SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

ID管理だけでは足りない? “IGA”でガバナンスを確立

ガバナンスを考慮していない認証基盤がリスクの温床に……正しい“ID管理”への第一歩「IGA」を考える

第1回:増える認証基盤の見直しと付随する課題

 コロナ禍によるリモートワーク普及、クラウド移行の波に合わせて、システムも最適なものに変えていく動きが見られる中、意外と検討事項から抜け落ちているのがIDの管理です。多くの企業が複雑化するIT環境においてセキュリティを担保しようと認証基盤の入れ替えを検討しがちですが、本当にそれで問題は解決するのでしょうか。連載「ID管理だけでは足りない? “IGA”でガバナンスを確立」では、ID管理にガバナンスという観点を加えた「IGA:Identity Governance and Administration」をキーワードに、これからの時代に必要なID管理を考えていきます。第1回目となる本稿では、実際にID管理ソリューションの開発に携わる筆者が目にしてきた実際の事例も踏まえながら、ID管理の実態を紐解いていきましょう。

全システムの「入口」となるIDの重要性

 デジタル化、クラウド化が進展するとともに、その利便性の穴を突いたサイバーインシデントや情報漏えいも増加している昨今、すべてのシステムの入口といっても良い「ID」の重要性が増してきています。これは別に筆者がID管理システムの開発・構築を生業にしているから重要だと言っているわけではなく、一般的にそういった議論が高まっているのです。

 筆者は普段、NTTデータ先端技術で提供する統合ID管理ソリューション「VANADIS Identity Manager(VANADIS)」のプロダクトマネージャーとして業務を行う傍ら、製品の開発・構築だけでなく、セキュリティに関連したシステムの開発も行っています。こうした経験を踏まえ、本稿では実際に業務を行う中で聞かれるお客様の声も汲みながら、IDを取り巻く現況について解説していきたいと思います。

働く環境に合わせハイブリッドクラウドが増加

 ここ数年、ID管理、認証の分野は大きな変化を見せています。企業活動においてはクラウドの利用が当たり前となり、リモートワークが普及したコロナ禍以降はオフィスの外からインターネットを介して社内システムを利用したり、クラウドサービスを直接利用したりする機会が各段に増えました。こうした状況の変化に対応するべく、最適なゼロトラストネットワークを利用するケースも増えているでしょう。信頼できるネットワーク内の端末からだけではなく、インターネット上でIDを使ってシステム利用可否が判断されるケースが頻繁に見られるようになりました。

 オフィス内で業務をこなすのが主流だったこれまでのネットワークは、“内部”と“外部”のように、単純に社内と社外を隔てる構成が一般的でした。一方、働く場所に縛られなくなった昨今の業務環境では、社内システムからクラウドにアクセスしたり、社外から社内システムにアクセスしたりなど、「どのシステムにいつ利用者がいて、重要な情報はどこにあるのか」といった状況が分かりにくい環境に変化しています。ハイブリッドクラウドな環境が一般化しつつある現在では、IDこそが情報資産を司っていると言えるでしょう。

図1:構成の変化
【画像クリックで拡大します】

 このような環境の変化に合わせて、多くの企業で認証基盤を新たに作り直そうと検討する機会が増えているのだろうと、普段お客様と会話している中で筆者は感じています。実際、「10年間同じ認証基盤を使ってきたけれど、今の会社の実態と合わなくなってきて、そろそろ何とかしないといけない」といった声や、「クラウドサービスを使うためにIDaaS(Identity as a Service)を限定的に使っていたが、全面的に利用しようと考えている」といった話を耳にすることが格段に増えてきました。

 また、認証基盤の見直しに合わせてよく聞くのが「情報の重要度により段階的な認証を実現する仕組みを作りたい」「多要素認証を行ってセキュリティを強化していきたい」といったリクエスト。実際に最近、筆者は以下のような相談を受けました。

  • データやシステムにアクセスする際に、ユーザーがログイン済みであっても、情報の重要度に応じてもう一度本人認証をかけたい
  • 外部のゲストユーザーにも一部の内部システムを使わせたいので、専用の認証ルートを作りたい

 これらの要件を実現するための最適な構成を提案していくことも私たちの仕事なのですが、色々と状況をヒアリングしていくと、ユーザーが抱える問題の根本原因は認証基盤ではないところにあることが多いのです。こうした相談を受けていると、本人認証の方法や情報の重要度などに応じた認証の強固さに対して、セキュリティリスクへの対策が不足していると感じることが往々にしてあります。

次のページ
2段階認証では解決しない? 問題の根本は“不適切なID管理”に

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
ID管理だけでは足りない? “IGA”でガバナンスを確立連載記事一覧

もっと読む

この記事の著者

福田 秀紀(フクダ ヒデキ)

NTTデータ先端技術株式会社 セキュリティ&テクノロジーコンサルティング事業本部 セキュリティイノベーション事業部 DXセキュリティソリューション担当 担当部長。ネットワークエンジニアや営業を経て、20年余りにわたってシステム構築の現場でプロジェクトマネージャを務めている。現在は、自社製品である統合...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19574 2024/04/25 09:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング