コロナ禍で顕在化したリスクとは、具体的にどのようなものなのか。そして、リスクを低減し、コントロールしていくために企業が今すぐに取り組むべきこととは何か――企業のアイデンティティ(ID)管理、IDガバナンスのためのプラットフォーム「SailPoint IdentityNow」を提供するSailPointテクノロジーズ社長の藤本寛氏と、同社のパートナーとしてビジネスを展開するコンサルティング企業のアクセンチュア、デロイト トーマツ サイバー、EYストラテジー・アンド・コンサルティング、KPMGコンサルティングの4社の担当者に、企業の現状と実施すべき対策について聞いた。
変化し続ける企業のIT環境を守るために必要な「IDプラットフォーム」の整備
--IDガバナンスを徹底すると同時に、セキュリティのアーキテクチャーを「ゼロトラスト」のような新しいコンセプトに変えていく必要性を多くの企業が認識しつつあります。一方で、企業としてそこへ新たに投資していくことの難しさもあります。企業が、新しいアーキテクチャーに基づいたセキュリティの「グランドデザイン」を持ち、それに基づいて実装、運用を進められるよう、どのようにサポートしていますか。
KPMGコンサルティング株式会社
Technology Risk Services パートナー
薩摩 貴人 氏
薩摩氏:クラウドの活用やリモートワーク環境に対応した形で、境界防御からゼロトラストを指向したセキュリティアーキテクチャーへの移行を支援していきたいと考えています。IDに関わる領域では、これまでBtoCあるいはBtoBで顧客向けに用意していた「カスタマーIDアクセスマネジメント(CIAM)」の仕組みを、従業員に対しても適用していくという動きが出ています。そこでは、ID管理を効率的に行うための方法論や、「使い勝手」と「セキュリティ強度」の両立といった、さまざまなテーマがあります。デジタル化によってビジネスを加速させる取り組みと、求められるセキュリティレベルとの間に生じるギャップを、どう埋めていくかという観点でソリューションが求められるようになっています。
デロイト トーマツ サイバー合同会社
シニアマネジャー
大森 潤 氏
大森氏:社内外を隔てる「境界」を作り、内側を守る旧来の考え方が近年のIT環境の変化に合わなくなり、「ゼロトラスト」のコンセプトが出てきました。ゼロトラストでは、システム上で行われる個々のアクションに対して、そのアクションを行う「人」「権限」「作業内容」が適切かどうか常にチェックして、セキュリティを担保します。近年はゼロトラストを指向したCASB/SWG/DLPなどを用いたアクセス制御、端末セキュリティの確保、ネットワークのマイクロセグメンテーション化など、さまざまなソリューションが市場に登場しています。
ここで危惧するのは、企業が「特定のソリューションを入れれば、ゼロトラストへの対応は終わり」という意識を持ってしまうことです。会社のビジネスとIT環境の将来の姿に基づいたセキュリティ戦略を策定し実行していくという本来の進め方を念頭に置いていただきたいですね。
その前提に立てば、会社ごと、また事業部門や業務部門との間で、目指すべき「ゼロトラスト」の姿は違ってくるはずです。それぞれに「ゼロトラストの思想を用いてどこまでを目指すか」を明確にすることが大事です。そこではID基盤が、アクセス制御や監査を行うための中核となります。この部分が揺らいでしまうと、その上に築いていく環境監視や制御が全て揺らぎかねません。われわれは、お客さまそれぞれの状況やニーズに応じて着実に推進していくサポートを行いたいと考えています。
地代所氏:適切なID管理が行われていないと、インシデント発生時にビジネスの被害が大きくなりがちです。やはりID管理は、企業のリスクマネジメントとって大きな要素です。
しかし現場視点では、IDガバナンスの確保が決して容易ではないというのも事実です。例えば、担当者が部署を異動する時、引き継ぎなどの関係で、IDの異動前の部署の権限をすぐに削除できないという状況があります。そうしたイレギュラーすべてをシステムで管理しようとすると、特殊な例外処理を入れなければならなくなり、システムがどんどん複雑になってしまいます。まずは、そうした場合のルール決めなどを含むガバナンスが必要でしょう。IT部門がID管理を自動化して、人手を介さずにセキュアな状況を保っていくことも重要ですが、その取り組みは一筋縄ではいきません。そこについても整理しつつ、ステップ・バイ・ステップで、より理想的な環境に近づけていくお手伝いをしたいと考えています。
アクセンチュア株式会社
テクノロジー コンサルティング本部
シニア・マネジャー
大竹 高史 氏
大竹氏:DXを目指す企業では「ID」が重要なプラットフォームになっていると感じています。IDのライフサイクルに関しては、所属に関する情報を人事が持っていますし、各部門内での業務に必要な「権限」についての知識は業務部門の担当者が持っています。「最小権限」というのは、言葉で言えば簡単ですが、各業務での「最小権限」は現場でなければ分からないことも多いですね。つまり、ID基盤は、IT部門だけでなく、業務に関連する全ての部署が関系します。
