全7回の連載も今回が最後となる。今回は、これからアイデンティティ・セキュリティを考える上で重要になるポイントと、今後アイデンティティ・セキュリティはどのように発展していくかを解説する。ポイントとなるのは「自動化」「連携」「インテリジェンス」の三つである。

増え続けるアイデンティティとアクセス権限

　これからのアイデンティティ・セキュリティを考える上では、まずアイデンティティ・セキュリティによって守られる情報システムの状況を理解する必要がある。クラウド化・DXにより、アイデンティティ、アプリケーション、データは増え続けている。利用するアプリケーション、データが増えると管理しなければいけないアクセス権も合わせて急速に増加する。


　一つ誤解してもらいたくないのは、従業員が大幅に増えるわけではない点である。国内においては労働力人口の減少が大きな社会課題となっており、多くの企業が人材不足の課題を抱えている。M&Aなどを除けば、企業の従業員数が急激に増えることはまれであろう。ただ、従業員は増えなくても、アイデンティティは増える。例として従業員5000人の典型的な製造業を考えてみよう。5年前と比較して外部の協力会社の人材が500人から1000人に増えた。各従業員が利用するアプリケーションは、 クラウド化・DXの推進により10個から大幅に増加して30個になっている。管理しなくてはならないアイデンティティ情報・アクセス権限が急速に増加している現状が理解できるだろう。

増え続けるIT部門の負荷、もう限界！

　一方で、アイデンティティ情報・アクセス権限を管理するIT部門の人材はどうだろうか。アイデンティティの増加ペースに合わせて増えているだろうか。そんな企業があれば素晴らしいが、人材は増えることなくアイデンティティ情報・アクセス権限の管理に苦労しているのが実情だろう。もう限界である。

　IT部門の負荷が増大すると従業員へのITサポートが疎かになり、遅い対応・定型的な対応が原因で従業員の不満が増大する。不満を抱えた従業員はIT部門に相談することなく便利なクラウドサービスを使いだす。すると、オーバープロビジョニングの問題が顕著になる。これを解決しようとしてアクセス権を細かく管理しようとすると、さらにIT部門の管理負荷が増大する。こんな負のスパイラルが発生していないだろうか。負のスパイラルが発生することでIT部門の負荷が限界に達し、業務がスムーズにまわらなくなると、結果としてセキュリティの低下、コンプライアスおよびガバナンスの不備が発生してしまうだけでなく、非効率であるためコストも増大する。
 

アイデンティティ、アクセス権管理業務の「自動化」

　負のスパイラルから抜け出すにはアイデンティティ・セキュリティの活用が肝となる。アイデンティティ・セキュリティを考える上でのポイントと今後の発展の視点から、まずは自動化について説明する。

　IT部門の負荷を下げるためには、人手作業の自動化が必要となる。アイデンティティ管理において人手がかかっている、つまりはすぐにでも自動化すべき業務を三つ挙げる。

　一つめは、人事システムに入力された一次情報を人手でコピーや編集する作業である。人事システムの情報が即時に各システムに反映されないため、時間と作業の無駄が発生している。人事システムからの情報が自動的に反映されるようにシステム全体を見直そう。

　二つめは承認作業である。IT部門だけではなく業務部門も巻き込んで、紙、メール、ワークフローシステムなどを利用した複雑な承認フローをいまだに採用している企業がある。アイデンティティ・セキュリティによるシステム化の前に、まずはそのフローが本当に必要なのか検討しよう。紙、メールなどを前提とした承認業務フローをそのままシステム化しても自動化できる部分は限られてしまう。極端な話をすれば、100％の割合で承認されているフローは承認を行わずに自動化してしまったほうがいい。確認のために承認フローが必要というのであれば、定期的にレポートを作成し、棚卸を実施するほうが効率的だろう。

　三つめがエクセルによるアクセス権の棚卸（アクセス権レビュー）だ。監査やコンプライアンス作業のシステム化が遅れ、手動での作業が国内企業ではいまだに多く残っていることは筆者がMCを務めた「JNSAデジタルアイデンティティWGミニウェビナー第2回『内部統制/IT全般統制とアイデンティティ』」でも語られていた。アイデンティティ情報をエクスポートしてエクセルに転記し、メールで回覧している企業がいまだに存在するのは非常に残念なことである。エクセル棚卸に頼っていては誰がいつレビューを実施して、どの程度作業が進捗しているのか把握することもできない。かつ職位が高い立場の人材の貴重な時間を奪ってしまうことになる。

