コロナ禍による強制的で急激なリモートワークの拡大は、さまざまな変化を巻き起こした。働き方改革が進んだなどの良い変化がある一方、数々の課題も残した。今回はアイデンティティ・セキュリティの検討・導入の大きな理由ともなる「オーバープロビジョニング」について紹介し、どのように「オーバープロビジョニング」を解消すべきかを説明する。

コロナ禍によるオーバープロビジョニングの拡大

　オーバープロビジョニングとは、アプリケーションやシステムの利用者が、利用するシステム、アプリケーション、データ、機能に対して過大・不必要な権限をもっていることをいう。オーバープロビジョニングであるということは、最小権限の原則が維持されていないことを意味し、コンプライアンスやセキュリティ上の問題となる。

　従来からオーバープロビジョニングは少なからず発生していたが、コロナ禍によるリモートワークの急激な拡大により増加したと考えられる。企業・組織は感染防止の観点から会社での業務を避け、リモートワークを増やさなければいけない状況に追い込まれた。VPNやリモートアクセス環境を準備するだけで手いっぱいのIT部門では、利用者に対して細かく権限を割り当てる余裕がなく、アクセスできるようにすることを優先して大きめに権限を割り当てたり、リモートワークを行う社員にすべて同じ権限を割り当てたりした。リモートワーク環境の整備を短期間に行うためには仕方のない対応だったといえるが、結果的にオーバープロビジョニングとなり、コンプライアンスやセキュリティ上の課題が残された。

継続的・長期的に拡大するオーバープロビジョニング

　このように、コロナ禍におけるリモートワーク環境整備を優先し、IT部門の作業負荷軽減のために適切なアクセス権付与を実施しなかったことでオーバープロビジョニングが拡大した。しかし、リモートワーク環境が定着しIT部門に余裕ができれば、不適切だったアクセス権付与を見直すことも可能である。一時的・短期的にコンプライアスやセキュリティ上の課題があっても、適時に解消できれば大きなリスクとはならないだろう。

　一方で、継続的・長期的にオーバープロビジョニングをもたらす要因も存在する。その代表的な例がクラウドシフトである。クラウドシフトにより、企業・組織が利用するシステムがIaaS上で稼働し、SaaSを利用して業務を実施するようになっている。

　オンプレミス環境に加えて、IaaSやSaaSの管理が追加されるとIT部門の管理負荷は高まる。クラウドを利用することを優先し、アクセス権の適切な付与を疎かにすると、クラウドシフトの継続的・長期的な流れに合わせてオーバープロビジョニングが増加することになる。

　また、SaaSに代表されるクラウドは利用を開始するのが非常に簡単である。例えば、ビジネス部門が業務を効率的・効果的に実施しようして、IT部門への連絡をせずにSaaSを利用することで、企業が利用を把握できていないシステムやクラウドサービスが増加するいわゆるシャドーITもオーバープロビジョニングの温床になりうる。

　さらに、グローバル化、DX、働き方改革などにより、企業・組織の在り方や業務・仕事の仕方が大きく変化していることもオーバープロビジョニングの原因になりうる。

　内部統制やIT全般統制において求められるアクセス権の適切な付与・剥奪を実現するための定期的なアクセス権の棚卸（アクセス権レビュー）を実施している企業は多い。従来のオフィスで部門ごとにまとまって仕事をしている状況であれば、部下や同じ部門の社員がどのような業務をしていて、どのようなアクセス権が必要かを容易に把握できただろう。アクセス権の棚卸も自信をもって実施し、必要ない権限は剥奪できた。

　しかし、仕事の仕方が大きく変わり、従業員がさまざまな場所から業務に従事している現在のような状況ではどうだろう。部下や同じ部門の社員であっても、積極的に情報を集めない限り、どのようなアクセス権が業務遂行に必要か把握できない。間違って必要な権限を剥奪してしまうことを恐れるあまり、本来は業務に必要のない剥奪されるべき権限の剥奪が行われなくなってしまうことも起こりうる。このような形骸化した承認行為を英語ではラバースタンピング（Rubber Stamping）と呼び大きな問題となっている。形骸化した承認行為によりオーバープロビジョニングが放置されることになる。

　また、こうした状況で新たに考えられるのが過大なアクセス権の申請である。「とりあえず、申請しておこう」「大きめの権限を依頼しておこう」と考える従業員もいるだろう。過大・不必要な権限申請となり従業員起点のオーバープロビジョニングとなる。
 