そのためIDガバナンスは、全社を巻き込み、責任分担を各部署間で明確にしながら進めていくべきでしょう。人事に直結する部分は人事部門、業務に関わる詳細はその部門に委ねて管理します。それがルールに従って運用されているかどうかをITセキュリティ部門がチェックする形で整理していくことが重要です。
大森氏:ただ、ソリューションを入れても「使ってもらえない」ことが決して少なくないことを考慮すると、全社を巻き込みながら推進することが本当に大切ですね。例えば、近年はローコード/ノーコード開発ツールを活用して、事業部門でさまざまなアプリを作るケースも増えていますが、そのアプリで使われるIDが、全社的なIDガバナンスの対象外となっていることも多くあります。
EYストラテジー・アンド・コンサルティング株式会社
サイバーセキュリティ ディレクター
地代所 崇 氏
地代所氏:ローコード/ノーコード開発ツールは、現場主導のデジタル化を推進する上でメリットもありますが、セキュリティ面でのリスクが見落とされがちなのが気になります。IDによる「認証」は考えられていても、そのIDにどういう権限を持たせるかという「認可」については十分に考えられていないことが多いですね。せっかく現場主導で取り組んでも、結果的にビジネスリスクの高い「シャドーIT」にしないためには、ITセキュリティの担当部門が少し踏み込んでいく必要があるように感じています。
大竹氏:そうしたツールを業務部門で利用する場合の開発標準などを整備する企業はありますが、IDについてのルールがきちんと定められていないことが多いように思います。全社的なID基盤が提供する管理の仕組みを、きちんと使ってもらうようにしていったほうが良いですね。
大森氏:事業部門側はスピード感を持ってシステムを作りたいと思い、ルールが整う前に始めてしまうことも多いでしょう。まずはルールを整え、それを全社的に浸透させていくことが必要です。それができないと、後々に全員が苦労することになります。
薩摩氏:IT部門が用意したID基盤の仕組みやAPIを、業務部門主導で作るアプリにも展開できるような技術的な仕組みとルールが必要ですね。そうした仕組みは、事業部門側にとっても便利なはずです。
地代所氏:日本企業の場合、「こういうルールなので従ってください」といった形で事業部門にコミュニケーションすることが多いような気がします。それがユーザー側でのルールの浸透を妨げているとも感じます。よりユーザーに近い目線で、「この仕組みを使えば、これだけ簡単に社内ルールに沿ったアプリが作れます」といった形でコミュニケーションできると、利用する側の意識も変わるかもしれません。
大森氏:その観点で言えば、SailPointソリューションは、IGAに関わる個々の仕組みをパーツ化しやすいという点がメリットです。われわれがこれまでに手がけた案件でも、既にあるさまざまなアプリケーションの中に、仕組みとして実装することが容易だった印象があります。今後、ID基盤の整備に際してソリューションを導入する時には、そうしたことがやりやすいかもポイントになると思います。
機能が統合された「IDプラットフォーム」がSailPointの強み
--ベンダーの立場からもSailPointのソリューションが持つ強みを紹介してください。
藤本氏:まず、日本での事例を2つ紹介します。1つは、インターネットサービスを開発しているお客さまです。
同社では、社員だけでなく協力会社も含めてプロジェクトごとにチームを組織し、開発を行うスタイルをとっています。サービス開発が主な事業でして、そのための環境づくりに注力する必要があり、ID管理を行っていたものの、優先度が高くはなく、現場に任されるケースも多かったそうです。結果的に、ID管理が抱えるビジネスリスクが増大し、それを整理・統合したいと、SailPointのアイデンティティプラットフォーム導入を決定されました。
散在しているIDの「可視化」に加えて、ライフサイクルを考慮したID管理を自動化でき、詳細なポリシー管理も可能な点を高く評価していただきました。こうした一連のプロセスを、統合されたプラットフォームとして提供できる点が、SailPointの強みになります。
もう1つの事例も、やはり開発会社です。同社では、オンプレミスの時代からID管理に取り組み、権限管理や認証の仕組みが比較的整理されていました。しかし、社内で使うシステムのクラウド化が進む中で、以前からのID基盤では対応が難しくなっていました。ID基盤のクラウド環境への対応がSailPoint導入の大きな目的でした。
SailPointのアイデンティティ・ガバナンス管理ソリューションは、古いアーキテクチャーで作られたシステムも、クラウドなどの最新の環境と統合していくことができます。環境の変化に適応できるID基盤を通じて、IDと情報資産を可視化できるようになることは、ITガバナンスの確立にあたってメリットが大きいでしょう。
--サイロ化してたシステムやデータを統合、刷新していくITモダナイゼーションと同じように、IDのサイロ化を解消し、統合していくわけですね。SailPointは「アイデンティティウェアハウス」というコンセプトも掲げていますが、その考え方と今後のSailPointソリューションの方向性をお聞かせ下さい。
SailPointテクノロジーズジャパン合同会社
