リスク軽減&コスト削減へ!セキュリティを強化できるアイデンティティ・ガバナンス管理とは

テレワークが急速に進んだ昨今、外部からの社内システムへのアクセス、データのやり取りなどが増えるにつれ、懸念されるのは情報漏えいやサイバー攻撃などのリスクではないでしょうか。そんな企業の抱える課題解決に役立つのが、ゼロトラスト(※「何も信頼しない」を前提に対策を講じるセキュリティの考え方)に基づいた「アイデンティティ・ガバナンス管理(IGA)」。ITセキュリティに詳しい専門家に、IGAの重要性と自社に合ったツールの選び方などをアドバイスしていただきました。

提供:SailPointテクノロジーズジャパン合同会社

お話をうかがった方

長谷川 渉

All About「企業のIT活用」ガイド:長谷川 渉

専門はシステム開発・導入支援とITコンサルティング。 中でも「ビジョンを形にする」システム設計とプロジェクトマネジメントが得意分野です。 ビジネス・教育の現場におけるIT活用支援にも積極的に取り組んでいます。

企業に今、アイデンティティ・ガバナンス管理が求められる理由

paragraph_0_img_0

デジタルトランスフォーメーション(DX)や働き方改革といった時代の変化により、セキュリティ対策が困難になっている企業も多いと聞きます。複雑化するIT環境において、これまでのようにIDを手動管理するには限界があり、時間がかかる上、ミスも起きやすいもの。そこで、大事な顧客情報および企業情報を死守するために重要な「アイデンティティ・ガバナンス管理(IGA)」について、システム開発・導入支援とITコンサルティングの専門家である長谷川 渉さんにうかがいました。

長谷川さん(以下敬称略)「IGAで何ができるのかと言うと、『IDの一元管理ができる』。この一言に尽きると思います。コロナ禍でテレワークが急速に進みましたが、ユーザーアクセス権の管理やセキュリティ対策、デバイスの管理などはどの企業でも課題になっていて、急ピッチで対応が進んでいます。そういったセキュリティ課題を一気に解決するために重要なのが、IGAです」

IDの管理方法もさまざまありますが、Excelやスプレッドシートに代表されるのが従来の手動管理。誰かがイチから入力、もしくは書き留めるなどして管理するスタイルですが、どんなリスクが考えられるのでしょうか。

長谷川「手動管理の最大の魅力は、その手軽さにあります。大企業では現実的ではありませんが、小規模な会社であれば手動のほうが管理しやすい場合もあるでしょう。一番の問題は、ヒューマンエラーが避けられないこと。人事異動や退職などにおけるアクセス権の変更・剥奪などの単純作業が漏れやすく、結果として情報漏えいにつながりかねないという危うさがあります。昨今メディアでも取り沙汰されたUSBの紛失など、『本当にこんなこと起こるの?』というトラブルも、他人事ではありません。

また、Excelなどは本来、ID管理を目的とした製品ではないので、どうしても機能面で不足が出てきます。さらに、管理だけでなく、『ログインできない』『パスワードがわからない』といった単純なトラブルが発生した際にも、問い合わせに対処する人的コストがかかってしまいます」

一方、IGAであれば、アカウント情報をはじめとするIDをトータルで管理し、誰が何のアクセス権限をどこまでもっているかを可視化できます。不必要なログインを排除し、ログイン情報(ID)のライフサイクル管理を自動化することで、デジタルセキュリティの強化にもつながります。

paragraph_1_img_0

長谷川ID管理に関するさまざまな面倒から解放されるので、ユーザーも管理者もかなり楽になります。例えば、ユーザーがパスワードを忘れたり、パスワードがロックされてしまった時にも、ヘルプデスクへ依頼することなく、ユーザー自身での対応が可能になります。

管理者側も、企業規模が大きくなればなるほど、社内で使われるシステムの数も増える傾向にあり、人事異動や組織再編に伴うアカウント権限の変更や、アカウントの増減が生じた際には、システムごとに対応が必要になっていたものが、1度の対応で完了するメリットは大きいでしょう。

テレワークが増え、BYOD(Bring your own device=個人端末の業務活用)を導入している企業も増えてきている昨今、個人の端末にもID管理が及ぶため、情報漏えいリスクの軽減にもつながります。

また、IGAはID管理ツールの中で最上位にあると言っても過言ではありません。手動での運用・管理を排除することで、人的コストやリスクを減らしながら企業のセキュリティポリシー・ガバナンスを強化できるのもメリットです。

大企業ではすでにID管理システムが導入されているところが多いと思いますが、システムの老朽化に伴い、社員からアルバイトに至るまでのIDをクラウド化できないことが問題になっています。また、ID管理におけるプロビジョニングやアクセス申請、棚卸などの機能が、別々のシステムで構築されているため、IDの情報が断片的になってしまっていることも。一部の業務では、システムとは別にExcelを使った手作業が依然として残っているケースもあります。IGAを導入すれば、こういった課題を一気に解決できます。

さらに、従業員が正規・非正規に関わらず、10万人を超えるような企業では、IDを管理するためのコストも時間も膨大になっています。ゼロトラストに基づいたIGAの導入は、きっと大きな手助けとなることでしょう。