オーバープロビジョニング解消への処方箋

　コロナ禍等の一時的・短期的な要因やクラウドシフト、企業・組織の在り方や業務・仕事の仕方の変化といった継続的・長期的な要因によりオーバープロビジョニングは情報システムの全ての面において発生し、増加している。コンプライアス・セキュリティ上の大きなリスクとなるオーバープロビジョニングの解消にはテクノロジーの利用が欠かせない。

　アクセス権の管理はIT管理者がそれぞれのシステムやIaaS、SaaSの管理画面にアクセスし作業するという人手に頼った運用も可能である。しかし、IT環境の複雑性が増す状況で、人手に頼ったアクセス権管理は現実的でない。

　アクセス権の適切な管理を実現するにはアイデンティティ・ガバナンスが効果を発揮する。社内およびクラウドに散らばったアイデンティティ情報を集約し可視化することで、誰が、どのシステムに、どのようなアクセス権をもっているか、オーバープロビジョニングによる潜在的なリスクはないかを把握することができる。集約・可視化されたアクセス権の情報を棚卸（アクセス権のレビュー）することも可能である。

　ただ、内部統制やIT全般統制のコンプライアンスや監査要件を満たすための定期的な棚卸（アクセス権のレビュー）だけでは拡大するオーバープロビジョニングのセキュリティリスクの軽減には心もとない。監査やコンプライアンス、アイデンティティ管理に関わる作業コスト削減といった従来のアイデンティティ・ガバナンスの主要な動機から、セキュリティの向上が大きな導入契機になることで、アイデンティティ・ガバナンスにも進化が求められてきた。

アイデンティティ・ガバナンスからアイデンティティ・セキュリティへの進化

　筆者が所属するSailPointテクノロジーズはアイデンティティ・ガバナンス領域のリーダー企業である。SailPointはアイデンティティ・ガバナンスの機能を継続的に強化し進化させてきた。最近では、アイデンティティ領域のベンダーは進化したアイデンティティ・ガバナンスをアイデンティティ・セキュリティと呼称するようになっている。

　アイデンティティ・セキュリティへの進化は主にオーバープロビジョニングのようなセキュリティリスクの軽減に集中している。増加するオーバープロビジョニングをどのように解決するかの視点で説明する。

　まずは、可視化する範囲の拡大である。クラウドシフトにより増加しているSaaS上のオーバープロビジョニングを解決するためには、SaaS上のアカウント情報とアクセス権限情報を適宜に可視化する必要がある。従来のオンプレスミスのシステムからのアイデンティティ情報の集約に加えて、SaaSが公開したAPIや標準プロトコルを利用しSaaS上のアイデンティティ情報を取得できるように連携できるSaaSを増やしている。

　次に接続性の向上・深化である。監査やコンプライアンスの用途であれば、事前に予定した四半期のタイミングで処理が行えれば問題がなかった。アイデンティティ管理に関わる作業コスト削減に関しても、アイデンティティ管理製品側から人事情報に基づいて必要な情報をシステム・アプリケーションへ連携する一方向の連携で問題がなかった。

　しかし、オーバープロビジョニングはシステム・アプリケーションのあらゆる場所で起こりうるため、必要なタイミングでSaaSシステムに接続して情報を集約する必要がある。また、SaaSへどの程度ログインしているかといった利用状況の情報も取得できるようになっている。接続頻度の向上と取得・集約する情報の深化により、オーバープロビジョニングを軽減するための可視化の向上に寄与する。

　例えば、特定のSaaSアプリケーションの利用が拡大している状況であれば、当該SaaSに関しては毎日情報の集約を行い、その上で過去1週間の間に追加・変更されたアカウントの棚卸（アクセス権のレビュー）を行う。また、棚卸（アクセス権のレビュー）を行う際にはログイン情報も含めたより精査な確認を行うことで、自信を持ってアクセス権の剥奪を行うことができる。

　オーバープロビジョニングは従来から存在するセキュリティ上の課題であるが、クラウドシフト、グローバル化、DX、働き方改革でより大きな問題になりうる。増加するオーバープロビジョニングへの対応には、従来のアイデンティティ管理、アイデンティティ・ガバナナンスでは不十分である。企業・組織においてもアイデンティティ・セキュリティへのステップアップ・成熟度の向上が求められている。