リモートワーク拡大でクラウド化が急速に進むなか、企業が新たに対処すべきセキュリティリスクとは何か。クラウド化に対応したセキュリティソリューションの最新動向も含め、KPMGコンサルティング株式会社(以下、KPMG)のシニアマネジャー 畠山 誠とSailPointテクノロジーズジャパン合同会社(以下、SailPoint社) シニアセールスエンジニア 佐藤 公理氏の対談を通じて、解説します。

Q:クラウドへの移行はコロナ禍で急速に進みましたが、セキュリティ製品のクラウド化、SaaS化についてはいかがでしょうか。

畠山:クラウドについて、以前は警戒感を示す企業もありましたが、今では随分少なくなり、ID管理やIGA(Identity Governance & Administration)に取り組もうとする企業のなかでは「クラウドベースのサービスを前提に進めよう」との意見が増えています。

対談写真_畠山

KPMG 畠山

対談写真_佐藤氏

SailPoint社 佐藤氏

佐藤氏:「今から始めるならSaaS版IGA」というのが共通の理解になりつつあるようです。ただ、ここで強調したいのが「SaaS版IGAを選びさえすればいい」というわけではないということです。そもそもSaaSとは「Software as a Service」の略で、当社が提供している「SailPoint IdentityNow」をはじめ、一般的に業務で活用されている代表的なSaaSのほぼすべてが「マルチテナントかつマイクロサービス(サービスを細かく分割し、マルチテナント環境に分散配備して実行する)」という作りになっています。

最近は既存のソフトウェアをIaaSに乗せて動かしているものまで「SaaS」として販売するベンダーもいます。「SaaSではない」と言い切れませんが、利用者側でソフトウェアをインストールして設定する必要があり、何かセキュリティの問題が発生した際に個別でアップグレードしなくてはいけないなど、ダウンタイムが必要となります。一方、狭義のSaaSは、細かいマイクロサービスごとにパッチ適用が可能なので、基本的にダウンタイムがありません。そうした意味で「SaaSを正しく選べるかどうか」は、運用にかかわる大事なポイントと言えるでしょう。クラウド上のSaaSである「SailPoint IdentityNow」であれば、オンプレミスかクラウドかを問わず、社内にゲートウェイ的なモジュールを入れるだけですべての情報をつなぐことができるアーキテクチャになっています。こういった利便性も狭義のSaaSを選ぶべきポイントの1つだと考えます。

グローバルでセキュリティガバナンスを実践する重要性

Q:日本でも海外のセキュリティ製品を積極的に活用しようとする企業が増えているようです。

佐藤氏:SailPointが誕生した米国や欧州では、SailPointのIGAソリューションがコーポレートガバナンスの実践や法令遵守を果たす上でのニーズと合致した結果、成長してきました。またここ数年は、「ビジネスのスピードが加速しIT環境が複雑化するなかで、人間の力だけでID管理をするのは難しく、SaaSソリューションの活用が必須」という流れがあり、さらに成長が加速しています。アジア太平洋地域、とりわけ日本でも潜在ニーズは高かったと考えています。

畠山:日本でも海外発のソリューションの需要は確実に高まっており、これは本社を中心に海外子会社等も含めてグローバルにセキュリティガバナンスを強化していこう、という流れによるものだと見ています。たとえば、海外子会社で不正アクセスが発生すれば、日本も本社もサイバー攻撃を受ける恐れがある、という危険性が広く認知されるようになっています。その対策としてグローバルにセキュリティガバナンスを効かせる必要が出てきており、日本製品ではグローバルに展開しづらい面があるため、海外製品が選択肢に挙がる、ということでしょう。

佐藤氏:実際に、日本の企業から「海外子会社・部門へSailPointソリューションの説明をしてほしい」という要望がたびたび寄せられます。グローバルにセキュリティガバナンスを実践する、なかでもIGAを実現するにあたり、「ソリューションの統一」は非常に重要です。自社あるいは自グループのなかで、共通の認識や前提で語ることができなければ、ガバナンスを効かせることはできません。

畠山:グローバルでの統一という意味では、実際にIGAを行うにあたり、人事システムを更改する、あるいは、今まで各国で管理していた人事データをグローバルで統一する、といった際に 「IGAも含めた大規模プロジェクトとして取り組む」というケースがよく聞かれます。IGAやID管理、人事システムは密接に結び付くので、そうした切り替えのタイミングで一緒に実施すれば現場での混乱が少ないと考えるのは自然なことです。

理想的なID管理の実現に向けて

Q:「SailPoint IdentityNow」が理想とするあり方とはどのようなものでしょうか。

佐藤氏:ビジネスのスピードが従来に比べて格段に速くなり、ダイナミックに変化しているのは周知の事実です。人事面でも転職者が増加し、入社、退社に伴い、業務アプリケーションに新たなアカウントを発行・削除する機会も増えています。もはや、人間の力だけで対応していくのは現実的ではない、と言えます。当社では、そうした状況を踏まえ、AIに基づいたアイデンティティセキュリティの実現を目指し、社内のIDに関連するすべての情報を収集して可視化し、「将来どうなるべきか、次はどうするべきか」を予測して改善の提案をする、という方向性を打ち出しています。

ID管理やIGAに限らず、ITというのはすべて「人を働かせるものではなく、人を助ける、人の作業を代替するもの」であるべきです。そうした意味で、理想とするのは、「情報提供の機会は1回だけ。その後はプライバシーを安全に守ったまま、自動的に情報が連携される状態」であり、これを実現するのが「SailPoint IdentityNow」です。

畠山:クライアントが「SailPoint IdentityNow」を採用される場合、KPMGはそのロードマップを引いて、支援します。精度を上げ、加速しているビジネス環境に追従できるよう、あらかじめID管理とはどういうものかをモデル化したソリューションとして「KPMG Powered Enterprise enabled by SailPoint」を提供するようになりました。たとえば、誰にどのような権限を与えるか、ID発行のプロセスはどうするか、どのようにそのルールを運用し続けて永続的な価値を得られるようにするか、といった事柄をKPMG側で検討しフレームワーク化することで、「これに沿って検討・実践すれば、実用的な理想形が確実に構築でき、SaaSの利点を生かせる」という状態を提供するといったものです。単に理想を追い求めると、“絵に描いた餅”になってしまいがちですが、それを回避するためのソリューションが「KPMG Powered Enterprise enabled by SailPoint」というわけです。

Q:最後に、IGAプロジェクトの担当者にとって重要なポイントを改めて聞かせてください。

佐藤氏:IGAを実践するとなると、必然的に従来業務を大幅に変えることになり、組織内で抵抗感を覚える人が出てくるかもしれません。業務を変える、セキュリティへの考え方を変える、ID管理のあり方を変える、ということをきちんと理解して踏み出してほしいですが、踏み出せない理由も理解しておく必要があると思います。特に日本のように人材流動性が低い環境では、前任者がいるなかで従来のやり方を否定するような取組みを実行するのは難しい場合があることも容易に想像できます。こういったハードルを乗り越え、「時代に合わなくなったものは新しくしよう」とマインドセットを変えられるかどうか、がまさに今、問われています。サイバーセキュリティの観点で言うと、敵は外部に存在しています。社内のセクショナリズムやサイロ化の状態にとらわれることなく、組織全体で協力して進めていくことが非常に重要です。

畠山:「IGAは単なるITインフラプロジェクトにとどめるべきものではない」ことを強調したいと思います。サイバー戦略は会社の経営課題の一翼として大きく取り上げられるべきで、ID管理やIGAもサイバーセキュリティの一環と位置付けし、真剣に検討してもらえればと思います。