社長兼バイスプレジデント
藤本 寛 氏
藤本氏:アイデンティティウェアハウスは、統合されたIDプラットフォームに蓄積され、管理されているデータを、ID管理の自動化や最適化だけでなく、AIや機械学習に基づくリスク管理などにも、広く活用していこうという考え方です。
海外企業では、ゼネラルモーターズ(GM)での事例が代表です。自動車は、デジタル化による市場変化の影響が大きい業界の一つで、現在は消費者向けのサービスを自社で開発したり、インダストリー4.0のようなサプライチェーンの刷新の取り組みも進んでいます。従業員だけでなく、サプライヤーなどの社外の膨大な量のIDについても、管理していく必要が出てきています。
GMでは、そうしたID管理のプロセスをSailPointのソリューションで統合し、自動化なども活用しながら、ID監査にかかるコストを人手で行っていた場合に比べ約2億ドル削減することに成功しています。こうした「省力化」の過程には、IDプラットフォーム上に集められたデータから、リスクの高いIDや、その振る舞いを最新技術でピックアップするといったプロセスも含まれています。「高リスク」と判定されたものに対して、どう対応するかを人間が考える必要がありますが、リスクの高さを判定するために人力でログを追うという膨大な作業を、AI的なアプローチで肩代わりできる環境が既にあります。IDを中心にデータを集積していくことの価値は、極めて大きくなっているのです。
SailPointでは製品を通じたID管理業務の効率化といった部分だけでなく、このような最新のテクノロジーを活用した、「その先」のソリューションを作り上げていくことにもチャレンジしています。ぜひ、それらの活用にも取り組んでいただきたいと思います。
実際の導入に当たっては、企業それぞれの事業やシステムの状況によって、さまざまな道筋が必要になると思います。そうした個々の事情に合わせて、導入のロードマップをどう描いていくか、また、導入後も変化を続けるIT環境にどう対応していくかという部分については、ここにお集まりいただいたパートナーの皆さまの知見が必要になります。SailPointは、プロダクトベンダーとしてソリューションを強化することに注力しつつ、パートナーの皆さまにご協力をいただきながら、日本企業にIDガバナンスを定着させる取り組みを続けていきたいと考えています。
「IDガバナンス」に取り組む企業に対しパートナーとして支援できること
--最後に、IDガバナンスの強化に取り組もうとしている企業へのメッセージをお願いします。
大森氏:IDガバナンスの領域で、未来を見据えた機能を備えるソリューションをSailPointが提供しています。パートナーとしては、その価値をお客さまにしっかりと届けることに注力していきたいですね。ID管理の効率化を中心に、アクセス管理のGRC(Governance, Risk, Compliance)領域までを一気通貫で提供できるプラットフォームは、この先、企業にとって確実に必要なものになるでしょう。その際にIDプラットフォームを核としたAPI連携の活用や、根幹となるIDをどう管理していくべきかといった部分で、企業ごとの課題に応じた解決策を提供できる体制を整えていきたいと考えています。
薩摩氏:ID管理は「インフラ・オブ・インフラ」であり、企業における投資の目が向きにくい領域と認識しています。そのため、中途半端に内製化されることも多いのですが、IDガバナンスの確保や、DXへの活用範囲拡大を考える際には、APIやコネクターのような仕組みが存在しないID基盤は非効率ですし、そもそもセキュリティ面でも十分に機能していないケースが散見されます。パートナーとして、SailPointをIDガバナンスのプラットフォームとして使っていくことが、どのように企業のビジネス価値向上に貢献するのかについて伝えていくことも重要なミッションの一つと考えています。SailPointには、より魅力的な製品やサービスの展開を期待しています。
大竹氏:SailPointはグローバル展開するIDプラットフォームとして、この領域でのデファクトスタンダードになり得るポテンシャルを持っていると見ています。ソリューションを利用しながらID管理のプロセスを変えていくことで、企業はそのベストプラクティスを享受できます。また、SaaS形式でも導入でき、AIのような最新のテクノロジーを容易に取り入れられることも大きな魅力です。そうした魅力を、お客さまに訴求していきたいですね。
地代所氏:SailPointの製品としての価値に加え、IDガバナンスというコンセプトの重要性も合わせてお客さまに伝えていきたいと考えています。以前は「ID管理製品」というと、プロビジョニングや棚卸しの省力化といった側面が強調されていましたが、最近ではセキュリティの観点からも、IDガバナンスの重要さが際立ってきています。そうした重要なコンセプトをお客さまに理解していただきながら、ステップ・バイ・ステップでのIDプラットフォーム作りを共に進めていきたいと思います。
--皆さま、興味深いお話しを聞かせていただき、ありがとうございました。
前編:コロナ禍で加速するデジタル化、企業が「IDガバナンス」に本腰を入れなければならない理由