アイデンティティー管理のクラウドサービス(IDaaS)を提供するSailPoint Technologiesは10月26日、刷新したプラットフォームの「SailPoint Atlas」と、データへのアクセスを制御・管理する「SailPoint Data Access Security」を発表した。
SailPoint Atlasは、同社のIDaaS「SailPoint Identity Security Cloud」の新たな基盤になり、多様なアイデンティティーとアクセスの運用管理を高度化、自動化するためのデータモデル群、プロセス改善、洞察の提示、外部連携のための豊富なAPIやコネクターなどをそろえる。
SailPoint Data Access Securityは、アプリケーションへのアクセス管理に加えて、「Office」ファイルやPDFファイルなどの非構造化データの検出と、データにアクセスの制御、管理、監視を一元的に実施でき、データをきめ細かく保護する。
SailPoint Technologies プロダクトマネジメント担当シニアバイスプレジデントのBen Cody氏
これらの取り組みについてプロダクトマネジメント担当シニアバイスプレジデントのBen Cody氏は、「システムがオンプレミスやクラウドなどに分散し、それらを利用するユーザーも正社員や契約社員、外部委託先など多岐わたっている。しかし、IDやアクセス権限などの管理は個々にサイロ化しており、セキュリティのリスクが高まっている。アイデンティティーの一元的な管理の実現を顧客から求められていた」と説明する。
特に、企業の業務に携わる人材の多様化への対応が喫緊の課題だという。Cody氏によれば、DXなどを背景に、世界中の企業がさまざまなプロジェクトを組成し、自社の従業員だけでなく外部組織の従業員との協働が身近になっている。また、製造などのサプライチェーンも高度化しており、サプライチェーン関連のシステムを複数の企業で共同利用することも日常となっている。
しかし、企業でのIDやアクセス権限などの管理は、伝統的に自社の従業員を基本として、個々の従業員にシステムやアプリケーションなどの権限を割り当て、管理してきた。システム特権のように、ビジネスなどへの影響が大きいIDや権限については、法規制や業界固有のルールなどへの対応の必要性もあって昔から厳格に行われているが、通常業務などの範囲ではなかなか難しい。
SailPoint テクノロジーズジャパン社長の藤本寛氏は、「日本では、正社員については人事データベースを基に管理しているものの、雇用期間がある契約社員の方などは人事データベースに登録して管理するというのが難しく、個別にシートなどで管理されている。また、実際には同一人物でも派遣元が以前とは異なるという理由で、異なる人物として管理しているケースも少なくない」と指摘する。
Cody氏は、こうしたIDや権限にまつわる課題が世界共通だとする。「IDやアクセス権限などの管理は、かつてはコンプライアンスが理由になっていたが、現在ではセキュリティリスクへの対応が理由となっており、アイデンティティー管理による包括的な対応が必要になっている」と述べる。
国内でも、大手通信事業者の子会社で業務委託先企業の元契約社員が長期にわたり大量の個人情報を外部に漏えいさせたセキュリティ事件が起きたばかり。当該人物が業務に使うシステムやデータへのアクセス権限を悪用したことが原因とされるが、権限の悪用を防ぐルールや、悪用を監視・検知する仕組みなどの不備も指摘された。
同社が今回発表したSailPoint AtlasやSailPoint Data Access Securityは、Cody氏と藤本氏が言及した現状への対応を含めたものになるという。
Atlasでビジネスに関係する社内外の人材のアイデンティティー情報と、ビジネスで利用する社内外のシステムやサービスなどの権限にまつわる各種情報を一元化する基盤を整備する。アイデンティティーを基準にした権限など運用管理を行うようにする。SailPoint Data Access Securityは、ファイルやデータ単位でのアクセス権限の管理に対応する。「現在は137カ国が厳格な個人情報やプライバシーの法規制を定めており、このうち87カ国は直近の5年間に施行したばかり。アプリケーションの権限管理は進んでいるが、これからデータのガバナンスがより重要になる」(Cody氏)
「SailPoint Atlas」。包括的なアイデンティティー管理機能のためのプラットフォームになるという
また、生成AIについては新機能などの可能性を検証している段階という。Cody氏によると、例えば、アイデンティティー管理において、ユーザーと割り当てている権限の資格情報を一切記述していない(空欄にしている)企業が64%に上るという。資格情報が正しく明確に記述されていないと、適切な管理が難しい。このためAmazon Web Services(AWS)と協力し、同社の「Amazon Bedrock」を使って、資格情報の説明文を生成AIで記載する実証を行ったという。
「2017年から権限の不正使用の検知などにAIを活用しているが、生成AIでアイデンティティー管理をより生産的なものにできる効果を確認している。新機能を開発中で、(Amazon Bedrockの一般提供が開始されれば)早く提供したい」(Cody氏)