IGA(Identity Governance and Administration:IDとアクセス権限の統制)を導入してIDとアクセス制御の管理を統合し、最適化することにより統制の効いたセキュリティ対策を実現できます。しかし、IGAの導入を進める際には、システム環境、ビジネス環境の複雑化を背景とした作業量の膨大さがハードルになりがちです。すでに企業においてはさまざまなシステムの認証を統合するサービスIDaaSの導入が拡大しているなかで、これからの時代に求められるIAM(Identity and Access Management: IGAやIDaaSなどを含むIDにかかわるすべての管理・統制)のあり方とはどういうものなのでしょうか。また、IGAの実効性と効率性を両立させる現実解とは何なのでしょうか。
第1回に続きSaviyntのソリューションエンジニアリングディレクター 岩崎 輝之氏と、KPMGコンサルティング(以下、KPMG)のシニアマネジャー 畠山 誠が解説します。
リスクに備えるためのID整備の重要性
Q:深刻化・複雑化していくセキュリティリスクに対処するうえで、企業においてはどこから着手し、どのように進めていけばよいのでしょうか。
畠山:企業が実施すべきセキュリティ施策にはさまざまなものがありますが、まずは誰が何をしているのかを識別できるようにするために、IDの整備が有効です。IDはセキュリティの土台であり、これを抜きにしてはその先に導入するソリューションもツールも、十分に活用できない懸念があります。今までのように外の人は信頼できないが社内のイントラネットの中にいる人は信用できるという前提に立った境界防御の世界から、誰もが信頼できないという前提に立った「ゼロトラスト」の世界になると、誰が今アクセスしているのか、そのユーザが果たして本人なのかどうかを検証していくといった、いわば「主語」を特定する作業こそ先決と言えるでしょう。
ここで重要なのは、単にどのようなIDがあり、それぞれのIDを誰が使っているか確かめるだけでなく、各IDに付与されているアクセス権限を確認する「権限の棚卸」を合わせて実施することです。ただ、アプリケーションの数は何百、何千にも上り、各アプリケーションも膨大な数のアクセス権限をユーザに付与している状況において、一つひとつ問い合わせなければいけない作業負担が、その実施を妨げるハードルとなっています。一口にアクセス権といっても、データを読むだけの参照権、データを登録・更新・削除できる更新権、さらには承認可能な承認権など1つのアプリケーションの中にも数多くの権限があり、ユーザの役割ごとに与えられている権限が異なります。そのため、アプリケーションとユーザの組合せの数は膨大になり、特に大企業ではその数は10万通りを超えることがあるため、人間では管理不可能な状態になっています。
岩崎氏:たしかに多くの企業においてIDの重要性は認識されているものの、現状のIAMの全体像が把握できないほど複雑怪奇化してしまい、そのリプレース・高度化に二の足を踏む傾向があるようです。そのため、必要最低限の施策と思われる多要素認証の導入やシングルサインオン(SSO)の導入のみ行い、IGAの領域であるIDやアクセス制御の管理をおざなりにしがちです。
たとえば正社員のIDを人事システムが管理する情報を利用して発行し、登録情報が正しいことが担保されていたとしても、IGAの導入・高度化を実施していなければ、派遣社員や請負社員のIDは手作業で発行しているということもありえます。IDがどこまで適切に管理されているか把握できないまま放置されている、という状況ですね。
左から KPMG 畠山、Saviynt 岩崎氏
IGA導入に必要な発想とは
畠山:IGAの導入が進まないもう1つの理由として、IGAに関するリスクや導入効果を把握できていないことが挙げられます。現状ではどこにリスクがあるか把握できていないことが多いため、アセスメントを実施してリスクを評価し改善策を立案する必要があります。その際、人的リソースは決して無限ではないため、リスク評価の結果を踏まえて改善策の優先順位を付けることも重要です。
岩崎氏:多方面から情報収集を行って現状を把握することで、優先的に解決すべき課題が浮かび上がってくるはずです。たとえば「ここのシステムでIDの消し忘れが相次いでいる」「社員については今の仕組みで管理できているけれど、社外の人のID管理が全然できていない」といった課題を特定して初めて、自動ID削除やID管理レポートの設定といった具体的な方法論を議論する土台が作られるのです。
