SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2024 春の陣レポート(AD)

手作業の管理はもはや不可能……アイデンティティ管理を効率よく、セキュアにするための「三大要素」を解説

“後回しにしがちな”権限の棚卸にAI活用で、正確な判断をサポート

 近年、社内のIT環境が複雑化し、ログインIDの数が指数関数的に増加している。これらログインIDやそれに紐づく権限情報をないがしろにすることは、今や経営リスクに直結する。EnterpriseZine編集部主催イベント「Security Online Day 2024 春の陣」に登壇したSailPointテクノロジーズジャパンの盛口泰孝氏が、アイデンティティガバナンスはどのような観点で考えるべきかを解説した。

爆発的に増えるID、手作業の管理はもはや不可能

 まず言葉の定義として、アイデンティティとは、各種ログインIDを使う人やBotのこと。アイデンティティガバナンスとは、各アイデンティティがどんなログインIDを持ち、それぞれどのような権限を有しているかを一元管理し、企業のシステム環境の安全性を強化することを指す。

 アイデンティティガバナンスの必要性が増している背景には、働き方が多様化してリモートワークが当たり前になったこと、システムのクラウドシフト、会社の資産をデジタル化して経営資源として活用するDX推進が加速していることが挙げられる。新しいシステムやBot、IoTなどの導入にともない、ログインIDの数が爆発的に増え、今や手作業では管理できないほどだ。

クリックすると拡大します

 ユーザーにとっても、システムごとに違うログインIDとパスワードを管理するのは非常に煩わしい。しかし、システムごとにパスワードポリシーが違えば、共通化も容易ではない。この問題をSSOなどの利用でセキュアにシンプルにログインできるようになってもアイデンティティに適切な権限が付与されておらず、必要な情報にアクセスできないこともある。そのたびにシステム部門へ問い合わせるのは手間だ。盛口氏は「結果的に使うシステムが固定化され、せっかくいいシステムがあっても社内で有効活用されていないことがあります」と懸念を示す。

 管理者側もユーザーからの頻繁なID・パスワード忘れへの問い合わせ対応は負担だし、管理が煩雑になり、辞めた人のIDがいつまでも残っているようなことも起こりがち。どのユーザーにどの権限を与えればよいかを管理者が把握しきれず、リクエストをすべて承認してしまい、過剰な権限が与えられてしまうこともあるという。

適切な管理ができているか、まずはセルフチェックを

 こうした課題には、既に何らかの取り組みをしている企業も多いだろう。多くの企業が最初に行うのは、SSO(シングルサインオン)やMFA(多要素認証)の導入。SSOによって社内の複数システムに共通のID・パスワードでのセキュアなログインができれば、ユーザーの利便性は格段に向上し、管理の手間も大幅に削減できる。「ただ、これだけで対応を完了してしまうと、まだセキュリティレベルとしては中途半端です」と盛口氏は注意を呼びかける。

SailPointテクノロジーズジャパン ビジネス開発本部 兼 パートナー事業本部 本部長 盛口泰孝氏

 では次のステップは何か。盛口氏いわく、「アイデンティティやログインIDに紐づく権限情報を可視化し、コントロールできる状態にすること」だと言う。そもそも現時点で適切に管理できているかは、次のような質問に答えられるかどうかでセルフチェックできる。

  • 誰がいくつ、どんなログインIDを持っているか? 使っているか?
  • 誰が何にアクセスできるのか。それは今も適切か?
  • アイデンティティがどの組織の何にアクセスして何をしているか把握できているか?
  • 疑わしい動きをしているアイデンティティを把握しているか?

 適切に管理されていなければ、当然サイバーセキュリティリスクは高まる。管理できていない“野良アカウント”は、社内システムへの不正アクセスの踏み台にもなりえる。「昔のハッカーはウイルスに感染させてスキルを誇示していましたが、今は重要な情報を抜き取ってお金に換えようとする傾向」だと盛口氏。サイバーセキュリティリスクの高まりが、企業経営のリスクにより直結しやすくなっている。

 経営者を対象にした調査(IGA動向調査、2022 ITR)でも、重視すべき経営課題として情報セキュリティ強化を挙げる人が多く、具体的に重視すべき情報セキュリティ課題としては「アイデンティティ管理およびガバナンス」という回答が75%以上に上った。サイバーセキュリティの担保が企業経営のリスクを抑えるために重要だという認識が高まっていることがうかがえる。

次のページ
SaaS活用でアイデンティティ管理を簡便に

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2024 春の陣レポート連載記事一覧

もっと読む

この記事の著者

古屋 江美子(フルヤ エミコ)

フリーランスライター。大阪大学基礎工学部卒。大手通信会社の情報システム部に約6年勤務し、顧客管理システムの運用・開発に従事したのち、ライターへ転身。IT・旅行・グルメを中心に、さまざまな媒体や企業サイトで執筆しています。Webサイト:https://emikofuruya.com

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:SailPointテクノロジーズジャパン合同会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19462 2024/04/16 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング