攻撃者は「攻撃してこない」──AIもアイデンティティ管理対象に入る今、企業がすべき“動的な”対策手法
大手ビール会社・通販会社の事例から学ぶ、攻撃者の「横移動」を阻止する方法とは
今後は「アダプティブ・アイデンティティ」への変革が不可欠 実現までのアプローチとは
管理対象が従業員からSaaS、マシン、AIエージェントへと指数関数的に広がり、脅威も日々高度化する今、ルールベースの静的なアイデンティティ管理では対応が追いつかない。そこで、松本氏が解決の軸として提示したのが「アダプティブ・アイデンティティ(Adaptive Identity)」だ。
これは、AIと自動化技術を活用し、日々変化する脅威に対してアイデンティティセキュリティを“動的に”最適化していくアプローチを指す。「静的な管理から動的な制御、そしてルールベースからAI・リスクベースへ進化していく必要がある」と同氏は述べた。
しかし、アダプティブ・アイデンティティの導入・運用を実現するには「リアルタイムガバナンス」「AIエージェント/マシンアイデンティティの保護」「JIT(Just-In-Time)認可などの動的な特権管理」「アイデンティティを中心とした脅威対応(Identity + SOC)」という4つの観点が新たに必要になってくる。従来の“人のアカウント”を対象とした静的なガバナンスでは、対応しきれないのだ。
SailPointはこれら4つの課題に、図4のような3層構造のプラットフォームで応えていく。まず、土台となる「Foundation(基盤)」部分では、すべてのアカウント(正規社員、非正規社員、マシン、AIエージェント)が、どのアプリケーションに、どの権限で、どのデータにアクセスできるかをグラフ構造で一元的に管理している。アイデンティティと権限のコンテキストを、深く・広く把握できることが特徴だ。
基盤の上には、「AI Intelligence」レイヤーが備わっている。ここでは、リスク分析やアクセス権限のレコメンデーションなど、アイデンティティと権限のコンテキストをもとにしたAI分析が行われている。その上にある「Security control」レイヤーでは、AIエージェント保護、JITによる特権管理、リアルタイム認可、アイデンティティ中心の脅威対応を実現する。
SailPointソリューションの構造(図4)
(クリックすると拡大します)
多くのセキュリティソリューションでは、各社が提供する特定の機能領域からアイデンティティにアプローチすることになる。SailPointのソリューションで言うところの、Security controlのレイヤーにあたる部分だ。そのため、アイデンティティ全体のコンテキストを統合的に把握することが難しい場合がある。しかしSailPointは、深さと広さを兼ね備えた統合型のアイデンティティプラットフォームを有しており、その上でソリューションやサービスを提供していることが特筆すべき点として挙げられる。
では、なぜそのようなサービス提供の形が可能なのか。図5は、SailPointのアイデンティティセキュリティプラットフォームのアーキテクチャ全体を、機能コンポーネントにフォーカスして示したものだ。
SailPointのアイデンティティセキュリティプラットフォームのアーキテクチャ全体像(図5)
(クリックすると拡大します)
「当社は20年以上ソリューションを提供する中で、一つの結論に辿りつきました。それは、アイデンティティセキュリティは“個別のツールでは解決できない”ということです。必要なのは、アイデンティティのコンテキストを共有しながら、統合されたプラットフォームとして制御すること。その基盤となっているのが、『SailPoint Atlas』です」(松本氏)
「Atlas」を基盤にすることで、Identity Graphの技術を中心にリアルタイム制御、セキュリティオペレーションを実現し、 柔軟な外部システムとの連携を可能にしているとのことだ。
また、図6で示しているような同社のソリューション群を活用すれば、企業のあらゆるIT環境、社内に存在するアイデンティティを統制可能だという。「Atlas」上ではAIを基盤としたアイデンティティセキュリティを実現しており、AI機能に関しても「確実に実用できるレベル」と同氏は自信を覗かせる。
SailPointが提供するソリューション群(図6)
(クリックすると拡大します)
その仕組みの中心となる「AI-powered Identity Lake」では、可視化、アクセス権限審査(棚卸)、アクセスプロビジョニング、アクセス権限監視の自動化、ポリシー適用、検知とリスク評価などを提供し、最小権限でのアイデンティティ管理でビジネスの安全性や効率化をサポートする。松本氏は「すべての機能を一気にすべて導入する必要はない」としながら、アダプティブ・アイデンティティへの実践的な道筋を以下のように語った。
「まず、アプリケーションとアイデンティティの可視化から始め、次に重要システムのコンプライアンスを強化し、最終的には高度なガバナンスと自動化を行い、これを継続的に運用するようにしていきます。アカウントと権限、つまりアイデンティティを確実に制御することで、アダプティブ・アイデンティティへ進化させていくことが可能になります。これにより、企業は最小権限を継続的に適用しながら、セキュリティとビジネスの俊敏性を両立できるのです」(松本氏)
AI活用の落とし穴──見落とされがちな「アイデンティティ」のリスクとは
AIは単なるツールではなく、24時間365日、自律的にシステムへアクセスし続ける“見えない社員”となりつつあります。そのアイデンティティを正確に把握し、管理できますか? AI時代に求められる新たなセキュリティアプローチとして、「アイデンティティ ファースト」によるAIエージェントの統制フレームワークを解説します。
この記事は参考になりましたか?
- 関連リンク
- Security Online Day 2026 Spring レポート連載記事一覧
-
- 攻撃者は「攻撃してこない」──AIもアイデンティティ管理対象に入る今、企業がすべき“動的な...
- 「AIに自社データを学習させない」は本当に守られている?“SaaSに隠れたAI”を炙り出す...
- AI活用にともなう「利便性と堅牢性」の板挟み……両者を備えた新たなデータセキュリティの実現...
- この記事の著者
-
森 英信(モリ ヒデノブ)
就職情報誌やMac雑誌の編集業務、モバイルコンテンツ制作会社勤務を経て、2005年に編集プロダクション業務とWebシステム開発事業を展開する会社・アンジーを創業した。編集プロダクション業務では、日本語と英語でのテック関連事例や海外スタートアップのインタビュー、イベントレポートなどの企画・取材・執筆・...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
提供:SailPointテクノロジーズジャパン合同会社
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア
