コロナ禍で顕在化したリスクとは、具体的にどのようなものなのか。そして、リスクを低減し、コントロールしていくために企業が今すぐに取り組むべきこととは何か――企業のアイデンティティ(ID)管理、IDガバナンスのためのプラットフォーム「SailPoint IdentityNow」を提供するSailPointテクノロジーズ社長の藤本寛氏と、同社のパートナーとしてビジネスを展開するコンサルティング企業のアクセンチュア、デロイト トーマツ サイバー、EYストラテジー・アンド・コンサルティング、KPMGコンサルティングの4社の担当者に、企業の現状と実施すべき対策について聞いた。
コンサルタントから見た「デジタル化」に伴うビジネスリスクの増大
--まずはコンサルティング各社の皆様に、自己紹介と、企業におけるIT環境の変化、特にコロナ禍で急速に進んだテレワークにより顕在化したセキュリティリスクの状況について、アイデンティティ・アクセス管理(IAM)の観点を中心にお話しいただけますか。
大竹氏:アクセンチュアのテクノロジー コンサルティング本部で、デジタルID領域のリードを担当し、IDについてのアセスメントからコンサルティング、実装、運用までのソリューション全般を提供しています。従業員やビジネスパートナーが利用するIDだけでなく、サーバーやネットワーク機器などのシステム系のIDも含めて、各IDのライフサイクルに着目するアプローチで最適化をご支援しています。
地代所氏:EYストラテジー・アンド・コンサルティングのサイバーセキュリティチームに所属し、セキュリティガバナンスの構築、脆弱性検査やペネトレーションテストなどの診断、セキュリティオペレーションセンター(SOC)の高度化、今日のテーマのIAMでのソリューションを提供しています。私が特に関わっているIAMでは、アセスメントから実装、マネージドサービスまで総合的なソリューションを特徴としています。
薩摩氏:KPMGコンサルティングでサイバーセキュリティを専門に取り扱う「テクノロジー・リスク・サービス(TRS)」に所属しており、特にテクノロジー面を担当しています。TRSは「リスクコンサルティング(RC)」部門に所属しており、同じくRCに属する「ガバナンス・リスク・コンプライアンスサービス(GRCS)」と共に、企業が直面するさまざまなリスクに対して、サイバーリスクとエンタープライズリスクの両面からソリューションを提供しています。
なお、TRS内には「ストラテジー&ガバナンス」「トランスフォーメーション」「ディフェンス」「レスポンス」のサービスカテゴリがあり、幅広いサービスを提供しています。ID管理(IDM)やIAMはトランスフォーメーションサービスの一環として業務・システム要件定義や設計などを支援しています。
大森氏:当社は、デロイト トーマツ グループでサイバーセキュリティを専門に担当しています。サイバーセキュリティの戦略立案から予防に関する領域のコンサルティング、プライバシー保護対応、インシデントの検知・監視、CSIRTやレッドチーム等を展開しています。
ID管理は、予防に関する領域で取り組み、近年はDXやクラウド、働き方改革などに関連したID管理やアクセス制御のご相談を多くいただき、ロードマップ作りから実装までお客さまと一緒に進める機会が増えています。
--ID管理のプロダクトを展開するSailPointの特徴もご紹介ください。
SailPointテクノロジーズジャパン合同会社
社長兼バイスプレジデント
藤本 寛 氏
藤本氏:SailPointは、米国オースティンに本社を置き、創業16年目の企業です。ITリサーチ企業からは、IGA(Identity Governance and Administration)分野のリーダーとして評価されており、クラウド型IDプラットフォームソリューションの「IdentityNow」は、グローバルで大企業を中心に2000社以上の企業に導入実績があります。
近年は買収戦略に注力し、ID管理を中核として、ERPのSoD(Separation of Duties、職務分掌)、シャドーIT対策としてのSaaSのユーザーやライセンスを可視化、最適化など、ガバナンスの範囲を拡張し、今の前例のない環境の変化、つまり、働く人の役割の変化、企業のIT環境そのものの変化に対応できるソフトウェアをクラウドベースで提供できる体制を整えてきました。
これまでは英語圏が中心でしたが、日本での本格的な事業展開を2021年3月にスタートしました。日本では、まず「IDガバナンス」という基本的かつ重要なコンセプトを、多くの企業に正しく理解していただくことから始めています。ただ、影響範囲が広く、企業のIT環境に与えるインパクトも大きくなります。企業がIDガバナンスを適切に展開し、効果的に運用を続けていくためには、事前のアセスメントやロードマップの策定が非常に重要です。そこでパートナー各社の皆さまにサポートをいただきつつ、価値の高いクラウドサービスを提供していきたいと考えています。
「IDガバナンス」の不備がセキュリティリスクを増大させている
--以前から「働き方改革」や「クラウドシフト」などのテーマに関連して「IDガバナンス」への企業の関心が高まってきたと思います。ただ、コロナ禍でリモートワークが急速に増え、企業のIT環境が複雑に変化し、以前から存在していた潜在的なセキュリティリスクが、一気に顕在化したようにも感じています。お客さまからは、どのようなセキュリティの相談を受けていますか。
アクセンチュア株式会社
テクノロジー コンサルティング本部
シニア・マネジャー
大竹 高史 氏
大竹氏:IDガバナンスへの関心がコロナ禍で加速したと思います。リモートワークで、物理的に顔を合わせずに仕事を進めるようになると、各自がどうやって仕事をしているのかが見えにくくなります。その不安を払拭すべく、セキュリティの観点では「認証・認可」の仕組みをこの機会に見直そうとする機運が高まっていると思います。
IDガバナンスに関連した具体例では、従業員が自宅で作業を行う際にオペレーションミスを起こしてしまい、「ユーザーが本来業務で持っているべき以上のシステム権限を持っていた」ということが発覚、IDガバナンスの必要性を再認識したケースがありました。
薩摩氏:多くの業界に共通するセキュリティ課題に、ランサムウェア、攻撃対象としてのVPNゲートウェイ、クラウド、内部不正があります。特に内部不正は、IDガバナンスが大きく関系します。組織内での不正やミスによるインシデントリスクを下げるには、システム上で「誰が何をしたか」をしっかりトレースしておくことが重要ですが、その前提として、IDガバナンスが利いている必要があります。これらの4つの課題は、特にコロナ禍でのリモートワークの拡大により、さらにクローズアップされたのではないでしょうか。
地代所氏:今に挙げられたランサムウェアについては、2021年5月の米国コロニアル・パイプラインに対する攻撃が大きく報道されたこともあり、日本のお客さまにもインパクトがありました。この事件では、システムにランサムウェアが感染したことも問題ですが、脅迫によってシステムが止められ、ビジネスに甚大な影響が出てしまったことで、より大きな問題として受け止められたように思います。
この攻撃は、攻撃者がリモートアクセスの脆弱性を突いてランサムウェアを送り込み、侵害範囲を拡大しながら、ある程度の情報を盗み終えた後で、ランサムウェアにより脅迫するという悪質なものです。こうした攻撃による被害は、既に日本でも起きています。われわれのSOCによる監視でも、日系企業への攻撃が常に確認され、もし脆弱性が放置されていたら、いつ侵入されてもおかしくない状況です。
また最近は、VPN環境に関するご相談も多いですね。「アクセス状況から自社で把握している以上のVPNの存在が疑われ、調査してほしい」といったことや、「海外拠点のVPNが怪しいのだが、どうすればいいか」といったものなど、お客さまも「自分たちが侵入を受けてしまうかもしれない」という危機感を持っている印象があります。
デロイト トーマツ サイバー合同会社
シニアマネジャー
大森 潤 氏
大森氏:コロナ禍の「喫緊対応」から先を見据えた「戦略対応」に進まれているお客さまも増えていますね。
コロナ禍でデジタル対応を加速されたお客さまの中には、将来的なDXの実現も視野に入れ、「より本格的にデジタル化を進めていく上で、セキュリティをどのように変えていくべきか」を考え始めています。リモートワークだけでなく、社外とのコラボレーションもデジタル化していく中で、IDやアクセス制御、端末管理、ネットワークはどうあるべきかといった視点を持たれています。同時に、社会全体のデジタル化により監督省庁などのガイドラインへの対応もトレンドになっていると感じています。
ゼロトラストやDXの基礎としても重要さが増すIDプラットフォーム
--コロナ禍で企業のIT環境が大きく変わり始め、旧来のID管理やセキュリティの考え方だけでは、リスクへの十分な対策ができなくなりつつあります。ITシステムの停止でビジネス上の甚大な損害が発生するなど、今後デジタル化やDXが進めばリスクマネジメントの観点でも大きな課題になっていくでしょう。それでは、企業が早急に手を打つべき具体的な対策について、可能であれば実例などを交えてご紹介ください。
EYストラテジー・アンド・コンサルティング株式会社
サイバーセキュリティ ディレクター
地代所 崇 氏
地代所氏:旧来のITセキュリティで一般的な方法論だった「境界防御」を見直していく必要があると思います。攻撃への防御が完璧にはできないという前提に立ち、侵入されても被害を最小限に食い止める仕組み作りが必要です。例えば、攻撃者の侵害範囲を抑え込むには、必要以上の権限を持つIDをユーザーに発行しないことや、発行したIDのライフサイクルを適切に管理する「IDガバナンス」の徹底に取り組むべきでしょう。
IDガバナンスに対するお客さまの危機意識はありますが、運用が追いついていない面があります。企業が運用するシステムの数は増え続けており、ID管理を人手で行うのは、現実的でなくなっています。結果として、退職者のIDが数カ月経ってもそのまま放置されるような状況が起きてしまいます。
