爆発的に増えるID、手作業の管理はもはや不可能
まず言葉の定義として、アイデンティティとは、各種ログインIDを使う人やBotのこと。アイデンティティガバナンスとは、各アイデンティティがどんなログインIDを持ち、それぞれどのような権限を有しているかを一元管理し、企業のシステム環境の安全性を強化することを指す。
アイデンティティガバナンスの必要性が増している背景には、働き方が多様化してリモートワークが当たり前になったこと、システムのクラウドシフト、会社の資産をデジタル化して経営資源として活用するDX推進が加速していることが挙げられる。新しいシステムやBot、IoTなどの導入にともない、ログインIDの数が爆発的に増え、今や手作業では管理できないほどだ。
ユーザーにとっても、システムごとに違うログインIDとパスワードを管理するのは非常に煩わしい。しかし、システムごとにパスワードポリシーが違えば、共通化も容易ではない。この問題をSSOなどの利用でセキュアにシンプルにログインできるようになってもアイデンティティに適切な権限が付与されておらず、必要な情報にアクセスできないこともある。そのたびにシステム部門へ問い合わせるのは手間だ。盛口氏は「結果的に使うシステムが固定化され、せっかくいいシステムがあっても社内で有効活用されていないことがあります」と懸念を示す。
管理者側もユーザーからの頻繁なID・パスワード忘れへの問い合わせ対応は負担だし、管理が煩雑になり、辞めた人のIDがいつまでも残っているようなことも起こりがち。どのユーザーにどの権限を与えればよいかを管理者が把握しきれず、リクエストをすべて承認してしまい、過剰な権限が与えられてしまうこともあるという。
適切な管理ができているか、まずはセルフチェックを
こうした課題には、既に何らかの取り組みをしている企業も多いだろう。多くの企業が最初に行うのは、SSO(シングルサインオン)やMFA(多要素認証)の導入。SSOによって社内の複数システムに共通のID・パスワードでのセキュアなログインができれば、ユーザーの利便性は格段に向上し、管理の手間も大幅に削減できる。「ただ、これだけで対応を完了してしまうと、まだセキュリティレベルとしては中途半端です」と盛口氏は注意を呼びかける。
では次のステップは何か。盛口氏いわく、「アイデンティティやログインIDに紐づく権限情報を可視化し、コントロールできる状態にすること」だと言う。そもそも現時点で適切に管理できているかは、次のような質問に答えられるかどうかでセルフチェックできる。
- 誰がいくつ、どんなログインIDを持っているか? 使っているか?
- 誰が何にアクセスできるのか。それは今も適切か?
- アイデンティティがどの組織の何にアクセスして何をしているか把握できているか?
- 疑わしい動きをしているアイデンティティを把握しているか?
適切に管理されていなければ、当然サイバーセキュリティリスクは高まる。管理できていない“野良アカウント”は、社内システムへの不正アクセスの踏み台にもなりえる。「昔のハッカーはウイルスに感染させてスキルを誇示していましたが、今は重要な情報を抜き取ってお金に換えようとする傾向」だと盛口氏。サイバーセキュリティリスクの高まりが、企業経営のリスクにより直結しやすくなっている。
経営者を対象にした調査(IGA動向調査、2022 ITR)でも、重視すべき経営課題として情報セキュリティ強化を挙げる人が多く、具体的に重視すべき情報セキュリティ課題としては「アイデンティティ管理およびガバナンス」という回答が75%以上に上った。サイバーセキュリティの担保が企業経営のリスクを抑えるために重要だという認識が高まっていることがうかがえる。
