SailPointテクノロジージズジャパンは、調査レポート「デジタル&サステナブル時代に求められるアイデンティティ・ガバナンス」を発表した。同レポートはアイ・ティ・アール(ITR)と共同で実施した「企業におけるセキュリティおよびアイデンティティ・ガバナンス実態調査2023」の結果をまとめたもの。
概要を紹介したSailPointテクノロジージズジャパン 社長 兼 本社バイスプレジデントの藤本寛氏は、同社がアイデンティティーガバナンスを提唱して17年以上の歴史を持つ企業だと紹介。日本では2020年から本格的に事業を開始しており、「2023年度は第2段階に来たかなといったところ」とした。
SailPointテクノロジージズジャパン 社長 兼 本社バイスプレジデントの藤本寛氏
「企業におけるセキュリティおよびアイデンティティ・ガバナンス実態調査」について、同氏はITRと3年連続で実施している調査だとし、今回は「前年の調査内容を基本的に踏襲した上で、非正規社員や委託先企業からの情報漏えいなどが問題となっている現状を踏まえ、非正規社員に関連するアイデンティティー管理という切り口を追加した」と説明した。
調査結果の概要として同氏は「セキュリティツールへの投資は増加しているが、それにもかかわらず何らかのインシデントを経験したという回答が昨年の75%から80%に増加しており、セキュリティリスクは残念ながら低減できていない」と指摘した。
そのほか、「アイデンティティー/アカウントの数が増えている」は96%、「非正規社員のアイデンティティー管理業務を手作業に依存」は80%、「契約が終了した非正規社員のアクセス権を抹消できていない」が70%という結果から、アイデンティティー/アカウントが増加し続ける一方で非正規社員のアイデンティティー管理まで手が回っていない現状が浮かび上がっており、「企業の中で喫緊の課題になっている」とした。
ITR プリンシパル・アナリストの浅利浩一氏
続いて、ITR プリンシパル・アナリストの浅利浩一氏が調査結果の詳細を説明した。同氏はまず調査の概要として「回答者数は324人で、次長以上、本部長、取締役、経営者という方々に全部で29問を聞いたうち、9問が非正規社員や人以外のIoTシステムやデバイスなどのアカウントに関する質問だった」と紹介した。
背景情報となる「過去12カ月間のテクノロジ投資の変化」では、「全項目で積極的な姿勢が見られた」という。特に伸びが大きかったのが同率4位の「SaaSアプリケーション」で、昨年比で9ポイントの増加の44%となっており、こうした動向がアイデンティティー/アカウントが増加する理由だと推測される。
また、投資額上昇と答えた回答者が最も多かった「セキュリティツール」は昨年比4ポイント増の58%だが、「過去12カ月間のアイデンティティ・アカウントに関する情報漏えい(複数回答)」では、「過去1年間は違反・漏えいがない」という回答が昨年比5ポイント減の20%となっており、「セキュリティの投資を強化しているものの、違反・漏えいは逆に増えており、追い付いていないことがうかがえる」という。
「強化すべきであったとするセキュリティインシデント対策(複数回答)」で、セキュリティインシデントの経験を振り返り、どのような対策を行えば、情報漏えいを防いだり最小限に抑えたりできると考えているかを確認したところ、上位を占めた回答は「全ユーザーのアクセス権の継続的な検知」「全ユーザーに多要素認証(MFA)を導入」「特権アクセスのよりタイムリーなレビュー」「高リスクのイベントが検出された場合、その関連するIDのアクセスを無効化」となり、アイデンティティー/アカウントの可視化が十分でないことが課題となっていると考えられる(図1)。
※クリックすると拡大画像が見られます
なお、さまざまな対策が挙げられる中、「どれも役に立たなかった」という回答も3%あるが、これは昨年比では2ポイント減少した。何をやっても無駄だったという状況は滅多にないものの、インシデントの発生数増加を防ぐところまでは至っていない、という苦しい状況も透けて見える。さらに「情報漏えい対策ができなかった原因(複数回答)」では、「対策を検討中あるいは構築中だった」がトップとなっており、「分かっていたけれども間に合わなかった、という実態が確認できたということではないか」と同氏は指摘している。
非正規社員(非従業員)のアクセス管理に関しては、「非従業員にアクセス権を提供している企業(N=223)」を対象に「正社員以外に提供されたアクセス権が、仕事上の関係が終了した後も抹消されていないことを発見したことがあるか」を確認したところ、「発見したことがある」が68%に達したという。
また、「非従業員にアクセス権を提供する場合、自社の正社員への提供と比べて、より多くの手作業が必要」が79%、「労働関係が終了した場合、正社員以外のアクセス権はどのように削除されるか」では、「完全に手作業の工程」が22%、「主導と自動の混合プロセス」が54%となっており、何らかの手作業での対応が必要となるケースが大半であることが確認されており、管理負担が増大していることが懸念材料だと指摘された。
こうした調査結果を踏まえて藤本氏は、同社のソリューションが非正規社員のアイデンティティー管理の課題をどう解決できるかについて紹介した。同氏は、クラウドの普及などによってアカウントが増加し、さらに社員に加えてパートナー企業や派遣社員/非正規社員などの雇用の多様化、そして付与する権限の種類の増加などが組み合わさり、「かけ算で複雑性が増大している」と指摘した。
同社は「人」(システムなどの人以外のエンティティーも含む)のアイデンティティー管理とシステムごとのアカウント(ログインID)を別のレイヤーとして分けて考えた上で、全てのレイヤーを包括的に管理できるソリューションとしてプラットフォームを構築しており、ここに非正規社員などに対応する機能を用意して既存のガバナンス体制としっかり連携させていくという形でカバーしていくとした。
藤本氏は同社の強みとして「このプラットフォームは17年間の歴史をもってようやく作り上げてきたもので、最近アイデンティティーガバナンスを始めたような競合企業ではそう簡単に追い付けないものだと思っており、これがわれわれの価値の源泉であり差別化ポイントだと思っている」と自信を見せた。