働き方の急速な変化
働く場所は急速かつ大幅に進化し続けており、これからの働き方はリモートワークと従来の勤務場所を組み合わせたハイブリッドモデルになりそうです。「KPMGグローバルCEO調査2021」で明らかになったように、世界各国の経営者は社員の声に耳を傾け、在宅勤務の利便性とともに、職場での同僚とのコラボレーションや共同作業を可能にする、より柔軟な職場環境を整えつつあります。
同調査から、半数以上(51%)のCEOは、急速に進化する環境から生まれる需要を認識し、柔軟性を高めるために共有オフィスへの投資を検討しています。さらに、42%のCEOが、リモートワーク中心の人材を採用し、より多くの人材にアプローチする機会を得たいと考えています。
つまり、先見性のあるCEOは、新型コロナウイルス感染症(COVID-19)による大きな混乱を経て、成長のために自社の業務を適応させる「ハイブリッドワーク」を考え出したことになります。このトレンドは驚くほど急激に加速し、既に大きな影響を及ぼしています。テクノロジー、モバイルデバイス、インターネットのハイパーコネクティビティにより、実は以前からこの新しい働き方への移行は始まっており、ハイブリッドワーク、クラウド、オンライン上のコラボレーションプラットフォームに関連するリスクは目新しいものではありません。しかし、急速な拡大により、現在、すべての組織と個人は「いかにして自分たちの情報を守るのか」という問いに直面しています。
企業間コラボレーションとクラウド化
自社の強みや目標に集中するため、ビジネスサポート機能をアウトソーシングする企業が増えているという現実も、この課題に拍車をかけています。アウトソーサーはシステムやインフラにリモートアクセスし、すべてを稼働させる必要があると同時に、多くの企業、機関、政府が持つ共通の問題やイノベーションのニーズに対する新しい解決策を共同で開発するようになりました。この傾向を支援するため、企業は組織横断的なデータ、インフラ、資産へのアクセスを可能とする環境を拡大しつつあります。
ビジネスモデルが急速かつ継続的に進化する中で、クラウドを採用することにより、アプリケーションやサービスがオンプレミスのデータセンターから仮想クラウド環境に移行しています。クラウドサービスを利用すれば、ボタンを押すだけで、いつでもどこでもサービスを受けることができます。このように、ITのエコシステムとニーズが急速に変化する中で、企業はデータ保護とアクセス制御のための機能強化が重要となっています。
IDとアクセス管理が可能にするハイブリッドワーク
多くの企業が気付いているように、リモートワークは生産的かつ効率的である一方、テクノロジーの使用とそれに伴うリスクについて、オフィスでの業務よりも多くの課題を抱えている可能性があります。
ビジネスリーダーは、リモートワークの頻度を高めるためにさらなる管理が必要なのか、それともすでに使用している技術に頼ることができるのか、自問自答しています。仮想プライベートネットワーク(VPN)、仮想デスクトップ、モバイルデバイスなどの現在のテクノロジーは、現在や将来のニーズを満たしているのでしょうか。
これらの技術の多くは「組織内の情報を組織外でも簡単に利用できるようにする」というコンセプトに基づいています。したがって、リモートワークとは、「インターネットに接続できる人なら誰でも、組織のネットワークや情報にアクセスを試行できること」を意味します。このシナリオでは、特権IDで接続する環境や、ビジネスクリティカルなシステム、企業機密データ等へのアクセス時に、ユーザー本人の身元とデータの信頼性をより高いレベルで保証することが絶対的に必要となります。
IDとアクセス管理(IAM)は、今日の進化する組織において、貴重な情報とリソースの重要な門番として機能します。IAMは効果的に設計・導入されれば、リモートワークのセキュリティリスクを軽減し、同時に効率性を向上させることができます。IAMを活用し、ハイブリッドの職場を有効に機能させるためには、以下の点を考慮してください。
コンテクストを意識する
現在、IAM製品の機能として、特定の変数に基づいてデータにアクセスしようとする人の身元を評価する「コンテクスト・アウェアネス」が追加されています。従業員の場所、時間帯、ログインに使用したデバイスなどの変数を評価し、リスクレベルを示します。このリスクレベルによって、ユーザーの身元をさらに保証するための制御が行われます。
たとえば、業務上重要なアプリケーションにアクセスする際には、追加の認証を要求することができます。オフィスでの勤務が一般的だった頃とは違い、業務時間が白黒ではなくなり、仕事と家庭生活の境界があいまいになり、人々の働き方が変わったことで解決が求められる多様な新しい課題が発生しているということです。IAMはその解決策になり得ます。
IDとアクセスガバナンスの確保
リモートワークでもオフィスワークでも、IDの確認に加え、アクセス権が適切に付与されているかどうかは重要なポイントです。IAMの全体的なガバナンス(プロセス、手順、承認、監視)の質は、認証と認可の可視性と制御に大きな影響を与える可能性があります。組織がこれを正しく実行すればするほど、ビジネスに影響を与える前に脅威を特定できる可能性が高くなります。権限の割り当てとレビューの実施は簡単な作業のように見えますが、多くの組織でこうした基本的な要素が欠けていることが、IAM関連のインシデントを完全に見逃したり、特定が遅れたりする最大の原因の1つになっています。
IAMとセキュリティ運用の統合
ハイブリッドワークはセキュリティ侵害の特定に時間がかかるリスクがありますが、IAMがタイムリーな検出を支援することができます。セキュリティ・インシデントおよびイベント管理(SIEM)ソリューションは、組織全体のユーザー活動を監視する優れた機能を備えていますが、ユーザー活動が許可されているかどうかを判断するためのコンテクストが欠落しています。この欠落したコンテクストは、IAMで見つけることができます。SIEMとIAMを統合することで、SIEMソリューションは例外をより適切に特定できるようになり、IAMは脅威に対応するためにアクセスを遮断する方法として使用することができます。
ハイブリッドワークは今後も続くと思われますが、それに伴うリスクも無視できません。企業はこのようなリスクに対処する必要があり、IAMはその中核となる要素です。IAMはIDやアクセス権限を管理し、ハイブリッドワークの時代にあなたと、あなたの情報の安全を確保するのに役立ちます。
本レポートは、KPMGインターナショナルが、2022年6月に発表した「Identity and access management becomes a critical gatekeeper」を翻訳したものです。翻訳と英語原文間に齟齬がある場合には、当該英語原文が優先するものとします。
原文はこちらから(英語)
Identity and access management becomes a critical gatekeeper
関連サービス
Powered Enterprise Cyber
デジタル化を推進する上でサイバーセキュリティは必要不可欠であり、特にアイデンティティ&アクセス管理(IAM)、セキュリティインシデントレスポンス、脆弱性管理の整備は非常に重要な要素となっています。
KPMGは、独自のソリューションであるPowered Enterprise Cyberを活用し、デジタル化を推進するためのさまざまな課題解決を支援します。
サービスの詳細はこちら