IDや権限などの適切な管理は、セキュリティ対策の基本の一つ。新たなセキュリティの考え方として注目を集める「ゼロトラストセキュリティ」でも重要な構成要素になっている。しかし、システムを安定稼働させるための作業に使う権限が必要数以上の担当者に割り当てられたり、不必要になっても過大な権限が割り当てられたまま放置されてしまったりといった状況が少なくない。
教育サービス大手のベネッセグループは、現在デジタルと人を介在させた教育を組み合わせることにより、子どもたちの関心や能力に応じた付加価値の高い教育を提供するというデジタル変革(DX)の戦略を掲げる。ITの観点ではクラウドファーストの促進、DevOps、CI/CD(継続的なインテグレーション/継続的なデリバリー)に向けた取り組みの加速などにより、付加価値の高いサービスの開発と提供を推進している。ここで安全性を高めるために取り組んでいるのが、IDの権限管理を動的に行う仕組み作りだ。
ベネッセは、DX戦略を推進すべく2021年春に、事業部門やデジタル、IT部門などが組織横断的に連携して活動する社長直轄の「デジタルイノベーションパートナーズ(DIP)」を組織し、グループ内の各種施策の現場にDIPの人材が参加している。ベネッセグループが提供するデジタルを取り入れたサービスには、「進研ゼミ」では人工知能(AI)活用したアプリを搭載のタブレット端末、学校や生徒、保護者らが利用するオンラインサービスの「Classi」、社会人向けeラーニングの「Udemy」などがある。
DIPが掲げる2021~2022年度のデジタル変革(DX)関連施策の中に、「組織のDX能力向上」があり、その中でゼロトラストに基づくセキュリティの進化とITインフラの刷新を進めている。
ベネッセホールディングス グループインフラ戦略部の槻山幸司氏
ベネッセホールディングス グループインフラ戦略部 セキュリティデバイス課長の槻山幸司氏によると、同社としてのゼロトラストセキュリティの要件は、The Center for Internet Security(CIS)によって管理されているCIS Controlsや、ゼロトラストを提唱した米Forrester Researchが定義する条件を参考に取りまとめた。技術面ではSDP(ソフトウェア定義による境界)、クラウドプロキシー、SD-WAN、EDR(エンドポイント型脅威検知・対応)、CASBなどがあり、認証関連として「シークレット管理」を位置付けている。
ここで言う「シークレット」とは、ITサービスを利用するために必要であり、外部に漏えいすることで、多大な損害を被る恐れのある情報の総称で、具体的には、特権アカウントやAPIキー、SSHキー、パスワード、証明書、データベースのクレデンシャル(認証資格情報)などを指す。中でも特権アカウントは、ITシステム上のあらゆる操作を可能にする権限を有する資格で、万一サイバー攻撃者に奪われれば、甚大な損害につながりかねない。
槻山氏によれば、特権アカウントの管理が極めて重要なことから、これまで多大なコストをかけてIDやパスワードの管理、利用状況の監視などを厳重に実施していた。負荷も大きく、抜本的にその解消を図ることにしたという。
