ビジネス環境がめまぐるしく変化するなか、サイバーセキュリティリスクに対処するため、企業におけるIGA(Identity Governance and Administration: IDとアクセス権限の統制)の重要性が増しています。なぜ今、IGAの取組みが求められているのでしょうか。IGAにおいては、何から着手し、どのように進めていけばよいのでしょうか。Saviyntのソリューションエンジニアリングディレクター 岩崎 輝之氏と、KPMGコンサルティング(以下、KPMG)のパートナー 澤田 智輝が解説します。
サイバーセキュリティを巡る企業の現状
Q:サイバーセキュリティをめぐる環境は複雑化してきています。そのなかで、企業はどのような状況に置かれているのでしょうか。
澤田:対応すべき課題が急速に増えている一方で、人的・予算的なリソースの確保が追いつかない。こうしたギャップの拡大こそが、今の時代に多くの企業が直面しているサイバーセキュリティの課題だといえます。
サイバーセキュリティにおいてはID管理とその統制が重要な地位を占めており、今回の連続対談の主題であるIGA(ユーザにIDや権限が正しく付与されているかを管理・統制する仕組み)が重要となっています。しかし、IGAに対応できる日本企業はまだまだ少ないのではないでしょうか。
海外ではネットワークおよび情報システムに関連する指令であるEUのNIS2指令など規制整備を背景として、IGAの重要性について理解が広く浸透しつつあります。日本の金融庁も2024年10月、認証・アクセス制御を盛り込んだ「金融分野におけるサイバーセキュリティに関するガイドライン」を公表しました。金融機関の監督官庁として、IGAに関連する具体的なメッセージを発した意義は大きいと考えています。
岩崎氏:金融庁のガイドラインでは「認証とアクセス権の付与に関する方針・規定の策定と定期的な見直し」に「システムや情報の重要度を考慮したアクセス権限の付与」、「アクセスしたユーザの特定とログへの記録」、そして「グループ会社、海外拠点を含めた脆弱性対応」など、IGAに取り組む上で基本となる重要な事項が盛り込まれました。ガイドラインを通じてIGAに関する理解が一層浸透し、各事業者において具体的な行動に結び付いていくことが期待されますね。
澤田:一方で、IGA推進の役割を担うセキュリティ部門における人的リソースの確保が、多くの企業にとって深刻な課題となっています。
KPMGコンサルティングが実施した調査(サイバーセキュリティサーベイ2025)でセキュリティ部門の人数について尋ねたところ、10人未満との回答が全体の72.9%に上りました。協力いただいた回答者に大企業が相当数を占めていることを考えると、企業規模にかかわらず人手不足が課題になっている実情がうかがえます。
左から Saviynt 岩崎氏、KPMG 澤田
岩崎氏:人手不足の背景には、企業で使用しているシステム自体の増加もあります。100以上のシステムを利用することはもはや当たり前で、企業によっては1000を超えることさえ珍しくないでしょう。セキュリティ部門のリソースが限られるなか、実際にシステムを正しくコントロールできているのは、残念ながらそのごく一部に限られているといった話も耳にします。
セキュリティ部門の人員が足りないと、今まで目をつぶっていたリスクについて新たに対策する際、ほかのセキュリティ対応のためのリソースを割り当てることになるといった悪循環に陥りがちです。理想としては、セキュリティリスクを減らしつつ運用を効率化することで既存の施策のためのリソースを削減し、空いたリソースを使ってさらに次の手を打つことが望ましいですが、多くの企業では「言うは易く行うは難し」といった状況ではないでしょうか。
ビジネス環境変化に伴うリスク抑制の課題
Q:人材の流動化や海外展開、M&Aなどによるグループ拡大、クラウド化など、サイバーセキュリティの前提となるビジネスの環境も大きく変化しています。リスク抑制の観点で対応すべき課題も変わっていくのでしょうか。
