10大脅威の常連がこぞって狙うIDの脆弱性 セキュリティの「一丁目一番地」を担うIGA“3つの役割”
第4回:これからのIDガバナンス管理を考える

昨今、報道が相次いでいるサイバー攻撃による大規模なセキュリティインシデント。こうした攻撃から自社を守るべく、セキュリティ対策の「一丁目一番地」と言われているのがID管理です。連載「ID管理だけでは足りない? “IGA”でガバナンスを確立」では、ID管理にガバナンスという観点を加えた「IGA:Identity Governance and Administration」をキーワードに、これからの時代に必要なID管理を考えていきます。第4回目となる本稿では、IDガバナンスがセキュリティ対策にどう有効なのかという視点から、統合ID管理基盤について解説していきます。
IDはセキュリティ対策の「一丁目一番地」
ID管理とIDガバナンス管理(IGA)について解説している本連載。最終回となる今回はこれまで説明してきたことのまとめとして、「これからのIDガバナンス管理の在り方」について考えてみます。これまでの連載では、組織のID管理をどのように統合すべきか、ID運用やアーキテクチャ基盤の構成はどうすべきか、といった切り口でお伝えしてきました。
これまでの連載
今回は少し見方を変えて、セキュリティ上の脅威に軸足を移して整理してみましょう。組織が直面するセキュリティリスクにID管理でどのように対応できるのか、IDガバナンスの最適解はどうあるべきか、これまでの論点を含めて解説していきます。
脅威事例からみるIDセキュリティの重要性
ここ数年、情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」を見てみると組織におけるランキングに大きな変動はありません。2024年に発表された組織が直面する脅威を下図に示していますが、上位4位内に入っているランサムウェア、内部不正、標的型攻撃は9年連続でランクインしており、たとえるなら脅威の世界における“高校野球の常連強豪校”のような立ち位置を確立しています。

「情報セキュリティ10大脅威 2024」(IPA)より抜粋 [画像クリックで拡大]
ちょうど筆者がこの原稿を執筆している最中にも、ランサムウェアが要因となった大規模なサイバー攻撃によるサービス停止、情報窃盗の被害が報道されていました。こうしたサイバー攻撃でハッカーが侵入し、組織内を「ラテラルムーブメント(水平移動)」して狙うのは、その組織内で使われている「ID」です。ランサムウェアだけではなくランキング上位に挙がっている脅威はいずれも「IDを奪って不正操作する」「アカウントの権限を不正に昇格して奪う」など、操作できるノードのIDまたはその権限を入手するため、より被害範囲が広がってしまうのです。このため、サイバー攻撃への対策を考えるにあたり、IDにまつわるセキュリティは「一丁目一番地」とも言われているわけです。セキュリティへの寄与が分かりやすい認証や認可と比較して、統合ID管理がどのようにこれらの脅威対策として寄与しているのか、あらためて考えてみたいと思います。
この記事は参考になりましたか?
- ID管理だけでは足りない? “IGA”でガバナンスを確立連載記事一覧
-
- 10大脅威の常連がこぞって狙うIDの脆弱性 セキュリティの「一丁目一番地」を担うIGA“3...
- 認証基盤とIGAを担うID管理基盤、どう役割分担すべき? 2つのモデルから自社最適を考える
- クラウド運用の先走りで知らぬ間に生じる“隠れ特権ID”の罠 利用者も情シスも得する管理を叶...
- この記事の著者
-
福田 秀紀(フクダ ヒデキ)
NTTデータ先端技術株式会社 セキュリティ&テクノロジーコンサルティング事業本部 セキュリティイノベーション事業部 DXセキュリティソリューション担当 担当部長。ネットワークエンジニアや営業を経て、20年余りにわたってシステム構築の現場でプロジェクトマネージャを務めている。現在は、自社製品である統合...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア