ビジネス戦略とITシステムを効率的かつ柔軟に構築する多くの企業にとって、今日の「国境なき」エンタープライズネットワークとクラウドベースのテクノロジーやサービスを巡る事態は深刻である。その理由の一つは、アイデンティティセキュリティにあると言えるだろう。
企業において、「デジタルアイデンティティ(デジタルID)」とは、組織に関する人やモノのことを指す。具体的には、従業員や顧客企業、パートナーといった「人」だけでなく、人にひもづかないデバイスやアプリケーション、さらにはボットが考えられる。デジタルIDには、特定のエンティティの企業リソースや機密データに対するアクセスレベルを記述するポリシーも付与される。
SaaS、パブリッククラウドベースのツール、在宅勤務に関わる企業の柔軟な対応など、さまざまなトレンドにより、組織で使用されるIDの数と種類は大幅に増加している。これに伴い、IDを発端とした情報漏洩が急増しており、サイバーセキュリティに対するアプローチは企業にとって喫緊の課題である。
アイデンティティセキュリティとは、人とモノのIDのセキュリティを保護し、機密性の高いエンタープライズアプリケーション、インフラストラクチャ、データを保護するための、リスクベースの全体的なアプローチである。このアプローチでは、ゼロトラスト実現の基礎となる一連のテクノロジーが提供される。
ID管理が重要性を増す中で、企業がアイデンティティセキュリティについて検討する際に押さえておくべき6つのポイントを紹介する。
(1)重要資産のセキュリティを優先
多くのサイバー攻撃は、IDの漏洩に端を発する。IDの認証情報の有効な組み合わせを奪取した攻撃者は、ITシステム、パブリッククラウド、ビジネスアプリケーション、機密データなどにアクセス可能な特権アカウントを標的とすることで、より高レベルのアクセス、すなわち「特権の昇格」を獲得しようとするのが一般的である。
攻撃者にとって特権アカウントは最適な標的となるケースが多い一方で、多くの組織は、自社のIT環境全体の特権アカウントの数と場所を認識していないのが実情だ。
アイデンティティセキュリティ プログラムの導入を成功へと導くには、まずはリスクが想定される特権アカウント、認証情報、構成ミスを把握し、最も標的となりやすいシステムとデータを把握することが重要である。これらを特定した上で、高リスク資産にアクセスする人(またはモノ)を特定する。
まず優先すべきは、最も重要な資産のセキュリティ、つまり、組織にとって最も機密性の高いデータの保護である。その後に、比較的機密性の低い資産が優先される。ただし、サイバー攻撃の手法は想定外のところから狙われる可能性がある。攻撃者はより大規模で高価値な資産への移行に利用可能な足がかりを探しているため、その点を念頭に置いておく必要がある。
(2)攻撃ターゲットとなりうるIDの分析
最優先すべき資産を保護することで、何をどのように保護するのかをより細かく分析することが可能となる。具体的には、ログインの発生場所を追跡し、それらのログインに関わるプロセスや手順を監視する。機密性の高いアプリケーションに関連するログを調査し、リソースへのアクセスに関与した人やモノ、リソースの内容、アクセスの日時、期間、目的を確認する際、アナリティクスとオートメーションは極めて有益であり、これによって、「分析麻痺」状態に陥るのを回避できる。
(3)効果的な多要素認証(MFA)を導入
MFAは完全無欠なソリューションではないが、ID漏洩を防ぐための重要なコントロールである。生体認証(指紋認証、顔認証)、スマートデバイスのプッシュ通知、デバイス証明書(承認デバイスのデジタル識別子)などの各種ツールをはじめとするMFAを強化し、リスクを軽減してその効果を持続させる手段は複数存在する。
MFAの導入は、手作業でのパスワードの使用を減らしセキュリティの強度が高まるだけでなく、ユーザーにとってはシームレスなログインが実現し、運用とセキュリティの両方でメリットとなる。
(4)特権アクセス管理を通じて、高リスクのアクセスを保護
クラウド、DevOps、オートメーション、IoTなどの採用が進む中、特権アクセス保護の必要性はますます高まっている。特権アクセス管理ソリューションを使用すれば、機密性の高いアプリケーション、システム、データに対するインフラストラクチャと管理のアクセスに関するリスクを制限できる。
特権アクセス管理ソリューションは、アクセスの管理、監視、制御を支援する。これにより、人とモノのIDには、本来の目的の遂行に十分なアクセスのみが、適切に提供される。
(5)目的遂行に適切なアクセスのみを許可
特権アクセス管理プログラムは、特権アクセス向けのジャストインタイム(JIT)アプローチである最小特権と完全に一致している。JITは、最小特権アクセスのコンセプトと時間ベースの要素を組み合わせたものである。ユーザーには、業務の遂行に必要なリソースに対し、所定の時間のみ、適切な許可とアクセスが付与される。
(6)企業文化の変化に対するモチベーションを向上
ゼロトラストの概念の下でアイデンティティセキュリティのアプローチを採用することは、一朝一夕に完結するものではない。これは企業文化にも関わることでもあり、従来のITインフラストラクチャ/セキュリティチームの枠組みを超えて、さまざまな利害関係者による関わりと行動が要求される。
迅速なアクションを通じてリスクを軽減することも可能だが、中堅企業・大企業のアイデンティティ セキュリティを包括的にコントロールするには、自社の抱える最大のリスクを踏まえた上で、反復的な作業と想定、優先順位の決定が求められる。
企業におけるコミュニケーションと組織変革管理は、アイデンティティ セキュリティ プログラムを成功へと導く鍵であり、経営陣からの支援体制が必要となる。セキュリティのメリットを明確にするだけではなく、ユーザーはアイデンティティセキュリティが日常的な業務にもたらすメリットと、オペレーションの向上やリスクの軽減についても理解すべきである。
当社が実施した調査では、日本の経営幹部レベルにおいて「アイデンティティ セキュリティに関する意思決定を正しく行っている」と回答した割合は、わずか32%に留まっていることが明らかになっている。アイデンティティ セキュリティのための統合および自動化されたアプローチを採用することで、人とモノのすべてのIDへのアクセスを保護することが可能になるだろう。