深刻化するサイバーセキュリティリスクに対応するため、IGA(Identity Governance and Administration:IDとアクセス権限の統制)の取組みを進める企業に対し、Saviyntはどのようなソリューションを提供するのでしょうか。第2回に引き続き、Saviyntのソリューションエンジニアリングディレクター 岩崎 輝之氏とKPMGコンサルティング(以下、KPMG)のシニアマネジャー 畠山 誠が解説します。
Saviyntが提供するIAMソリューション
Q:日本でも、企業のIGA導入の動きは広がっているのでしょうか。
畠山: IAM(Identity and Access Management:IGAやIDaaSなどを含むIDにかかわるすべての管理・統制)の課題を解決するうえでIGAが重要なアプローチだという認識は日本でも広がってきていますが、具体的な行動に踏み出す動きは残念ながら現時点で限定的です。Saviyntはこの分野においてどのようなソリューションを提供していますか。
岩崎氏:IAMに関連するソリューションにはIGA、IDaaSなどの領域がありますが、SaviyntはまさにIGA領域を中心に支援を提供しています。具体的には、アクセス権限の可視化、アクセス権限の最小化、リスク・コンプライアンス・ポリシーの包括的な支援などです。このうちアクセス権限の最小化については、ライフサイクル管理や要求/承認のワークフロー、棚卸やレビューのサポートが含まれています。ゼロトラストの原則に基づいて私たちが構築したISPM(Identity Security Posture Management)はユーザのIDやアクセス権限の状態を、AIを搭載したセキュリティデータベースに統合し、可視化することで管理を容易にし、企業におけるIGAの高度化を後押ししています。
KPMG 畠山
畠山:昔ながらのID管理製品のなかには、棚卸をサポートすると謳いながら、最終的に責任者が気合いを入れて手作業で承認していく部分があり、結局のところ実際の手間の多さは製品導入前後であまり変わらないこともあった印象です。
AIを活用したIGA支援
岩崎氏:Saviyntではクラウドをベースにしたワンプラットフォームを通じ、IGAの効率化と実効性確保の両立をサポートしています。直近では特に、AI技術を活用して棚卸や承認の作業負担を軽減し、高度化する仕組みの強化に力を入れています。アクセスの承認リクエストについては、AIが操作の対象システムをレコメンドしたり、操作に誤りがないかをチェックしたりと、リクエスト側と承認者側の双方にとって作業負担の軽減につながる環境を提供しています。
加えて、一元的にシステムのセキュリティを管理しやすいよう、社員ごとの属性情報を学習し、注意を要する部分を「視覚化」したり、最後の棚卸から相当期間が経過しているような時にAI側から再確認をレコメンドしたりと、管理者を支援する仕組みも用意しています。
第2回 の対談でも話題に上りましたが、ユーザの権限を単純に特定できない昨今の複雑な情勢に対応するため、必要なタイミングで特定の人の権限を機動的に上下する「ジャストインタイムアクセス」という機能も加えたところです。ISPMではIDの管理状況をスコアリングし、「次にこうした取組みを進めれば、スコアがさらに改善する」というアドバイスを自動的に提示する機能を備えました。
畠山:現場レベルで活用するだけでなく、CIOやCISOに向けた社内レポーティングの分野でも活用が期待できそうですね。社内レポートを作成するうえで役員にわかりやすい資料を作るのはなかなか大変ですが、そのようなレポート作成を支援する仕組みはありますか。
岩崎氏:Saviyntの対話型AI「Savi(サビ)」は、操作画面上でプロンプトによってデータを要求すると、必要な情報を集計して教えてくれます。「このシステムにアクセスできるユーザは誰か」「重要なセキュリティを優先度順に表示してほしい」といったリクエストにも、Saviがワンストップで対応可能です。
畠山:なるほど便利そうですね。サービスを提供する立場として、実際にお客様からはどのような状況やフェーズで問い合わせを受けることが多いのでしょうか。
岩崎氏:お客様 において発生したインシデントがきっかけでご相談を受けるケースもあれば、監査での指摘などが契機となるケースもあります。なかでも多いのは、グループの拡大によってシステムが複雑化し、かつオンプレとクラウドが併存しているなかで、セキュリティ対応の方針を決めかねているというパターンです。
株式市場をはじめ社会的に求められるコンプライアンスの水準が上昇していることも、IGAのニーズが高まっている要因として挙げられるでしょう。仮にある企業が、すでにIDや権限の管理体制を構築していて、また過去にインシデントが発生していなかったとしても、現在要求されるコンプライアンスのレベルには達していないという可能性も否定できないのです。
米国や欧州各国の企業では、チェックリスト形式での手作業の限界や、オンプレとクラウドの併存が生じる問題に対処すべく、比較的早い段階で試行錯誤が始まっていました。そのなかでベストプラクティスが生み出され、すでに各業界内で共有されています。グローバルに展開する私たちとして、その成果の恩恵を日本の企業にも提供していきたいです。
Saviynt 岩崎氏
拡大していく企業ガバナンスの機運
畠山:日本企業の場合、導入時に現行の業務を変更するのはなかなか大変そうです。Saviyntのソリューションを導入する際は、今までのID管理業務をSaaSに合わせる必要がありますか。
岩崎氏:ありません。SaaSというと「あらかじめ決まったことしかできない」「業務内容そのものを変えなければいけない」というイメージを持たれる方も多いようです。たしかに純粋な理想論のうえでは、オンプレからすべてクラウドのSSO環境に移行したうえで、IDをたった1つ払い出せば誰もが必要なシステムを適切に使える環境を作り上げることが正解なのかもしれませんが、レガシーを含めてすべてのシステムに一つひとつ手を入れてその実現を目指すのは現実的ではありません。
そこで私たちは、ID管理に関しては企業ごとに異なる複雑さを抱えていることを鑑み、多様な要件に対応できるシステムを提供しています。現場では「SaaSでここまで柔軟に設定できるのか」と驚かれることもあります。
畠山:グローバル展開を行う企業では、海外子会社のアカウントやアクセス権の統制が現場任せになってしまうことがあります。本来、グローバル全体でセキュリティレベルを底上げするためには本社で管理・統制すべきですが、本社側の人手が足りず海外子会社まで管理・統制できないことがあります。この場合、もし管理・統制を実施する海外子会社が本社ほどセキュリティに対する意識を持っておらず、おざなりな管理をしてしまうと、インシデントが発生するリスクがあります。
Q:IGAやISPMのソリューションを導入することで状況は改善するのでしょうか。
左から Saviynt 岩崎氏、KPMG 畠山
岩崎氏:Saviyntなどのソリューションによって手作業を減らすことができれば、必要な運用リソースを低減できるので、本社にて海外子会社を管理・統制することができるようになり、状況は改善すると考えています。
畠山:ISPMは、単にIDやアクセス権の棚卸の効率化ツールの位置付けではなく、IGAと組み合わせることで、IDとアクセス権限の一元管理つまりガバナンスを効かせられるソリューションであるということですね。ガバナンスという言葉は日本語で「統制」を意味しますが、まさに企業内で「統制を効かせる」ための具体策を議論する機運は、今後ますます広がっていくでしょう。
