デジタル・アイデンティティを活用した企業への信頼の強化
新型コロナウイルス感染症(COVID-19)の拡大でデジタル化が加速し、わずか数ヵ月で数年分の変化が起こりました。ハイブリッドワークが新しい働き方として浸透し、人々はさまざまなモバイルデバイスを使って自宅から(あるいはどこからでも)リモートで仕事することができるようになりました。
一方、デジタル化が急速に進む中、組織全体がリスクにさらされる機会が増加しています。テクノロジーとセキュリティの観点では、デジタルファーストのアプローチは物理的な障壁を取り除き、クラウドとSaaSによって遠く離れた場所でも簡単につながるようになりました。
デジタル・アイデンティティは、健全なサイバーセキュリティ環境の中核をなすもので、デジタル・アイデンティティを正しく活用することは、企業がデジタルトラストを得る上で非常に重要です。企業や組織はデジタル・アイデンティティを有効に活用することで円滑に本人確認を完了できます。現在、利用者はその都度、自分の身元を証明しなければならず、多くの場合、取引に必要なデータよりも多くの個人情報を入力する必要があります。
企業は、誰が自社の環境にアクセスするかを監視し、各リソースへのアクセスを誰に許可すべきか、適切に判断しなくてはいけません。アクセス要求を受けるたびに、生体情報、デバイスやユーザーの行動(アクセス場所、時間、頻度)などの複数の要素を検証すべきです。
最終的には、デジタル・アイデンティティの「ゼロトラスト・モデル」への移行を検討することが極めて重要になります。「ゼロトラスト・モデル」とはセキュリティの考え方の1つで、基本的にすべての接続ポイントにおけるすべてのトランザクションを調査するというモデルです。これは単一の技術やツール、プラットフォームだけで達成できるものではありません。
セキュリティにおける共通機能の統合
セキュリティの世界において、「コンバージェンス」という考え方は、組織が従業員や顧客、ビジネスパートナーを共通化して扱うことを意味します。これまで長い間、すべてのステークホルダー(社内・その関係者と顧客)は、別々に存在しており、多くの企業では、各ステークホルダーによって複数の管理方法や技術スタック、フレームワークを使い分けています。
今こそ、共通のフレームワークを用いて、デジタルIDの管理を統合するべきです。今後、企業は顧客や、取引先、従業員を共通の機能を活用して管理する必要があります。各グループを管理する最善の方法については、これまでにも多くの教訓が得られています。ここでは、デジタルIDを正しく管理するために取るべき3つのアクションを紹介します。
(1)社内と社外を一体的に考える
脅威について考える際、共通の考え方でアプローチすることが重要で、外部と内部の脅威は連携していると捉える必要があります。これにより潜在的な脅威を網羅的に把握できるだけでなく、内部と外部の両方向からの攻撃が混在したケースの攻撃も見逃すことなく対応できます。
(2)監視能力を強化する
テクノロジーの観点からは、誰がどのようにアクセスしているかを検知し、チェックできることが非常に重要です。本人認証に関しては十分な施策がとられている企業が多いものの、監視については不十分な面があり、企業のセキュリティの弱点となるかもしれません。加えて、入社、異動、退職に伴う手続きと監視システムを正しく統合させないと、脆弱性が放置されたままになってしまいます。
(3)リスクベースのアプローチでデータを保護する
重要な資産に優先順位をつけ、可能な限り悪意のある行為を防止し、脅威を迅速に検知して対応できるよう備えておく必要があります。では、最高レベルのセキュリティで保護すべき企業の資産とはどのようなものでしょうか。ゼロトラスト・アプローチでは、「きめ細かい」アクセス権を設定できますが、それを活用するためには、企業にとって最も価値のある情報は何かを理解する必要があります。
個別の企業ができることのほか、「自己主権型アイデンティティ(Self-Sovereign Identity)」の検討・開発も進められています。これは政府や金融機関、公益事業者などによって証明されるデジタル・アイデンティティのことで、運営者の異なるさまざまなシステムへ、より手軽な認証機能を提供します。紙ベースの文書は盗難や詐欺の危険性が高いため、デジタルIDモデルが広く採用されれば、大きな進歩となるでしょう。
政府や金融機関、公益事業者による証明により、自己主権型アイデンティティはより高いレベルでの身分証明を可能にします。こういった形式の ID では、消費者や市民はどの組織とIDを共有するかを選択できます。例えば米国では、(空港に接続された)デジタルトラベル・アイデンティティをカルテやワクチンの接種記録などと連携させることが可能です。
政府は市民のアイデンティティを証明する最高権威として重要な役割を果たすでしょう。官民の協力によってのみ、組織はソリューションを構築し、デジタル経済を確立するために必要なイノベーション、俊敏性、規模を活用することができます。
強固なデジタル IDを導入することで、企業は(1)セキュリティと情報の保護の強化(2)リスク管理の改善(3)アクセスリスクの管理(4)サイバー攻撃の防止、のすべてが可能となります。企業はユーザーエクスペリエンスを迅速に向上させ、社内外の取組みを連携させることで、持続可能な変化を実現し決定的な優位性を得られるでしょう。
本レポートは、KPMGインターナショナルが、2022年6月に発表した「Bringing identity models together」を翻訳したものです。翻訳と英語原文間に齟齬がある場合には、当該英語原文が優先するものとします。
原文はこちらから(英語)
Bringing identity models together
関連サービス
Powered Enterprise Cyber
デジタル化を推進する上でサイバーセキュリティは必要不可欠であり、特にアイデンティティ&アクセス管理(IAM)、セキュリティインシデントレスポンス、脆弱性管理の整備は非常に重要な要素となっています。
KPMGは、独自のソリューションであるPowered Enterprise Cyberを活用し、デジタル化を推進するためのさまざまな課題解決を支援します。
サービスの詳細はこちら