攻めのIT投資ばかりで大丈夫か？ DX／AI時代の企業に警鐘、増え続けるアイデンティティに対処せよ

時代は単なるID管理から「アイデンティティ・セキュリティ」へ

　企業内で管理すべきIDの範囲が急速に拡大していることは、皆さんもご存じだろう。SaaSやクラウドアプリケーションの普及で利用するシステムが増えたことにより、単純にIDが増加している。また、従来は正社員のIDが中心だったが、グループ企業やパートナー企業との連携により、正社員以外の管理すべきIDも増加している。そして最近では、AIエージェントやBotなど「人に紐づかないID」が加速度的に増えている状況だ。

　この変化の背景には、働き方の多様化とデジタル技術の進展があると盛口氏。たとえばクラウド活用の拡大により、従来は社内システムに限定されていたIDが、複数のSaaSサービスにまたがって作成されるようになった。また、業務効率化を目的としたAI技術の導入により、従来とは異なる性質を持つマシンアカウントが急増している。こうした要因が重なることで、IDの数は時間軸とともに指数関数的な増加を示しているという。

　なお、稀に「ID」と「アイデンティティ」が同義として捉えられているケースが見られるが、これら2つの意味は少しずつ異なる。

　「IDとは、一般的に“Identifier”や“Identification”を指す言葉で、システムを利用するために必要なユニークな識別子、つまりログインIDに相当します。一方、アイデンティティとはIDを含む広義の言葉で、IDを使う人（ユーザー）やモノが持つ情報を指します」（盛口氏）

　今日では、ID単位の管理だけでは煩雑さや抜け漏れが生じやすいため、より包括的なアイデンティティ管理への移行が必要であるというのが常識になりつつある。

　企業のID管理体制を俯瞰してみると、多くの組織で認証基盤の整備は進んでいるものの、権限管理は各システム内で個別に行われているケースが多い。これに対し、盛口氏は「シングルサインオン（SSO）を使って認証基盤を整えていても、SSOの対象外となっているシステムも存在する。それらのシステムも含めて適切に管理していかなければならない」と指摘する。“認証”が統合されていたとしても、“認可”については分散されており、全体的なガバナンスの側面では問題が残るということだ。

　特に重要なポイントとして、「今後は“認可の統合管理”が必要になる」と盛口氏。SailPointはこれを「アイデンティティ・セキュリティ」と呼ぶ。ライフサイクル管理やコンプライアンス管理に加えて、IaaS権限管理や非構造化データのアクセス管理、Agentic AIを活用した運用支援までを含む、統合的で効率的な権限管理が必要というわけだ。

　ここで盛口氏は、今日のセキュリティ対策において前提となる考え方を述べた。

　「不正アクセスを100％防御することは困難です。攻撃者は常に新しい手口を開発し、攻撃方法を変化させています。そこで重要となるのがレジリエンス、つまり攻撃の被害を最小限に抑え、どんな問題が起こっているのかを迅速に把握して対策できる仕組みを構築することです。アイデンティティ・セキュリティは、まさにこの考え方を実践するために必要な取り組みなのです」（盛口氏）