コロナ禍でDXが加速したことで顕在化してきたのが、サイバーセキュリティリスクです。サイバー攻撃の現状や不正アクセスによるサイバー攻撃を防ぐために重要なアイデンティティガバナンス(IDガバナンス)のポイントについて、KPMGコンサルティング株式会社(以下、KPMG)のパートナー 澤田 智輝とSailPointテクノロジーズジャパン合同会社(以下、SailPoint社)パートナー事業推進本部 本部長 盛口 泰孝氏が解説します。
Q:DX化に伴い、新たなネットセキュリティ問題が顕在化しているのはなぜですか。
澤田:リモートワークが広がったことで、働き手にとっては選択肢が増え企業にとっても適材適所に人材を配置しやすくなりました。一方、自宅からのアクセスでネットワークの負荷が高まり業務効率が落ちるといった問題や、同じ職場で働いている派遣社員や協力会社の従業員が外部からログインできないといった問題など、セキュリティ対策と現場が実施したいことのギャップが露呈しました。こういった問題を解決するには、従来の方針を見直し、それぞれの実情に合うよう適切に投資する必要があります。
盛口氏:リモートワークをきっかけに、今までの延長ではなく時代に合ったセキュリティ対策を考える必要が出てきました。時代に即したセキュリティ対策を実施・実現しないことによるさらなる被害やコスト増を回避するため、これまでとは違った予算配分に舵を切り投資をしていくべきだと感じています。
深刻化するサイバー攻撃の現状
Q:サイバー攻撃の高度化が指摘されていますが、実際にどのような被害が起きているのでしょうか。
澤田:古くは、企業のサイトにいたずらをしかけるなど、自身のスキルを誇示することがサイバー攻撃の主な目的だったものですが、今や「いかに現金化するか」に主眼が置かれるようになりました。攻撃内容もコロナ禍の前後で顕著に変わったと言えます。
たとえば、少し前までのランサムウェア攻撃は、攻撃者が企業のデータを無選別に暗号化し、復号キーを渡す代わりに身代金を要求するというものでした。最近では企業側の対策のレベルが上がり、企業のネットワークを調べ、あるいは権限を奪取し、「どこにどういったデータが存在し、どれを暗号化すれば確実に企業に被害を与えられるか」を的確に分析して攻撃する事例が増えています。「庭先のものを盗まれた」というレベルから、「建物の鍵を盗まれて最も高価なものを盗まれる」というレベルに変わるくらい、深刻度が変わってしまったということです。ランサムウェア攻撃の効果的な対策とされてきた「データのバックアップと復号化」を阻止するため、バックアップデータまで攻撃するケースが出始めています。数年前のランサムウェア攻撃とは明らかに次元が異なってきたことを経営層の方々にはぜひ認識していただきたいです。
盛口氏:サイバーセキュリティの知識を刷新するべき、というのは、まさにそのとおりです。サイバー攻撃にはウイルス型と不正アクセス型があり、被害数は今でも増加傾向にあります。どちらも企業にとっては深刻な問題ですが、不正アクセス型に対し、より注意を払う必要があります。ウイルス攻撃の被害件数は大幅に増えているものの、深刻な被害を受けた企業はそこまで多くはないようです。一方、企業のネットワークに入り込んで悪さをする不正アクセス型の攻撃については、深刻な被害を受けた企業が非常に多いとされ、この違いからも、企業にとって深刻なリスクとなる不正アクセスへの対策が急務であることがわかります。
IDガバナンス強化でセキュリティインシデントの早期発見を
Q:不正アクセスへの有効な対策はありますか。
盛口氏:不正アクセスが危険なのは、管理者が「不正アクセスされている」と気付きにくいことです。下の図は、実際に起こった不正アクセスの例を示したものです。攻撃者は何らかの手段で手にした「正しく権限が付与されたIDのログイン情報」を用いてアクセスするので、たとえシングルサインオンや多要素認証を導入していてもログインに成功されると、本人確認が完了した「IDを持つ本人だ」とみなして“正しい”ログインと認識され、不正アクセスされていることの検知が遅れてしまう、というわけです。
企業はこれを踏まえ、「本人確認ができているので問題ない」と考えるのではなく、ログイン後、たとえばCRMやERPなどの情報系のシステムやオンプレ系のシステムに不審なアクセス履歴がないかといった、誰がどのように利用しているのかを横断的に管理する必要があるのではないでしょうか。特に、リモートワークの拡大で、派遣社員や協力会社の従業員などに対してIDを発行する機会が増えており、これまでにも増して、ID管理の必要性が高まっていると言えます。退職者や異動した人のIDに紐づく権限をメンテナンスせずに放置している、という話はよく聞きますが、何かのきっかけでそれが踏み台になって不正アクセスされることも考えられます。そうしたことを起こさない防御の手法として、ID管理は非常に重要です。
澤田:内部統制への対応により、多くの企業がID管理自体には取り組んでいます。ただ「どのユーザーがどのIDを使っていつログインしたか」という程度の監視にとどまっているケースが少なくないのではないでしょうか。モニタリングによる監視、あるいは「必要な時のみに必要な権限を付与する」「異常な使用がないかを監視する」「不正を検知する」といった厳格なID管理が求められています。
盛口氏:職場では、IaaSやストレージ、SaaS、ERPなどさまざまなシステムを活用したり、あたかも1つのID/パスワードでセキュア認証する、という仕組みを導入したりしているでしょう。今まさに問題になっているのは、その認証・ログイン後、そのIDが付与されている権限が各システム側で個別に管理され、統一されていないことです。「ログインしているIDで何にアクセスが可能で、何ができ、実際に何をしているか」を一元管理すること、つまり「ID(アイデンティティ)ガバナンス」が企業の重要な課題となっています。
アクセス権を一括してコントロールしたり、IDそのものの権限設定が誰によって正しくメンテナンスされているのかを管理したり、たとえばERP内で矛盾した権限が設定されていることを検知するような仕組みを導入することは、不正な動きの早期発見につながると思います。
Q:IDごとに問題があるかどうか、どのように判断すればよいですか。
盛口氏:最近は管理すべきID数が膨大になっているため、人の手ですべてを対応するのは非現実的です。当社では、企業内のシステムに対するアクセスを横断的に可視化し、AIによってイレギュラーな動きを発見する機能を提供しています。このような機能を活用することで、不正アクセスの防御および早期発見に加え、不正アクセスが発生した際、早期の原因究明が可能になります。これはサイバーセキュリティ対策の観点で、経営層にとって大きな価値を持つと言えるでしょう。不正アクセスによって被害が起きた際、なぜそれが起きたかわからないとなれば、ステークホルダーへの説明が十分にできず、ブランド毀損やレピュテーションリスクの増大といった新たな問題まで生みだしかねません。IDの権限を可視化して管理することは、データのバックアップを強化してサイバー攻撃に対抗するのと同じぐらい重要、ということです。
澤田:コロナ禍以前から海外の大手金融機関においては、IDを基に、スタッフがどういう行動をしているかを監視し、不正を検知する仕組みを導入する動きが進んでいました。「IDの持ち主がどのようなプロセスで認証され、システムにログインしているか」「次に起こすアクションが妥当か」といったことを一元管理し、不正を検知することが重要、というのはすでに理解され始めていると言えるでしょう。セキュリティについては、インシデントが起こることを前提に、いかに速やかに検知するかを重視する「事故前提」の発想が欠かせません。その上で、ID管理は「中核のなかの中核」と捉えることが、企業の経営層にとって不可欠だと思います。