さらに変わったところでは、RPAがIDガバナンスの盲点になるケースもあります。業務改善を目的としたRPAの導入は、IT部門ではなく業務部門が中心になって進められるケースも多いのですが、ソフトウェアロボットを動かす権限を持つIDが、実はフルアクセスの管理者権限だったり、そもそもロボット用のIDがどのように管理されているかについてIT部門も業務部門も正確に把握していなかったりというケースが見受けられます。必要以上に大きな権限を持ったIDが管理されていない状況は、当然ながら、攻撃者の侵入を受けた場合に被害を拡大させる大きなリスク要因になりますから、全社規模でのID管理プロセスの標準化や自動化がポイントになります。
--IDガバナンスに関連して、企業のそうした取り組みをサポートされた事例はありますか。
地代所氏:米国のグローバル企業で行われていたIDガバナンスの日本での展開を支援したことがあります。この企業は多くの買収と合併を繰り返していたことで、全体のシステム構成がかなり複雑になっていました。ID管理を行っていたものの、その複雑さがネックになって、退職者を例とすると、ID削除に1週間以上を要するような状況でした。
そこでSailPointのアイデンティティプラットフォームを導入し、ID管理を自動化しました。組織内で運用していた複数のActive Directoryの管理をSailPointのアイデンティティプラットフォームで一元化し、人事部門で退職者が出た旨の情報更新が行われたら、瞬時に対応するIDを削除できるような、リアルタイムでIDを作成、更新、削除できる環境を実現しました。
大竹氏:私は、企業のITセキュリティ全般の「可視化」が不十分なことにも問題があると考えています。IDを含む情報資産全体の可視化ができていないと、「何が、どこで、どう使われているか」を全く把握できないことになります。喫緊の対応策としては、あらゆるIT機器に加えてIDも徹底的に洗い出し、見直しと対策を行うことが重要です。
また、IDガバナンスの観点での最近の大きな変化は、他社との協業です。自社の人事システムに登録された「従業員」だけでなく、自社が運用するシステムを「パートナー」が使うために限定的にIDを発行したいという事例も増えています。ここでは、業務に必要な権限だけを持つIDを発行して、プロジェクト終了後すぐ削除するような運用ですが、パートナー管理システムとID管理システムとの連携も必要になってきます。
大森氏:DXに関連したID管理のあり方といったご相談が多いですね。複数のクラウドサービスを導入し、それによって散在するIDの管理、監視といったものです。いまの大竹さんのお話しにあった「パートナー」とのコラボレーションにおける課題も含まれています。
デバイスもユーザーもアクセス先もバラバラな状態で、「誰が」「どこから」「何に」アクセスし、「何をしているか」を把握するためには認証・認可時のログを確認する必要がありますが、その基本はやはりIDです。ガバナンスが適切に利いた形でIDが管理されていなければ、そもそも利用状況の把握もアクセス制御もできません。
また、IDガバナンスの確保においては、1回の見直しで終わりとせず、定期的に棚卸しを行う仕組み作りもポイントです。「このIDはこの権限を持っていていいのか」ということを、定常的にチェックできるようにしておくことが必要です。
KPMGコンサルティング株式会社
Technology Risk Services パートナー
薩摩 貴人 氏
薩摩氏:ランサムウェアの話がありましたので、バックアップの視点で話をしたいと思います。先ほどのランサムウェアの被害では、攻撃者の侵害によってバックアップデータも狙われました。以前なら、システムがマルウェアに感染しても、バックアップデータによる再構築とリストアでビジネス上の被害を抑えられるという考え方もありましたが、ランサムウェアの脅威でそれすらもできなくなるリスクが増しています。
特に金融機関などからは「バックアップのアーキテクチャーを見直した方がいいのか」という相談を多く受けるようになりました。近年では、Disk to Diskでのバックアップが普及しているところ、ランサムウェアの影響から物理的に守る上でテープバックアップに戻すべきかといった話も出てきていますが、そもそも業務サーバーの環境からバックアップデータのあるサーバーにたどり着けてしまうことやログインできてしまうことの問題を認識することが大事です。
バックアップを実際の業務環境から切り離すことは攻撃や内部不正を防ぐためにも有効な手段ですが、システムアーキテクチャーの面だけでなく、ID管理の面でも考慮が必要です。一つの答えがあるわけではないので、業務要件に応じて、どう見直し、切り分けていくかについて助言するケースが増えています。
地代所氏:バックアップデータへのアクセス権を通常のシステムに対するものと変えておくことは重要ですね。これについては、ゼロトラストの原則である「最小権限の付与」を徹底することに尽きると思います。
後編へ続く
後編: 企業で加速するDXの取り組み、真っ先に「IDプラットフォーム」を整備すべき理由