岩崎氏:人材の流動化という観点でみると、終身雇用制という人的資本システムの前提が変わりつつあり、その結果、セキュリティの課題も当然変わっていきます。一昔前であれば、いったん就職すれば皆が家族同然に同じ船に乗り、何十年も一緒に過ごすような状況が当然であると考えられていました。しかし現在では人材の流動性が高まっていることに加え、M&Aの増加によって子会社との間でシステムを共有する機会が増え、さらに派遣社員・請負社員などの人材が社外から社内システムに接続することも日常茶飯事となっています。「入り口での検査は厳密にしますが、一度中に入ると誰でも船の中を自由に見て回れます」といったセキュリティモデルは、もはや通用しなくなっているのです。
Saviynt 岩崎氏
澤田:社内と社外の境界線にファイアウォールを設置すればもう安心、という雰囲気であった時代が、今となっては懐かしいくらいですね。
岩崎氏:おっしゃるとおり、特にクラウド化を進めている企業においては、ファイアウォールを前提とした旧来のセキュリティ対策とは異なる対処法を考える必要性が高まっています。とはいえ今の時点で、完全にオンプレミスから脱却している例がほとんど見当たらないのも事実です。たいていの場合、オンプレとクラウドが併存しているので、対応すべき課題が余計に増えてしまっているのです。オンプレのアプリケーションが多数残存する状況を前提として、できるだけ手をかけず、いかにセキュリティを向上させていくかといったソリューションが強く求められています。
KPMG 澤田
澤田:グローバルに展開する企業においては、海外子会社のセキュリティ管理についても頭を悩ませているケースが多いようです。グループ全体としてみればいわゆる大企業であっても、子会社自体は中小規模であり、セキュリティへの投資を子会社が自前でまかなうことは難しい場合が少なくありません。本社側の表玄関は鼠1匹入れないほど立派で厳重な扉があるのに、子会社側の勝手口は解放されていて、誰でも入れてしまうといった状況に陥る懸念があります。
岩崎氏:セキュリティリスクは最も脆弱な部分に集中するため、グループ内の会社間、あるいは同一企業の部門間でセキュリティの意識にギャップがあること自体がリスクだと言えますね。
澤田:社内の部門ごと、あるいはグループ内の個社ごとにバラバラに対策を検討するのではなく、全体として最適なセキュリティのあり方を検討する必要があると考えています。現にIGAをある程度実施している企業の間でも、その実効性の程度は企業ごとに大きく差が開いています。MFA(多要素認証)やSSO(シングルサインオン)の導入は広がっていますが、IGA領域については、その重要性のわりに理解が浸透しきっていないように感じます。
高まるセキュリティ施策のニーズ
岩崎氏:限りあるリソースのなかで、複雑化、多様化する課題に一つひとつ対応するためには、やはり自動化できるセキュリティ施策を採用していくという発想も重要です。AIなどのテクノロジーを活用し、効率的に課題を解決していく仕組みのニーズも高まっていますね。
澤田:具体的な方法論に進む前に改めて強調しておきたいのは、サイバーインシデントが生じた場合の被害の規模が年々、拡大しているということです。先述したKPMGコンサルティングの調査によると、過去1年間の合計被害額が1000万円以上になった割合は44%に上りました。前々回(2022年)調査時の16.1%から、わずか3年で倍以上に急拡大しているのです。大企業だけでなく中小企業においても、1億円以上に上る大規模な被害を受けることが珍しくありません。
岩崎氏:こうした統計をみても、IGAを企業全体の経営課題として捉える必要性の大きさを改めて感じますね。
澤田:デフレが長く続いていた間は、人の価値よりお金の価値の方が相対的に上がっていたので、あらゆる課題についてお金をかけるよりも人手で解決するような風潮があったのではないかと思います。今、日本がインフレへと転換しつつあるなかで、できるだけ人手をかけずに課題を解決する方向へと社会全体がシフトしていき、IGAの領域も決して例外ではないと考えられます。
※第2回ではIGAを具体的にどのように進めていくのか、どのような課題に立ち向かうことになるのか、議論を深めていきます。
