SaaSの利用の増加などにより、従業員一人一人に与えられるアイデンティティーの数は増加している。しかし、アイデンティティーの管理が不十分だったり、認証ができていなかったりする企業が多く、アイデンティティーを悪用したサイバー攻撃による被害が拡大傾向にある。企業のアイデンティティーセキュリティーの強化を進めるベンダーの取り組みから、市場を分析する。
（取材・文／岩田晃久・大畑直悠）

 

Okta Japan
独自の認証技術で保護

　Okta Japanは、アイデンティティー管理サービス「Workforce Identity Cloud」を提供しており、アクセス管理（IAM）、IDガバナンス（IGA）、特権アクセス（PAM）の統合管理を実現している。独自技術による認証や、他社のセキュリティー製品との連携によるゼロトラストセキュリティー環境の構築などを差別化要素として、顧客獲得を推進する。
 
　Workforce Identity Cloudでは、専用アプリケーションの「Okta Verify」を利用した認証方法である「FastPass」を提供する。ユーザーは端末にOkta Verifyをインストールし、IDとパスワード、端末情報などを入力すれば、それ以降は、自動で公開鍵と秘密鍵による認証が行われ、パスワードレスでアプリにログインできる。オプションで生体認証の追加も可能だ。岸本卓也・シニアソリューションエンジニアは「利便性を上げながら、セキュリティー強化が図れる」と語る。同社の顧客でもパスワードレスの多要素認証（MFA）を採用するケースが増えているとする。また、FastPassの機能とドメイン情報を活用した認証を施すことで、フィッシング攻撃で情報を窃取されても、攻撃者のログインを防げるという。

　6月には、認証後の端末の保護を強化する新製品「Identity Threat Protection with Okta AI」（ITP）を発表した。認証後のCookieといったセッションIDを狙うケースが増えてきているため、IPアドレスの変化やOktaが連携する他社のSASE（Secure Access Service Edge）といった製品から得られる情報から端末の挙動を継続的に監視し、端末の安全性が疑わしいと判断した場合は、再認証を要求したり、アプリへのアクセス権を無効化したりする。

　PAMでは、パスワードを使用せず、クライアント証明書を都度発行してログインさせたり、上司が許可した時だけ特権IDを発行したりする仕組みなどを提供している。ほかにも、企業内に存在するアイデンティティーのライフサイクル管理やアクセス権の棚卸しなど、ガバナンスの強化に必要な機能もWorkforce Identity Cloudで利用できる。

　また、米CrowdStrike（クラウドストライク）、米Zscaler（ゼットスケーラー）との製品連携により、ゼロトラストセキュリティー環境を構築できるという。岸本シニアソリューションエンジニアは「ゼロトラストにおけるアイデンティティーセキュリティーとして、当社製品を強く意識するお客様とパートナーが増えている」と手応えを語る。

　製品の販売については、国内のコンサルティングベンダーやテクノロジーパートナーとの協業を強化している。自社の人員強化も進めており、ユーザーが製品を運用するのに必要なスキルの取得を支援する教育サービスをはじめ、日本語対応によるカスタマーサポートの充実、活用方法の提案や支援など、カスタマーサクセスの実現などに取り組んでいる。

　アイデンティティーセキュリティーの市場の今後について、岸本シニアソリューションエンジニアは「現状では、日本は米国に比べるとSaaSの利用は少ないが、今後は増えてくるはずだ。そうした中で、よりアイデンティティーを中心にセキュリティーを考えなければならなくなるため、アイデンティティーセキュリティーの需要が拡大していくだろう」と展望する。

SailPointテクノロジーズジャパン
ガバナンスからセキュリティーへ

　アイデンティティー管理製品「SailPoint Identity Security Cloud」などを提供するSailPointテクノロジーズジャパンは、従来のアイデンティティーガバナンスからアイデンティティーセキュリティーへと提供価値を発展させている。アイデンティティーがサイバー攻撃の入り口になっているとして、全社で整合性が取れたアイデンティティー管理を行うことで、不正利用の可能性の抑制や被害の拡大を防ぐ。

　SailPoint Identity Security Cloudは、非正規社員を含めた全社で整合性の取れたアイデンティティーライフサイクルの管理や、各アイデンティティーに過剰に権限が付与されていないかを可視化する機能を提供する。SaaSなど企業が利用するITシステムの増加を背景に利用企業も拡大している。

　同社は11月20日、マシンアイデンティティーを管理する機能「SailPoint Machine Identity Security」を発表。不要なまま放置されていたり、管理者が不在だったりするマシンアイデンティティーの検出や分類、アクセス権限の審査が可能になり、さまざまなアイデンティティーをより包括的に適正化できるようになった。
 
　藤本寛社長兼米SailPoint Technologies（セイルポイントテクノロジーズ）バイスプレジデントは「これまで当社の製品は、ガバナンスやコンプライアンス確保の観点から管理の効率性や正確性を向上するための引き合いがあったが、最近はゼロトラストセキュリティー構築のプロジェクトの一環として、アイデンティティー管理を改善したいという問い合わせが増加している」と話す。続けて、「現状ではアイデンティティー管理はIT基盤やインフラプロジェクトとしか見られていないが、セキュリティー対策の一環として認知が進めば、普及が加速するだろう」と語る。