また、セキュリティは「ルールを決めたから大丈夫」という性質のものではありません。各部門の手作業に任せてチェックリスト形式で管理し、時折ミスが発生してしまうといった現状であれば、時代に即した対応へと転換するための現実解を検討する必要があります。
Saviynt 岩崎氏
畠山:単にセキュリティルールに従って運用するだけでなく、実効性・効率性を高めるために「中央集権化」と「可視化」を進めていくことが、IGAに取り組む上で重要な発想になるということですね。
Q:アセスメントを実施した後は、どのようにID管理・統制の整備を進めていけばよいのでしょうか。
畠山:管理・統制の「共通化」を進めることが重要です。IDやそのIDが持つアクセス権限の管理をシステムごとに別々に整理しようとすると、「システム×利用者」の数に応じて検討すべき項目が爆発的に増えてしまいます。しかし、類似するシステムに同様の権限を付与するといった考え方なら、効率的に整理を進めることができます。また、互いに似通ったシステム同士であれば、おそらく申請ロールや承認ロールも似たような内容になっているはずなので、共通化が可能かもしれません。共通化の発想は海外企業では早くから浸透していましたが、日本企業においても、足元でその有効性の理解が少しずつ広がってきている印象です。
岩崎氏:共通化という発想は権限の付与だけでなく権限の棚卸にも適用できますよね。ERPなど複雑なシステムになると、1人に多数の権限が割り当てられていることもあり、手作業任せでの棚卸は非常に困難です。ある人に付与されているIDや権限を見たときに、その人と同じチームに所属するメンバーたちや、似たような立場にいる人は同じようなアプリケーションを利用し、同じような権限を保有する可能性が高いと考えられます。各ユーザがどのようなアプリケーションを使ってよいか、またどのような権限を付与してよいか確認することにおいては、別のユーザの権限付与状況について、機械学習などのAIテクノロジーを活用する余地が大きい部分でもあります。
複雑化するID管理の現在地
Q:一口にIDの管理と言っても、多様な種類のIDが存在しています。
KPMG 畠山
畠山:多様なIDの管理というのはまさに、多くの企業が共通して抱えている悩みと言えるのではないでしょうか。たとえば、サービスデスクに払い出す権限はどう管理するのか。また、ウェブサイト自体のシステムには手をつけないけれど、コンテンツを編集するだけの人については、どう位置付けるべきなのか。KPMGは統合的に管理するという考えに立脚し、IDや権限の種類に応じて求めるセキュリティレベルやその管理プロセスの整備について包括的なサポートを提供しています。
岩崎氏:基本的な考え方はSaviyntも同じです。その上で、私たちが現場で奨励しているのは、トップダウンとボトムアップを適度に使い分けるという考え方です。日本でもようやくジョブ型の働き方が導入され始めていますが、企業における社員の大多数は今も、複数の部署を転々としながら出世していくというモデルの内側に置かれています。役割の明確な区分けが難しい組織文化の中では、単純にトップダウンでロールを設計すると、どこかで行き詰ってしまう懸念があります。
畠山:各ユーザが従事する業務の特徴に応じ、最小限の権限を必要なタイミングでのみ付与することが大切ということですね。
岩崎氏:第1回の対談でも話題に上ったとおり、派遣社員や常駐パートナー、ベンダーなど、社外の人も自社システムを利用するケースが増えているなか、正社員以外を含めたID管理の作業は一層複雑化しています。一人ひとりの所掌を明文化するジョブディスクリプションの導入が道半ばで、複数の役職を兼務するケースが多い企業であれば、克服すべき課題はなおさら多くなります。第3回で詳しくご説明しますが、SaviyntはAI技術を活用し、多様化する権限の集中管理的な統制を効率的に実現するサービスを提供しています。
畠山:ID管理・統制のためにIGAを導入するという動きが広がっていること自体は望ましい潮流ですが、何を目指して、どのようなプロセスで対応を進めていくかを示すロードマップを策定することも重要だと考えています。その上で、どのようなツールを導入するのか検討するという段取りを踏めば、対策の漏れや重複を防ぐことにつながります。しっかりとしたロードマップに従って、適切なユーザのみにIDを払い出し、誰が何に対してどのような権限を持っているか、持たせるべきかを可視化・管理するアクセス統制を確保することで、各企業は最終目的地への到達をよりスピーディに実現できるでしょう。
※第3回ではSaviyntが提供するソリューションを紹介し、IGAの方法論についてさらに具体的に掘り下げていきます。