　アイデンティティ・セキュリティにおける自動化の発展の方向性の一例も上げておく。上記の三つの自動化が実現されると、アイデンティティの管理状況が整ってくる。整理された状態になることで、今までは人手を使い、さまざまな部門に問い合わせないとすぐには分からなかった、従業員に関連付けられてないアカウントなども容易に判別できるようになる。整理された状態を維持するために、不正利用の可能性があるこうしたアカウントの棚卸を自動的に開始するといった自動化も可能になってくるだろう。

企業が利用するさまざまなシステム、アプリケーションとの「連携」

　次に連携を見ていこう。多くの企業で連携ができてない部分、連携が必要となるポイントを紹介する。

　一つめは人事システムとの連携である。人事システムから直接情報を取得することは効果的に自動化を行う上では重要である。しかし連携を行うには、人事システムとアイデンティティ・セキュリティソリューションの双方での対応が必要になる。最近ではクラウドベースの人事ソリューションも増えてきており、その多くは連携するためのAPIを提供している。しかし現実には人事システム側の対応ができておらず、CSVなどのファイル連携となることも多い。そのためアイデンティティ・セキュリティソリューションには、人事システム側のAPI（独自のAPIであることも多い）による連携とCSVなどのファイル連携の双方の機能が求められる。

　二つめは、アカウントデータのプロビジョニング先となるシステムやアプリケーションとの連携である。クラウド活用が進むことでアカウントやアクセス権の管理が必要となるサービスも増えてくることはすでに述べた。幸いプロビジョニングの標準仕様であるSCIMに対応したSaaS、IaaSなどのサービスも増えている。一方、依然として、自社開発・自社運用のアプリやシステム、オンプレミスやIaaS上で稼働するソフトウェアシステムも多く存在する。結果として、アイデンティティ・セキュリティソリューションはより多くのシステム、アプリケーションと連携できることが求められる。連携先が増えるごとに開発が必要となるようなことがあってはならない。

　三つめは、セキュリティソリューションとの連携である。アイデンティティ管理、アイデンティティ・ガバナンス、アイデンティティ・セキュリティと進化し、作業負荷の削減や業務の効率化に加えて、セキュリティ向上に寄与することが強く求められている。監査・コンプライアンスのためのログ・レポートだけではなく、SIEMなどのセキュリティソリューションとの相互連携を行い、SIEMで不正検知が確認されたアカウントを無効化するほか、SIEMに対してアイデンティティに関わる情報を提供し高度なインシデント対応を実現することでセキュリティを向上させることができる。

　今後は、連携の幅と深さが拡大していくことになるだろう。新たなクラウドサービスが日々登場してきているなか、幅広くかつ迅速に新しいサービスに対応することが求められる。またセキュリティのさらなる向上のためには、深さも求められる。例えば、SaaS、IaaSとのアクセス制御・アクセス権限に関するデータ連携、アクセス施行やアクセス履歴といったアカウントの振舞データの連携も求められるだろう。

集約したアイデンティティ、アクセス権の情報から得られる「インテリジェンス」の活用

　今後必要となる、より深い連携はセキュリティ関連のデータ収集が目的である。アイデンティティ・セキュリティが扱うアカウントやアクセス権の情報等をより多く収集し、分析することで判断・意思決定を行うための多くのインテリジェンスがアイデンティティ・セキュリティソリューションから提供されることになるだろう。

　現時点で、アイデンティティ・セキュリティからの提供がすでに実現しているインテリジェンスとしては、効率的な棚卸の支援としてアクセス権承認・削除をお勧めしてくれるレコメンデーション機能や、付与されているアクセス権限が同じような職種や部門のメンバーとは違う仲間外れのアイデンティティを見つける機能がある。

アイデンティティ・セキュリティの旅は続く

　アイデンティティ・ガバナンス、アイデンティティ・セキュリティはゼロトラストセキュリティモデルの中心である。ゼロトラストセキュリティモデルがセキュリティにおけるトランスフォーメーションであり継続して改善していくことが求められるように、アイデンティティ・セキュリティも継続的に改善していく必要がある。守るべきデジタルアイデンティティや企業組織の情報システムがDXにより常に変化しているからである。

　終わりが決まっているプロジェクトではなく、継続して進化するプログラムなのである。これを「Identity Journey（アイデンティティの旅）」と呼んでいる。今回の連載がアイデンティティ・セキュリティの旅を安心・安全に過ごしてもらうガイドになれば幸いである。