情報セキュリティ対策はゼロトラストの時代へ 専門家たちが、不正アクセスの核心を議論する
協賛 SailPointテクノロジーズジャパン
Keynote
複雑化するサイバー攻撃、デジタルビジネスリスクに急務となるIDガバナンス管理とは
~ID管理の重要性とIDガバナンスの理解~
創業以来、17年以上の経験を蓄積するクラウド型アイデンティティ(ID)管理システムを提供するSailPoint(セイルポイント)。社長の藤本寛氏は「『ハッカーは攻撃するのではなく、ログインする』と表現される」と不正アクセス対策の重要性を語る。不正取得したIDなどを使ったアクセスは、システム上は正常なログインと見分けがつかず、検知が遅れて被害も大きくなりやすい。「そのリスクが見逃されている」と問題提起した。
退社した社員のIDが削除・無効化されていない。あるいは異動時に、適切なアクセス権限付与かを確認せず、前任者の権限をコピーする「アクセス・クローン」を繰り返した結果、機密情報へのアクセス権限が、関係ない人物に付与されるという問題は頻発している。こうしたID管理の隙は、悪意のある侵入者に利用されるリスクをはらんでいる。
しかし、システムごとに発行されるIDは膨大な数に上り、すべてを管理することの困難さが増している。同社は、人という軸でアイデンティティを集約・一元管理し、役割(ロール)に応じた管理を提案。IDとアクセス権限を人にひも付ける可視化、アカウントの作成・更新・削除の自動化、AIや機械学習を活用して権限等を分析、レコメンドする自律化――が可能なID管理システムへのアップグレードを訴える。
藤本氏は「IT部門は、システムを理解しているが、業務や必要な権限の詳細については業務部門に判断してほしい、一方で、業務部門はシステム的な表現は理解できないので、IT部門に任せたい、という他人任せの状態も事故原因の1つだ」として、経営トップが、ID管理について、業務部門を含めた会社全体で取り組むべき課題として認識するよう求めた。
パネルディスカッション
ゼロトラスト時代に経営者、IT部門が考えるべきこと
ビジネスリスクへの“守り”、そして利益を生む“攻め”のセキュリティ対策
企業のID管理について、アクセンチュアの大竹高史氏、デロイト トーマツ サイバーの大森潤氏、EYストラテジー・アンド・コンサルティングの地代所崇氏、KPMGコンサルティングの薩摩貴人氏の4人のセキュリティ分野のコンサルタントと、キーノートスピーチをした藤本氏が、慶應義塾大学教授の手塚悟氏の司会で議論した。
最初のテーマは、テレワーク拡大に伴う企業のセキュリティリスク。コラボレーションツールやクラウドサービスの利用、自宅などの社外から社内システムへのアクセスも増え、社内システムと社外を隔てる従来の境界防御の考え方だけでは、セキュリティを担保できなくなってきた。これからは、たとえ侵入を許しても被害を最小化できるゼロトラストの考え方や、ID管理の徹底がセキュリティ対策の要になる。グローバル展開するグループ企業間や、クラウドと社内システムを統合したID管理も必要になり、よりレベルの高いID管理基盤が求められる、とした。
2つ目は、企業が早急に取り組むべき“守り”のセキュリティ対策。ゼロトラストの考え方に基づいたセキュリティ対策は、以前よりやるべきことが増え、どこから着手するか、と悩む企業も多い。業種をまたいだコラボレーションの活発化や、サプライチェーンの構成企業など社外との情報共有も必要となり、利用者のID管理はますます複雑化している。まず、デバイス、人、通信、データなど資産を可視化したうえで、KRI (Key Risk Indicator)などのリスク指標を用いて優先度を決めることが提言された。
3つ目は、ビジネスの高速化に向けた“攻め”のセキュリティ。必要な場面として、例えばM&A後の統合プロセスは、システムの連携・統合を迅速に進めなければならない。機密情報を戦略的提携企業などの外部企業と安全に共有し、コラボレーションを高速化することも重要だ。AIなどの最新技術を駆使した業務の改革にも、安心して利用できるシステム基盤が欠かせない。その基盤には、正しい人に正しい権限を割り当てるID管理が大前提となる。不必要なアクセス権限はリスクとなる一方で、必要な権限がないと仕事ができない。タイムリーな処理には、ID管理を自動化するテクノロジーの活用が求められる。さらに、上司の判断が必要だった部下のアクセス権限を、AIで自律的に管理すれば、管理職の業務負荷を減らせる。チャレンジできる時間を生むことで、生産性向上が期待される。
アクセンチュアの大竹氏は「ID管理はDXの前提」と強調。異動や退職など「IDのライフサイクル」に着目した管理や、ルールを策定するガバナンス部門と、業務を把握する業務部門が協働する「連邦型」ガバナンスを提案し、「人材を引きつけられる働きやすい会社になるにはID管理体制の整備が大切」と語った。
デロイトトーマツの大森氏は「これからは、ITひいてはIDを使わない仕事はほぼなくなる」と発言。DXは、テクノロジーの可能性など派手な面を注目しがちだが、「ID管理やゼロトラストセキュリティなどのベースに支えられて初めて成り立つ。信頼できる基盤があれば、新規事業などの攻めに出やすい」と、IDガバナンス基盤の重要性を訴えた。
KPMGの薩摩氏は、サイバー被害が生じたときに重要になるのは「誰が何をしたのか、を特定できるトレーサビリティ(追跡可能性)」であり、そのためには、「ID管理や、人、デバイス、データなど資産の可視化に労力を費やす必要を経営者に認識してほしい」と強調。また、従業員だけでなく顧客IDについても統合の動きがあると言及した。
EYの地代所氏は、直接登録されたテスト用IDなどの消去漏れは、ID管理システムと照合することで防げるとして、ID管理システムから各システムへの一方通行ではなく、データを双方向に連携することが重要であると主張。IDを一元管理するID管理の理想の実現に向けて、スモールスタートから拡大していくアプローチを勧めた。
SailPointの藤本氏は「ID管理はセキュリティのサブセットではなく、ガバナンスとして経営が留意すべき対象だ」と強調。ジョブ型雇用など組織をめぐる環境も急速に変化している中で、同社システムは「すでに起き始めている人材流動化など、企業の変化にタイムリーに対応できる強固な基盤となる」とアピールした。
司会を務めた慶應義塾大学の手塚氏は、日本の産業は、現場は洗練されているのに、ホワイトカラーの生産性向上は世界に後れを取ってきたとしてデジタル化推進の必要性を強調。まず「ITの入り口となるIDのガバナンスを進めるために、成功例を共有することが大切だ」と呼びかけた。