適切なユーザーが、適切なデバイスで、適切なデータやアプリケーションにアクセスしているかどうか、IGAは都度チェックしてくれます。

IGAを実際に導入する際に押さえておきたいポイントとは

paragraph_2_img_0

IDの一元管理ができ、利便性や生産性の向上にもつながるIGA。導入を検討するにあたり、機能面や使い勝手など、どんなことに気をつけたらいいのでしょうか。

長谷川「企業の規模、目的、リテラシーを把握することが一番ですね。その上で、スペックが自社に見合っているかどうかを判断しましょう。オーバースペックになったり、リテラシーのある人がいなくて使えなかったりしては本末転倒。どんなに素晴らしいツールでも、使うのはあくまでも”人”なので、自分たちが使いこなせるかどうかをしっかり見極めることが大切です。例えば私がコンサルを行う際には、よくこのような質問を企業からいただきます」

<質問例>
・IDやアクセス権の管理には、そもそもどういう方法があって、どれが一番、安全なのか
・テレワーク中に社外から社内サーバへ安全にアクセスするにはどうしたらいいのか
・業務効率化のため、データをクラウド上で管理し、社員がアクセスできるようにするにはどうしたらいいのか
・データのクラウド管理にセキュリティ上のリスクはないのか
・業務委託先など社外協力者に対して、IDを発行したりアクセス権を付与したりしたいが、気をつけるべきことはあるか

長谷川「どれも基本的な質問ではありますが、ID管理をする上では重要なことです。こういった質問・課題に対して、『IDの権限付与・剥奪などが自動化されている』『デジタル資産を保護できる』『ポリシー&コントロールなどの高度な機能がついている』といった観点を考慮しながら、IGAなどのID管理ツールやその管理方法を、それぞれの企業の規模・目的にあわせて提案しています。

paragraph_3_img_0

特に、レガシーシステム(ローカル・社内システム)まで一元管理できることがIGAの強みですね。IGAより機能は劣るものの、IDaaSをはじめとしたID管理ツールはたくさんあります。しかし、IGA以前のID管理ツールは、レガシーシステムまでは管理できず、あくまでもインターネット上・クラウド上での管理に限定されていました。その点、IGAはID・セキュリティ関連の課題(手動運用・管理によるミスや情報漏えいのリスク等)にすべて対応しているので、企業のセキュリティポリシーやガバナンスを強化し、コンプライアンスの遵守を後押ししてくれるでしょう」

ここまで、ID管理製品の中でも最上位クラスのIGAについてお話をうかがってきました。IGAを叶えるツールはいくつかあります。そこで、セキュリティ強化・解決・効率化の面から、太鼓判を押せるものを選んでいただきました。

長谷川「規模と目的を考慮した上で……にはなりますが、ネット上のシステムか社内システムかに関わりなくIDを一元管理できるという点で、『SailPoint IdentityNow』がおすすめです」

>>「SailPoint IdentityNow」とは

IGAを導入するならシステム・サービスの多様化に対応できる「SailPoint IdentityNow」を

paragraph_4_img_0

長谷川さんがすすめる「SailPoint IdentityNow」。具体的には、どのような魅力があるのでしょうか?

長谷川「この製品は、SailPointという、創業から17年以上、IGAの分野に特化したソリューションを提供しているIGAの第一人者、セキュリティベンダー的存在の企業から提供されています。SailPointは、豊富な知識と経験をもつスペシャリストとして、アメリカではポピュラーな存在。こういったシステムを取り入れる場合、信頼性は最も重視したいところですから、その点において一番と言えるのではないでしょうか。

また、IGAは一元管理できるのが一番の魅力だと先程からお話ししてきましたが、『SailPoint IdentityNow』は、あらゆるシステムのID管理に対応することが可能です。ID管理製品に求められるほぼすべての機能を網羅していると言ってもいいでしょう」

 「SailPoint IdentityNow」なら、クラウドだけでなく、ローカルはもちろん、企業が独自で構築したレガシーシステムにも対応可能。すべてのシステムにおいて、誰がどんな権限を持っているのか可視化でき、権限を管理しやすくなります。個人の権限を最小化できるため、オーバープロビジョニング(過度のアクセス権の付与)の問題も回避できます。

また、自社の社員だけでなく、派遣・アルバイト、パートナー企業のアカウント管理まで対応しているのも便利です。さらに、AIや機械学習など最新技術の採用により、適切なアクセス権限等を自動的に作成する機能があったり、権限の棚卸作業にかかる作業コストや時間も軽減できたりするなど、魅力的な機能が満載です。

(導入企業の一例)

paragraph_5_img_0

長谷川汎用性が高い上、クラウド上で一元管理できるので、多くの大企業から選ばれているというのも納得です。しかも、導入しているだけで、企業の掲げるセキュリティポリシーやガバナンスを強力に実現しているということを示すことができ、ブランディングにも役立ちます。また、SailPointには日本法人もあるため、不明点や不具合、トラブルが発生した時でも、日本語でサポートしてもらえるという点でも安心できるのではないでしょうか」

テレワークを余儀なくされた時期もあり、社外で働くのが当たり前の時代になってきました。その結果、アカウント情報やアクセスなどの取り扱いについては、一層シビアになっています。今回ご紹介したIGAツール「SailPoint IdentityNow」を使えば、運用コストやヒューマンエラーを削減しながら、さまざまなセキュリティ問題を一気に解決できるとのこと。効率的なID管理やセキュリティポリシーの実現をめざす企業は、ぜひ導入を検討してみてください。

>>SailPointのID管理システムが選ばれる理由

>>「SailPoint IdentityNow」についてもっと詳しく