキュリティのために何を見直すのかを考える企業が多くなっています。その際に認証基盤を見直したいという要望もあり、そこにID管理も含まれます」(福田氏)

 実際、「既存の認証基盤を見直したい」との要望は増えている。しかし具体的な課題をヒアリングすると、その問題の根本は認証基盤よりもID管理にあることがしばしば。また、新たな認証の仕組みとしてIDaaSが登場しており、その採用をきっかけにID管理を見直すことも多いという。「IDaaSを導入して認証の問題を解決したいと考えていたが、そもそもID管理がしっかりなされていなかったことが判明し、認証基盤を含むID管理の全面的な見直しから取り組むことになった」というケースがここ3年ほどで特に増えていると福田氏は指摘する。

認証の“ハイブリッド構成”によって生じるリスクとは

 コロナ禍以前は、リモートワークを実施できる企業がそれほど多くなかった。リモートワークを導入している企業でも、利用できる社員が一部に限られていたり、リモートワークで利用できるアプリケーションが限定されていたりと、何らかの制約がかかっている状況は珍しくなかったと福田氏。そこからコロナの感染拡大によってリモートワークが急速に普及し、現状では3~4割ほどの企業において、全社員がリモートで仕事ができる環境を整備している、あるいは今後導入する予定との調査結果もある。このようなITシステムやアプリケーションを利用する環境の変化は、ID管理の見直しにも大きく影響しているのだ。

NTTデータ先端技術 セキュリティ事業本部 セキュリティソリューション事業部
認証ソリューション担当 担当課長 福田秀紀氏

 また、現状ほとんどの企業が何らかの形でIDaaSの仕組みを導入しているという調査結果もある。しかしIDaaSが導入されたとしても、それだけでゼロトラストネットワークが実現されるわけではない。ローカル環境でID管理の仕組みを利用しており、それを見直そうと新たにIDaaSを導入する企業は増えているものの、ローカル環境にある自前のアプリケーションの認証にクラウドのIDaaSを利用するため、内部にあった情報が一旦外部のネットワークに出ることとなる。結果として、IDaaSにトラブルが起きた際に上手く連携できないといった問題が起きてしまうのだ。

 こうした点から、すべての認証を外部のIDaaSで行わずに、一部のアプリケーションを認証する用途でローカル環境での認証の仕組みを残す“ハイブリッド構成”を取り入れる企業は多いと福田氏。「クラウドサービスの認証はIDaaSで行い、内部システムの認証はローカル環境で行うといった運用の例はよく見られます」と話す。認証の仕組みが複数ある場合でも、IDが統合されていない構成では、ゼロトラストネットワークを実現し、正しく運用するのは難しい。認証の仕組みがばらばらな上にIDも統合されていない状態では統制が効きづらく、これがリスクとなってセキュリティインシデントにつながりかねない。

 セキュリティポリシーを組織に落とし込むIGA(Identity Governance and Administration:IDガバナンス管理)についても、「ID管理が統合化されていないと、中央でガバナンスをかけるのは難しいです」と福田氏は話す。よくIGAと一緒に議論されるものにIAM(Identity and Access Management)があるが、これは主に社内システムやクラウドサービスの認証を行い、IDやアクセス管理を運用する仕組みを差す。「Okta」のようなIDaaSの特長は、IGAとIAM両方の機能を備えていることだが、「ID管理のすべてをOktaに依存すると、コストが高くなってしまいがちです。また、組織ごとにセキュリティポリシーが異なる場合、それに合わせてシステムのカスタマイズをしたくても、IDaaSだとカスタマイズの自由度がなく融通が利かないこともあります」と福田氏は指摘する。

次のページ
ID作成時に残る手作業、“隠れ特権ID”のリスクも

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
ID管理だけでは足りない? “IGA”でガバナンスを確立連載記事一覧

もっと読む

この記事の著者

谷川 耕一(タニカワ コウイチ)

EnterpriseZine/DB Online チーフキュレーターかつてAI、エキスパートシステムが流行っていたころに、開発エンジニアとしてIT業界に。その後UNIXの専門雑誌の編集者を経て、外資系ソフトウェアベンダーの製品マーケティング、広告、広報などの業務を経験。現在はフリーランスのITジャーナリスト...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19397 2024/04/01 13:13

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング