AIを活用した分析とリコメンデーションでID棚卸しをもっと効率的に
レガシーな企業のアイデンティティ管理をモダナイズするSailPoint
2022年08月01日 09時00分更新
企業のID管理をモダナイズするアイデンティティガバナンスを提案するSailPoint。コロナ禍に対応すべく、クラウドやテレワークを優先したがゆえ、アイデンティティ管理が脆弱になっていると指摘する。日本法人であるSailPointテクノロジーズジャパンの藤本寛氏に、アイデンティティ管理における問題点とアイデンティティガバナンスの必要性について説明してもらった。
SailPointテクノロジーズジャパン カントリーマネージャー 藤本寛氏
コロナ禍とクラウド増で先送りされたアイデンティティ管理の危機
SailPointは創業者のマーク・マクレーン氏が2005年に設立し、以来17年以上に渡って「アイデンティティ&ガバナンス管理」という分野を追求。現在、グローバルでは1700名の従業員、2200社の顧客を抱え、NYSEにも上場済みだ。
ユーザー企業の課題でもあり、SailPointがユーザーに提供するチャンスになっているのは「セキュリティと生産性の両立」だ。DXを旗印にデジタルシステムが普及し、コロナ禍でテレワークが加速し、企業システムは急激な変化を迎えている。こうした変化の過程で、パスワード管理の脆弱性や複数システムのパスワードの使い回しを避けるべく、シングルサインオン(SSO)やMFA(多要素認証)の導入を進める企業も多い。
しかし、シングルサインオンで利便性を確保しても、システムごとのセキュリティの不安は解消されているわけではない。MFAに関しても、昨今では二段階認証を突破され、不正アクセスの検知や原因究明に時間がかかるような事例も現れており、IDによる当人の確認だけでは不十分になっている。
同社の調べでは、74%の企業はAWS、Azure、Google Cloudなど複数のIaaSを用いているが、結果的にシステムへのアクセスが複雑になっているという。91%はアクセスレポートを手動で作成しており、実に1/4が情報漏えいを経験しているという。「1つのクラウドを利用するだけなら、1つのツールで管理できるが、複数のクラウドとなると一気に管理が難しくなる」(藤本氏)。
パンデミック対応で先送りした問題とは?
同様の話はIaaSのみならず、クラウドストレージ、SaaSなどでも起こっており、手作業でのアクセス管理や設定不備によるセキュリティインシデントなどが起こっている。あるSaaSで調べてみると、70%は誤った設定で運用されたという。ガバナンスが比較的行き届いているERPですら、権限付与が手動だったり、別のサービスをまたいだ場合の可視性に問題があるという。
SailPointの藤本氏は、「多くの企業はコロナ禍で、とにかくシステムを利用できる環境構築を優先し、一部の問題を先送りしている。いくらシステムの入り口をシングルサインオンなどで強化しても、個々のシステムをきちんと管理しなければ問題は解消しない。システムを横断する形で一貫性がとれてなければ、リスクの最小化は難しい」と指摘する。
企業は従業員のアイデンティティの現状を把握できていない
これに対して、SailPointが提供するアイデンティティ&ガバナンス管理は、企業全体が利用するクロスアプリケーションの中で整合性のとれたシステム利用権限の統制を指す。
SailPointが対象とするアイデンティティは、いわゆるクレデンシャルのみならず、付与されたアクセス権、アクセスした日付、承認者など幅広いコンテキストをカプセル化したものを指す。ログインのみならず、「誰がなににアクセスできるのか」「それは今でも適切なのか?」といった企業での幅広い情報のやりとりで利用されるものだ。
SailPointが対象とするアイデンティティとは?
しかし、実は多くの企業では、アイデンティティの状態を把握できていないという。「誰がいくつアイデンティティを持っているか」「例外的なアクセス権を持っている人は何人いるか」「クラウドへのアクセスをプロビジョニングしているか」など不明瞭で責任の所在がないことも多い。「日本では兼任も多いですし、引き継ぎ期間の間、複数の権限が付与されることもあります。これ自体は悪いことではないが、不要になったらすぐに剥奪しているのか、発行できているのか、トレースしないと責任問題に発展します」と藤本氏は語る。
もう1つの問題提起はアイデンティティのアクセス権限は他人任せになっていないか?という疑問だ。業務部門にアクセス権限の管理を任せると、システムに詳しくないビジネスユーザーは新たに配属したメンバーに別のメンバーのアクセス権をそのままコピーしてしまう。元の部門のアクセス権に加え、新たに配属した部門のアクセス権まで付与されるこうした「アクセスクローン」によって、リスクがどんどん作られることになる。
アクセスクローンによるリスクの増大
実際、SailPointの調べでは72%の企業が退社した従業員によるデータ盗難を検知しており、しかも前年(2019年)比でも230%に増えているという。また、前述したアクセス権を過剰に持ったユーザーによる侵害も75%にのぼっている。さらにクラウドでのインサイダー攻撃について53%の企業は検知が困難であると回答しているという。「これだけ爆発的にクラウドが普及し、何十・何百ものシステムを使っている現在、人がアクセスを管理するのはもはや不可能。テクノロジーを使って、管理する必要があります」と藤本氏は語る。
