EnterpriseZine Day 2025 Summer レポート（AD）

攻めのIT投資ばかりで大丈夫か？ DX／AI時代の企業に警鐘、増え続けるアイデンティティに対処せよ

ID管理から「アイデンティティ・セキュリティ」へと進化したSailPoint、時代の変化と課題を語る

2025/07/31 10:00

通知

　企業のデジタル化が加速すると同時に、管理すべきIDやアイデンティティの範囲が爆発的に拡大している。最近ではAIエージェントなどの導入も急速に進み、「人に紐づかないID」の管理が大きな問題にもなっている。こうした変化を受け、SailPointテクノロジーズジャパンの盛口泰孝氏は、2025年6月20日に開催された「EnterpriseZine Day 2025 Summer」にて、企業が直面するID・アイデンティティ管理の課題と解決策を示した。管理が困難とされるマシンアカウントの脆弱性にも着目し、経営リスクの最小化に向けた統合的な「アイデンティティ・セキュリティ」の必要性を同氏は強調する。

通知

時代は単なるID管理から「アイデンティティ・セキュリティ」へ

　企業内で管理すべきIDの範囲が急速に拡大していることは、皆さんもご存じだろう。SaaSやクラウドアプリケーションの普及で利用するシステムが増えたことにより、単純にIDが増加している。また、従来は正社員のIDが中心だったが、グループ企業やパートナー企業との連携により、正社員以外の管理すべきIDも増加している。そして最近では、AIエージェントやBotなど「人に紐づかないID」が加速度的に増えている状況だ。

　この変化の背景には、働き方の多様化とデジタル技術の進展があると盛口氏。たとえばクラウド活用の拡大により、従来は社内システムに限定されていたIDが、複数のSaaSサービスにまたがって作成されるようになった。また、業務効率化を目的としたAI技術の導入により、従来とは異なる性質を持つマシンアカウントが急増している。こうした要因が重なることで、IDの数は時間軸とともに指数関数的な増加を示しているという。

従業員だけでなく外部の関係者、アプリケーション、Bot、AIエージェントなどのIDも管理しなければならない — **従業員だけでなくアプリケーション、外部の関係者、Bot、AIエージェントなどのIDも管理しなければならない**
［画像クリックで拡大表示］

　なお、稀に「ID」と「アイデンティティ」が同義として捉えられているケースが見られるが、これら2つの意味は少しずつ異なる。

　「IDとは、一般的に“Identifier”や“Identification”を指す言葉で、システムを利用するために必要なユニークな識別子、つまりログインIDに相当します。一方、アイデンティティとはIDを含む広義の言葉で、IDを使う人（ユーザー）やモノが持つ情報を指します」（盛口氏）

　今日では、ID単位の管理だけでは煩雑さや抜け漏れが生じやすいため、より包括的なアイデンティティ管理への移行が必要であるというのが常識になりつつある。

　企業のID管理体制を俯瞰してみると、多くの組織で認証基盤の整備は進んでいるものの、権限管理は各システム内で個別に行われているケースが多い。これに対し、盛口氏は「シングルサインオン（SSO）を使って認証基盤を整えていても、SSOの対象外となっているシステムも存在する。それらのシステムも含めて適切に管理していかなければならない」と指摘する。“認証”が統合されていたとしても、“認可”については分散されており、全体的なガバナンスの側面では問題が残るということだ。

　特に重要なポイントとして、「今後は“認可の統合管理”が必要になる」と盛口氏。SailPointはこれを「アイデンティティ・セキュリティ」と呼ぶ。ライフサイクル管理やコンプライアンス管理に加えて、IaaS権限管理や非構造化データのアクセス管理、Agentic AIを活用した運用支援までを含む、統合的で効率的な権限管理が必要というわけだ。

様々な“認可”を統合管理し「アイデンティティセキュリティ」を実現 — **様々な“認可”を統合管理し「アイデンティティ・セキュリティ」を実現**
［画像クリックで拡大表示］

　ここで盛口氏は、今日のセキュリティ対策において前提となる考え方を述べた。

　「不正アクセスを100％防御することは困難です。攻撃者は常に新しい手口を開発し、攻撃方法を変化させています。そこで重要となるのがレジリエンス、つまり攻撃の被害を最小限に抑え、どんな問題が起こっているのかを迅速に把握して対策できる仕組みを構築することです。アイデンティティ・セキュリティは、まさにこの考え方を実践するために必要な取り組みなのです」（盛口氏）

マシンアカウントの管理が問題に、所有者や責任の所在は明確か？

SailPointテクノロジーズジャパン合同会社ビジネス開発本部兼パートナー事業本部本部長盛口泰孝氏 — SailPointテクノロジーズジャパン合同会社ビジネス開発本部兼パートナー事業本部本部長
盛口泰孝氏

　BotやAIエージェントなどが利用する「人に紐づかないID」には、特有の管理課題があるという。それは、孤立したアカウントが増えやすく、所有者が不明なIDが存在しがちになるという問題だ。また、ディレクトリサービスとは別にExcelなどの台帳を使った煩雑な管理が行われるケースも多く、「誰が責任を持って管理すべきか」が不明確になりがちである。

　こうした管理上の課題は、セキュリティリスクに直結する。盛口氏が示した調査データによれば、83％の企業が過去1年間にマシンアカウントを乗っ取られた経験を持ち、72％の企業がマシンアカウントの管理を「人間のアカウント管理よりも困難」と感じているようだ。すでに、米国の大手ITベンダーや米連邦政府人事管理局（OPM）でもマシンアカウントが攻撃対象となった事例が出ており、こうした攻撃は今後さらに一般的になると予想される。

　マシンアイデンティティの管理不備がもたらすリスクは、単なるシステム障害にとどまらない。企業の事業継続性や信頼性に直接影響を与える可能性がある。そのため、経営層レベルで対策を検討すべきだ。「CISOをはじめとする情報セキュリティの責任者にとって、マシンアカウントの適切な管理はもはやセキュリティリスクの最小化と経営リスクの回避に不可欠な要素だ」と盛口氏は述べる。

AIエージェントで管理の運用業務を簡単に自動化できる

　SailPointが提供する「Machine Identity Security」は、こうした課題への対策を実現するソリューションだ。検出、分類、所有権の割り当て、アクセス権限の審査、定期的な監査といった機能を統合的に提供し、人に紐づかないIDを「擬似的に人に紐づけて」効率的に管理する仕組みになっている。これにより、管理が困難だったマシンアカウントも、人間のアカウントと同様の体系的な管理が可能となる。

SailPointが提供するMachine Identity Securityの主なユースケース — **SailPointが提供する「Machine Identity Security」の主なユースケース**
［画像クリックで拡大表示］

　AI技術を活用した管理の効率化も可能だ。同社が開発した「SailPoint Harbor Pilot」は、AIエージェントによってアイデンティティ管理の運用効率を大幅に向上させるという。

　「Harbor PilotのAIエージェントは、自然言語による問いかけに対して適切な回答を提供し、ワークフローの自動生成まで行うことができます。たとえば『マネージャーのいないアイデンティティを探してください』というユーザーからの指示に対して、検索から関連するワークフローの作成まで、一連の作業を自動化できるのです」（盛口氏）

　Harbor Pilotにて提供されているAIエージェントは3種類（2025年5月時点）。製品マニュアルなどの公式文書をもとに、質問への回答を要約して提供する「Documentation Q＆A」、自然言語による検索クエリから効率的な検索結果を返す「Search」、そしてユーザーの要求に応じて自動的にワークフローを構築する「Workflows Generator」だ。

　盛口氏は、実際にHarbor Pilotの利用画面を見せ、デモ形式でユースケースを紹介した。デモでは、AIエージェントに対し「特定のエンタイトルメントを利用しているアイデンティティの数が一定値を超えた場合に、メールで通知をして欲しい」と要求。すると、Harbor Pilotは瞬時に解決方法を提示した。そこに、「ワークフローを作ってほしい」という追加の指示を与えることで、実際のワークフローが自動生成されていく過程が披露された。

　「従来なら、新しい機能を実現・利用しようとなった場合、マニュアルを読んだり詳しい人に問い合わせたり、あるいは本国のサポートチームに英語で連絡したりする必要がありました。しかしHarbor Pilotなら、こうした運用・管理の手間を大幅に削減できます」（盛口氏）

　将来的には、予測型のリスク検出などといった新たなエージェントが追加される予定で、より高度な管理の自動化が期待できるという。いずれは、従来の“事後対応型の管理”から、リスクを事前に予測して対策を講じる“予防型の管理”へ転換が可能となるわけだ。

経営・事業の成長に向けて「足元を強固にする」のがアイデンティティ・セキュリティ

　続いて盛口氏は、企業経営の課題におけるアイデンティティ管理の位置づけについて言及。多くの企業が業績向上を目指して、業務効率化のためのITシステムに積極的な投資を行っているものの、「利益を直接生まない、いわゆる『コストセンター』的なアプリケーションには十分な投資が回っていないケースが見受けられる」と指摘した。アイデンティティ管理のツールやシステムも、そのうちの一つだ。

　この投資バランスの偏りが企業に与えるリスクは無視できない。業務効率化のためのアプリケーションが増える一方で、それらを管理するシステムへの投資が不足すれば、セキュリティリスクが拡大することは明白だ。万が一のインシデントが発生した場合、企業の業績向上という本来の目的を達成できなくなる恐れがある。

　企業がアイデンティティ・セキュリティに取り組むメリットは、部門によって少しずつ異なる。CISOにとっては、セキュリティリスクの最小化と経営リスクの回避につながる。そしてセキュリティチームや監査・コンプライアンスチームにとっては、それぞれの業務効率化を実現できるメリットがある。それぞれの立場でマシンアイデンティティ管理のメリットを享受できるため、組織全体でのコンセンサス形成が重要だという。

アイデンティティセキュリティのメリットは一つではない — **アイデンティティ・セキュリティのメリットは一つではない**
［画像クリックで拡大表示］

　最後に盛口氏は、SailPointの歩みを振り返った。これまで同社は、従業員や外部委託先などのユーザーに対するID（身元）の作成・管理と、それに紐づくアクセス権限の可視化・制御を行うIGA（Identity Governance and Administration）を提供するプロバイダーとして知られてきた。しかし、今はそこから「アイデンティティ・セキュリティを提供するプロバイダー」へと進化している。

　「2005年の創業時は、SailPointはアイデンティティ・ガバナンスのパイオニアとして、“コンプライアンス中心”のアプローチをとっていました。やがて2010年頃になると、コスト削減と自動化を重視した“IGA”に重点を置くようになり、約10年間かけて製品機能を拡張してきました。そして現在は、“セキュリティ主導”のアプローチへと舵を切り、マシンアイデンティティや非正規社員まで対象を拡大しています。加えて、AIテクノロジーを活用したアイデンティティ・セキュリティの領域にも踏み出しました」（盛口氏）

　2021年から日本での事業展開を本格化させたSailPointだが、現在も日本市場での体制強化を進めており、顧客への手厚いサポート体制を構築しているとのことだ。講演の締めくくりには、視聴者に対し「『ビジネス拡大を目指すために、足元のセキュリティを強固にする』という考えのもと、ぜひアイデンティティ・セキュリティの導入をご検討いただきたい」とメッセージを贈った。

この記事は参考になりましたか？