クラウド時代のセキュリティ対策実現に向けた「ID-based Securityイニシアチブ」が2017年6月23日に発足した。ラックや日本マイクロソフトほか、合わせて8社が幹事企業として名を連ねている。IDを中心としたセキュリティ対策に関する活動を行う。
ID-based Security イニシアティブが発足。ラック、日本MSなど8社が参加
2月の予告から水面下で着々と準備を進め、参加企業を増やしたようだ。今から4ヶ月前となる2月14日、日本マイクロソフトは「マイクロソフト セキュリティ フォーラム」にて、ラックと「ID-based Security イニシアティブ」を設立すると予告していた。お披露目の記者発表会は5月に予定していたものの(直前にWannaCry感染拡大があり)いったん延期。あらためて仕切り直し、6月23日に8社が参加して正式発表となった。(参考記事:猛烈な量のサイバー攻撃に晒され続けるマイクロソフトのセキュリティ対策とは?)
「ID-based Securityイニシアティブ」で主幹事を務める
ラックの代表取締役社長 西本逸郎氏
今回発足した「ID-based Securityイニシアティブ」は主幹事にラック、事務局に日本マイクロソフトとあるように、この2社が中心にいる。発表会では主幹事を務めるラックの代表取締役社長 西本逸郎氏がIDをベースとしたセキュリティ対策の重要性を説明した。
クラウド普及前、企業の重要情報は企業のネットワーク内に格納されており、ファイアウォールなどでネットワークの内側を守ればよかった。しかし昨今ではユーザーはパソコンやモバイル端末を用いて社外からアクセスし、社外にある多種多様なクラウドサービスを利用している。ファイアウォールだけで守れないことは言うまでもない。
また一般的にセキュリティ対策としてデータ保護を考えるとき、まずは重要な情報資産がどこにあるか洗い出しを行う。かつて重要情報は社内に集約されていたが、クラウド時代になると社内外に分散している。人もデータもあちこちに分散しているという状態だ。
西本氏は「クラウド時代には人(ID)にひもづけられて情報がある。守るべきは人(ID)」と指摘する。かつてのように情報は物理的、ネットワーク的に守るだけではなく、ログインするユーザーのIDをベースとしてデータを保護していく必要があるということ。西本氏は「(アクセスしている)この人は本物か?その人の行動をトレースしていくことが重要になる」と話す。
さらに西本氏は「サイバー攻撃はID奪取からはじまる」とも指摘する。攻撃側にしてみれば、狙う組織のID情報は金庫の鍵のようなもの。奪取できたら、データの取得やシステムの操作などあらゆる攻撃が可能となる。現在、ユーザー名やパスワードほかアクセスに必要な情報が狙われていることを挙げて「これからIDを守ることがセキュリティ対策になる時代になる」と西本氏は述べる。
現状のID運用は多くがIDとパスワードの照合で認証を行う。そのためユーザーには「定期的な変更」や「複雑なパスワードに」と推奨されるものの、現実的にはユーザーの負担を高めるばかりで厳しい。ユーザーに少ない負担で確実に認証を行う方法として、生体認証や二要素認証が徐々に広まりつつあるが、まだ課題もある。そこで今回の組織でIDにまつわる様々な課題の解決を考えていこうとしている。例えばオンプレとクラウド一気通貫したアクセス制御、不審な行動のトレーサビリティなど。
この記事は参考になりましたか?
- この記事の著者
-
加山 恵美(カヤマ エミ)
EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
