SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

ID管理だけでは足りない? “IGA”でガバナンスを確立

10大脅威の常連がこぞって狙うIDの脆弱性 セキュリティの「一丁目一番地」を担うIGA“3つの役割”

第4回:これからのIDガバナンス管理を考える

 昨今、報道が相次いでいるサイバー攻撃による大規模なセキュリティインシデント。こうした攻撃から自社を守るべく、セキュリティ対策の「一丁目一番地」と言われているのがID管理です。連載「ID管理だけでは足りない? “IGA”でガバナンスを確立」では、ID管理にガバナンスという観点を加えた「IGA:Identity Governance and Administration」をキーワードに、これからの時代に必要なID管理を考えていきます。第4回目となる本稿では、IDガバナンスがセキュリティ対策にどう有効なのかという視点から、統合ID管理基盤について解説していきます。

IDはセキュリティ対策の「一丁目一番地」

 ID管理とIDガバナンス管理(IGA)について解説している本連載。最終回となる今回はこれまで説明してきたことのまとめとして、「これからのIDガバナンス管理の在り方」について考えてみます。これまでの連載では、組織のID管理をどのように統合すべきか、ID運用やアーキテクチャ基盤の構成はどうすべきか、といった切り口でお伝えしてきました。

これまでの連載

 今回は少し見方を変えて、セキュリティ上の脅威に軸足を移して整理してみましょう。組織が直面するセキュリティリスクにID管理でどのように対応できるのか、IDガバナンスの最適解はどうあるべきか、これまでの論点を含めて解説していきます。

脅威事例からみるIDセキュリティの重要性

 ここ数年、情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」を見てみると組織におけるランキングに大きな変動はありません。2024年に発表された組織が直面する脅威を下図に示していますが、上位4位内に入っているランサムウェア、内部不正、標的型攻撃は9年連続でランクインしており、たとえるなら脅威の世界における“高校野球の常連強豪校”のような立ち位置を確立しています。

組織が直面する情報セキュリティ10大脅威
情報セキュリティ10大脅威 2024」(IPA)より抜粋 [画像クリックで拡大]

 ちょうど筆者がこの原稿を執筆している最中にも、ランサムウェアが要因となった大規模なサイバー攻撃によるサービス停止、情報窃盗の被害が報道されていました。こうしたサイバー攻撃でハッカーが侵入し、組織内を「ラテラルムーブメント(水平移動)」して狙うのは、その組織内で使われている「ID」です。ランサムウェアだけではなくランキング上位に挙がっている脅威はいずれも「IDを奪って不正操作する」「アカウントの権限を不正に昇格して奪う」など、操作できるノードのIDまたはその権限を入手するため、より被害範囲が広がってしまうのです。このため、サイバー攻撃への対策を考えるにあたり、IDにまつわるセキュリティは「一丁目一番地」とも言われているわけです。セキュリティへの寄与が分かりやすい認証や認可と比較して、統合ID管理がどのようにこれらの脅威対策として寄与しているのか、あらためて考えてみたいと思います。

次のページ
「隠れ特権ID」が生むセキュリティリスクとその対策とは

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
ID管理だけでは足りない? “IGA”でガバナンスを確立連載記事一覧

もっと読む

この記事の著者

福田 秀紀(フクダ ヒデキ)

NTTデータ先端技術株式会社 セキュリティ&テクノロジーコンサルティング事業本部 セキュリティイノベーション事業部 DXセキュリティソリューション担当 担当部長。ネットワークエンジニアや営業を経て、20年余りにわたってシステム構築の現場でプロジェクトマネージャを務めている。現在は、自社製品である統合...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/20084 2024/08/01 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング