攻撃者は「攻撃してこない」──AIもアイデンティティ管理対象に入る今、企業がすべき“動的な”対策手法

攻撃者はもはや“攻撃してこない”　アイデンティティセキュリティにおける現状課題

　長年にわたり、防御者側を苦しめているランサムウェア攻撃。この問題の本質について、SailPointテクノロジーズジャパン ソリューションエンジニアリング本部 本部長の松本修也氏は「なぜ侵入されたのかではなく、なぜ攻撃が拡大するのかにある」と語る。多くのインシデントは、侵入そのものではなく侵入後に行われる攻撃の横移動（ラテラルムーヴメント）によって被害が拡大している。そして、その横移動を可能にしているのが、アカウントと権限──つまり、アイデンティティだ。

　現在、アイデンティティセキュリティにおいて多くの企業が直面している課題として、松本氏は以下4点を挙げる。

　また、近年はアイデンティティの種類と数が爆発的に拡大している。かつては社員（人）のアイデンティティのアクセス権限を正しく管理することが課題の中心だったが、最近はDX推進の一環でSaaSの利用が拡大し、従業員一人ひとりが利用するアプリケーションの数が急増。そのため、管理の対象はオンプレミスのアプリケーションやデータにとどまらず、クラウド上のアプリケーション、データ、システムへと広がっていった。

　そして、この変化にともない新たなアイデンティティを考慮する必要が出てきた。外部委託者や取引先といった非従業員からマシンアイデンティティ、そして今日ではAIエージェントも管理すべき対象となったのだ。

　「今日の組織内部では、『誰が何にアクセスしているのか』の、“誰”がこれまでになく多様で広範囲に存在しています。また、組織全体で利用するアプリケーションとデータの数が増えていることにより、“何”の部分も複雑化しています。サイバー脅威からビジネスを守るためには、従来とは異なる新たなアプローチが必要です」（松本氏）

　これにより、多くの組織では管理されていない“孤立アカウント”が生まれ、同時に過剰なアクセス権限の付与が発生している。攻撃者は、この隙を見逃さない。1つの侵害されたアイデンティティを起点に、企業内ネットワークを移動し、企業インフラ全体に侵入を拡大させるのだ。

　実際、IDSA（Identity Defined Security Alliance）が2024年に出した調査レポートによると、調査対象となった組織のうち、90％はアイデンティティ関連の侵害を経験したことがあると回答。そんな中、包括的なアイデンティティセキュリティ体制を構築している企業は40％にとどまるというデータもあり、十分なセキュリティ対策が講じられているとは言えない。

　「今の攻撃者は、もはや攻撃する必要がありません。彼らは、ただ“ログイン”するだけで良いのです。1つのアイデンティティまたはアカウントが侵害できれば、簡単に組織に侵入でき、データの改ざんや窃取なども可能になってしまいます」（松本氏）