ID-based Security イニシアティブが発足。ラック、日本MSなど8社が参加
2月の予告から水面下で着々と準備を進め、参加企業を増やしたようだ。今から4ヶ月前となる2月14日、日本マイクロソフトは「マイクロソフト セキュリティ フォーラム」にて、ラックと「ID-based Security イニシアティブ」を設立すると予告していた。お披露目の記者発表会は5月に予定していたものの(直前にWannaCry感染拡大があり)いったん延期。あらためて仕切り直し、6月23日に8社が参加して正式発表となった。(参考記事:猛烈な量のサイバー攻撃に晒され続けるマイクロソフトのセキュリティ対策とは?)
「ID-based Securityイニシアティブ」で主幹事を務める
ラックの代表取締役社長 西本逸郎氏
今回発足した「ID-based Securityイニシアティブ」は主幹事にラック、事務局に日本マイクロソフトとあるように、この2社が中心にいる。発表会では主幹事を務めるラックの代表取締役社長 西本逸郎氏がIDをベースとしたセキュリティ対策の重要性を説明した。
クラウド普及前、企業の重要情報は企業のネットワーク内に格納されており、ファイアウォールなどでネットワークの内側を守ればよかった。しかし昨今ではユーザーはパソコンやモバイル端末を用いて社外からアクセスし、社外にある多種多様なクラウドサービスを利用している。ファイアウォールだけで守れないことは言うまでもない。
また一般的にセキュリティ対策としてデータ保護を考えるとき、まずは重要な情報資産がどこにあるか洗い出しを行う。かつて重要情報は社内に集約されていたが、クラウド時代になると社内外に分散している。人もデータもあちこちに分散しているという状態だ。
西本氏は「クラウド時代には人(ID)にひもづけられて情報がある。守るべきは人(ID)」と指摘する。かつてのように情報は物理的、ネットワーク的に守るだけではなく、ログインするユーザーのIDをベースとしてデータを保護していく必要があるということ。西本氏は「(アクセスしている)この人は本物か?その人の行動をトレースしていくことが重要になる」と話す。
さらに西本氏は「サイバー攻撃はID奪取からはじまる」とも指摘する。攻撃側にしてみれば、狙う組織のID情報は金庫の鍵のようなもの。奪取できたら、データの取得やシステムの操作などあらゆる攻撃が可能となる。現在、ユーザー名やパスワードほかアクセスに必要な情報が狙われていることを挙げて「これからIDを守ることがセキュリティ対策になる時代になる」と西本氏は述べる。
現状のID運用は多くがIDとパスワードの照合で認証を行う。そのためユーザーには「定期的な変更」や「複雑なパスワードに」と推奨されるものの、現実的にはユーザーの負担を高めるばかりで厳しい。ユーザーに少ない負担で確実に認証を行う方法として、生体認証や二要素認証が徐々に広まりつつあるが、まだ課題もある。そこで今回の組織でIDにまつわる様々な課題の解決を考えていこうとしている。例えばオンプレとクラウド一気通貫したアクセス制御、不審な行動のトレーサビリティなど。