　不正に利用されるアイデンティティーの動きの制限や、早期の検知を目的とした機能となる「SailPointアイデンティティーリスク」を限定提供しており、アイデンティティーの行動パターンにより、どういった事象が起きているのかを把握できるという。今後も、同機能の強化を進めていく。藤本社長は「アイデンティティーガバナンスによる静的な管理と動的なリスクの把握により、アイデンティティーが不正に利用された際に、アクセス権限を無効化するなどして被害を最小化できる」とアピールする。外部のセキュリティー製品との連携で不正利用を検知する仕組みも展開する。

　拡販に向けては、パートナーとの協業を重視する。これまで協業を進めていたコンサルティングファームとの関係強化に取り組むほか、SIerとの協業を推進する。直近ではNTTデータと2024年5月にパートナーシップを結び、すでに動き出している案件もあるという。藤本社長は「かつてのアイデンティティー管理製品の手法を踏襲してウォーターフォール型で一挙につくり込むのではなく、アジャイル開発のように部分的なシステムから徐々に適用範囲を広げることもできる」と訴える。加えて、セキュリティー製品と合わせて自社の製品を提供できるパートナーを開拓すると説明する。

　今後の商機については、ERP刷新のタイミングでアイデンティティー管理を徹底する需要が生まれるとする。特に独SAP（エスエーピー）製品のリプレースのプロジェクトに自社製品を組み込みたい考えで、製品連携の強化を図っている。ERPのアドオン機能の開発や外部システムとの連携などで、ERPの内部では各アイデンティティーのアクセス権限の管理を完結できないケースに対して、SailPoint Identity Security Cloudの活用が有効になるとしている。

米Cisco Systems日本法人
不正検知、体制分析機能の利用が可能に

　セキュリティー事業の強化を進めている米Cisco Systems（シスコシステムズ）日本法人は、アイデンティティーセキュリティーを重要項目の一つに掲げている。MFA・デバイス認証製品の「Cisco Duo」を中核に据えて、アイデンティティーの可視化、強固な認証、ガバナンスの強化を実現し、セキュアな環境の構築を支援する。

　Cisco Duoは、MFAやパスワードレス認証といったユーザー認証機能や、デバイスの可視化などを行うデバイストラスト機能、シングルサインオン機能などを搭載した製品。最近、新機能として「Identity Intelligence」を追加し、不正アクセスや不正行為を検知するITDR（Identity Threat Detection and Response）、IDセキュリティー体制管理の分析などが可能なISPM（Identity Security Posture Management）が利用できるようになった。Identity Intelligenceは、シスコが23年に買収した米Oort（オールト）の技術をベースとしている。

　ISPMを利用することで、企業のシステム環境に存在するアイデンティティーを可視化し、協力会社などの発行したゲストアカウントの数や利用されていない休眠アカウント、MFAが実装されていないアカウントなどを容易に把握できるとする。また、ITDRにより、休眠アカウントからの突然のアクセスや、過剰に認証が行われているなど通常とは異なる動きを即座に検知することが可能となる。ISPMとITDR合わせて約60のルールを設定しており、さまざまなアイデンティティーリスクに対応する。APIにより、他社のID管理製品や人事情報システム、アプリなどから容易にデータを取り込める。

　また、ユーザーごとにスコアリングが可能で、例えば、常に同じIPアドレスとMFAを利用しているユーザーは「Trusted」となり、ハッカーにアイデンティティーが搾取され怪しい動きがある場合は「Untrusted」とするなど5段階で評価する。将来的には、次世代ファイアウォールやSSE（Security Service Edge）製品の「Secure Access」といった自社のセキュリティー製品と連携させ、一定のスコアのユーザーでなければネットワークを利用できないといった制御までを実現させる予定だという。
 
　石原洋平・執行役員セキュリティ事業担当は「ISPMとITDRは比較的新しい領域となるが、これから取り組まなければならないという認識を持つお客様が多く、関心が高まっている。アイデンティティーを可視化することで、ガバナンスの強化を図れる」と述べる。実際、Identity Intelligenceを利用したいとの考えから、Cisco Duoの利用を検討するユーザーが増加しているという。今後は、Cisco Duoだけでなく、Secure Accessや「Cisco XDR」などの製品においても、Identity Intelligenceを実装する計画だ。

　販売面ついて、石原執行役員は「アイデンティティーセキュリティーへの取り組みを強化するパートナーが増えている。Identity Intelligenceは診断ツールにもなるため、パートナーが提案しやすい商材だ」と語る。パートナーの中には、Identity Intelligenceを活用したマネージドセキュリティーサービスの開発に取り組むケースも出てきているという。また、上流工程に携わるコンサルティングベンダーの関心も高いとする。