日本最大級のインターネットテクノロジーイベント「Interop Tokyo」が今年も6月に開催された。その期間中、Keeper Security APACとテクバンは会場内セミナー「ゼロトラスト時代の特権アクセス管理:Okta × Keeperで始める統合セキュリティ」を実施し、IDaaSのパイオニアOktaと、パスワードをはじめとする認証情報管理基盤Keeperの連携による統合セキュリティーソリューションが参加者の注目を集めた。サイバー攻撃の主要侵入口となっている認証情報をいかに守るか、そしてゼロトラストセキュリティをどう実現するか、セミナーの様子をレポートする。
盗まれた認証情報がサイバー攻撃の侵入口になっている
セミナーではまず、Keeper Security APAC 地域営業統括本部セールスの大原和宏氏が登壇した。同氏はまず、ID管理と認証情報管理の違いを示す。ID管理はユーザーを軸にして、どのアプリケーションへのアクセスを許可するかを制御するものだ。対して認証情報管理はパスワードなどを軸にして、それを誰が使用してよいかを制御する仕組みである。
一般に認証情報管理というと、認証情報の安全な保存、つまり暗号化が想起されることが多い。しかしその「保存」の機能だけでなく、「共有・貸出」「制御・監視」も重要な要素だと大原氏は訴求する。「暗号化保存は前提として、特権アカウントの安全な共有・貸出、そして利用時間や権限の制御、アクセス履歴の監視まで含めて認証情報管理と位置付けている」(大原氏)
昨今のサイバー攻撃における主な侵入口は「盗まれた認証情報」であり、その割合は表面化しているものでも68%に達している。つまり、攻撃者の侵入を防ぐためには認証情報を守る必要があり、一般ユーザーが使うパスワード管理から情シス部門が活用する特権アクセス管理まで、あらゆる機能を包括的に提供するKeeper Securityの重要性がいっそう高まっているのだ。
では、なぜ認証情報がここまで狙われるのか。その理由を大原氏はこのように説明する。「コロナ禍の影響でリモートワークが増加し、クラウドサービスが普及したことを受け、従来の境界防御型のセキュリティーからゼロトラスト型のセキュリティーへ変化させていく必要が出てきた。するとアクセスリクエストのたびに認証・認可が求められ、結果としてすべてのユーザーが認証情報を持つことになり、そこを攻撃者が標的として狙ってきている状態だ」
特に深刻な脅威として挙げられたのが、インフォスティーラーと呼ばれる情報窃取型マルウェアである。「ユーザー端末に感染してブラウザのパスワード情報を数秒で窃取し、完了後に自己消滅する特徴を持つ」として、大原氏は対策の緊急性を訴えた。
大原和宏
Keeper Security APAC
APAC地域営業統括本部セールス
ID管理とパスワード管理の統合がもたらすシナジー効果とは
続いて、テクバン プロダクトサービス事業本部 ITサービス事業部 事業部長代理の成重正人氏が登壇。同氏は初めに「DXは単なるツールの入れ替えではなく、業務プロセスの根本的な変革。そのためにゼロトラストセキュリティーが必要になる」と説明し、DXとセキュリティーの関係性を強調した。
実際、総務省のデータでは8割以上の企業が何らかの形でクラウド化を実施しており、実質的にDXが進行していることになる。しかし、「88%の企業がDXの効果を実感している一方、セキュリティー課題も顕在化している」と成重氏は説明する。さらに、ガートナーの2025年版セキュリティートップトレンドでは、IAM(IDアクセス管理)とPAM(特権アクセス管理)がトップ3に入っており、グローバルレベルでID管理の重要性が認識されていることがわかる。
DXとゼロトラストセキュリティーが不可分である中、Keeper SecurityとOktaを連携させることのメリットについて、成重氏は3つのポイントを挙げる。1つめはID管理の一元化とセキュリティー強化で、「IDaaSでは対応困難な共有アカウントの管理をKeeperが担うことで、完全な認証情報の一元管理が実現する」(成重氏)。また、Keeper SecurityとOktaの連携によってユーザーはパスワードを記憶する必要がなくなり、運用負荷が大幅に低減される。そして3つめが、パスワード強度チェックや自動更新などの管理機能による、ユーザー・管理者双方の負荷軽減だ。
成重正人
テクバン プロダクトサービス事業本部 ITサービス事業部
事業部長代理
セキュリティーはコストでなく、DXとしての投資対象
特権アクセス管理については、3つの具体的なユースケースが紹介された。
第一のケースは、システム管理者や運用担当者による作業時の特権ID管理だ。ユーザーはOktaにSSOログイン後、Keeper PAMで特権ID申請を行い、管理者承認を経て一時的なアクセス権を取得。作業後その権限は即座に削除される。「重要なのは、パスワードを平文で渡すのではなく、リモートセッション経由でアクセスするため、デバイスに認証情報が残らない点だ」と成重氏は説明する。
第二のケースは、外部パートナーやベンダーによる作業時の管理で、協力会社の作業においても、有効期間設定やリアルタイム監視、強制切断機能により、セキュリティーを確保しながら作業を委託できるようになる。そして第三のケースは、自動化ツールやプログラムによる特権アクセス管理だ。「プログラム内にハードコーディングされた認証情報を排除し、実行時のみ一時的に権限を付与することで、漏洩リスクを大幅に削減できる」(成重氏)。
KeeperとOktaの統合により実現される効果として、成重氏は「ID管理と特権アクセス管理の統合」「運用負荷の軽減」「セキュリティーレベルの飛躍的向上」「コンプライアンス要件への対応」の4点を挙げる。「特にパスワード管理や特権ID管理という足回りの部分は、十分に対応できていない企業がまだまだ多い。まずはこの基盤を固めることが重要だ」(成重氏)
セミナーの締めくくりとして、成重氏はセキュリティー投資の新しい捉え方を示した。「従来セキュリティーはコストと考えられがちだったが、現在はDXの一要素として投資の対象となっている。上層部もDXに対しては投資意欲を示しており、セキュリティーもDXの一環として捉えることでプロジェクト推進が容易になるだろう」
