デジタルトランスフォーメーションに向けたクラウドの利用拡大、コロナ禍によるテレワークの普及など、現在のビジネス環境はかつてないほど多くの変化に直面している。この状況のもとでは、セキュリティ対策にも抜本的な見直しが迫られている。組織の「内」と「外」を区別し、境界線で防ぐ従来の対策から、ゼロトラストなアプローチへと転換するためのポイントとは何か。サイバーセキュリティの経験豊富なプロフェッショナルに聞いた。
新型コロナウィルスのパンデミックによって、ビジネスを取り巻く状況は大きく変わった。企業ではテレワークの導入が一気に進み、オンライン会議やファイル共有などのクラウドサービスの利用が拡大。皮肉にも、それがデジタルトランスフォーメーションを加速した。
そんな中、IT利活用の広がりによって浮上したのが、新たなセキュリティリスクの問題だ。
2020年4月に1度目の緊急事態宣言が発出されたときは、十分な体制が整わないまま、急きょテレワークを開始した企業が多数あった。在宅勤務の社員はVPN経由で社内システムを利用するが、一斉利用によってVPNの回線帯域がひっ迫し、思うように業務が行えなかった。このような経験した人は少なくないだろう。
また、業務環境の準備が不十分だったケースもある。対応を急いで進めたために、社員に貸与するPCや、アプリケーションのセキュリティ設定に不備が発生したのだ。そこがリスクの温床となった。「混乱に乗じたサイバー攻撃も増えました。海外拠点を踏み台にして本社のシステムが攻撃される事案など、包括的なセキュリティ対策が求められるケースも発生。明確な目的を持った巧妙な攻撃が、ビジネスを脅かしています」と語るのは、アクセンチュアの尾形 玄氏だ。
もちろん、過去に経験がない状況の中で、当初の対応が急場しのぎになったのは仕方ないだろう。最近は、徐々にリスクの存在に気付き、対応を進める企業が増えている。「オンラインで働く仕組みや、そのためのセキュリティ環境の相談を受けるケースが増えています。コロナ禍以前の状態には戻らないことを前提として、ビジネス成長を実現する方法を考える。この流れは今後、さらに加速するでしょう」とデロイト トーマツ サイバーの大森 潤氏は言う。
このような状況で、注目を集めているキーワードがある。それが「ゼロトラスト」だ。
「組織の内部は安全、外部は危険」という認識のもと、脅威を水際で防ぐ従来の境界型防御と異なり、“あらゆる人やデバイスを信用しない”ことを前提に、都度の認証によってシステムへのアクセス可否を判定する。このゼロトラストについて、KPMGコンサルティングの薩摩 貴人氏は次のように話す。
「日本企業は長年、性善説に基づき、組織内のシステムの利用者を無条件に安全なものとみなしてきました。しかし現在は、社員の働く場所はもちろん、システムを利用する人も、自社の社員や契約社員、グループ会社社員、業務委託先の社員など多様化しています。この状況では、組織の内と外を明確に区別することが困難であり、外部からの侵入と内部不正のリスク、両方に目を向ける必要があります。そこで重要になっているのが、“聖域なき”対策であるゼロトラスト。これからの時代に必須のアプローチといえるでしょう」
一方、現在はゼロトラストという言葉が半ばバズワードになっている。これにより、企業の間に誤ったイメージが醸成されている懸念もあるという。その一例が、「どんなソリューションを使えば実現できるか」という技術の話に終始してしまうことだ。
「『CASB※1を使おう』『DLP※2が必要』といった技術の話から始めてしまうと、適切なゼロトラスト環境は実現できません。なぜならゼロトラストは、本質的に『ビジネスをどう設計するか』という話だからです。テレワークなどの新しい働き方や、新規ビジネスをどう進めるかをよく考えた上で、現場のユースケースを想定したセキュリティ基盤を整えることが重要です。そうでなければ、仕組みに過不足が出てしまって十分な効果は得られません」と大森氏は強調する。
ゼロトラストそのものを正しく理解することは当然だが、その上で自社のビジネスプロセスや、社員の働き方に適した仕組みを考える。これが、ゼロトラスト実現の要諦となる。
※1 Cloud Access Security Broker:クラウドサービスの利用状況を可視化し管理できるようにするセキュリティサービス
※2 Data Loss Prevention:機密情報の送信・出力など、持ち出しに関連する操作を検知しブロックする仕組み
では具体的に、ゼロトラスト環境を目指す上で最初に考えるべきことは何なのか。それが、個々の人やデバイスをデジタル上で可視化する「アイデンティティ(ID)」を適切に管理することだという。
「人やデバイスのIDがしっかり管理されていなければ、システムへのアクセスを許可するか、しないかに関する正しい判定ができません。抜け漏れのない適切なID管理の仕組みを整えることが、ゼロトラストの“一丁目一番地”といえるでしょう」と薩摩氏は述べる。
ただ、現在の企業・組織では、扱われるIDの数や種類が急増している。先に紹介したように、様々な立場の人がシステムを扱うようになっているほか、クラウドの利用拡大に伴って、業務で使われるIDが増加。さらには、IDを保有する「デジタル労働者」、つまりRPAツールのロボットなども増えているからだ。
「加えて、M&Aなどが加速する中では、グループ企業を含めてグローバルでIDを統合する動きも加速しています。国内と海外では法律も人事制度も異なるため、一元的にIDを管理することは、なかなかの難問といえます」(薩摩氏)
また、尾形氏は次のように続ける。「IDの管理においてはIDの特性も意識する必要があります。例えば、特権IDのように大きな権限を持つIDと、一般のユーザーIDとはID管理のライフサイクルが異なり、管理に使うべきツールも変わってきます。一般のユーザーIDにおいては『誰に発行したか(ID発行)』『その人がどんな使い方ができるか(権限付与・剥奪)』『不要なタイミングで適時回収したか(ID失効)』など、入社から退社などのビジネスイベントに応じたIDライフサイクル管理ができなければ、無用のリスクを招くでしょう」。
これらの条件を満たすID管理を実現するには、最新のビジネス潮流を踏まえたID管理ツールを導入・活用することが不可欠である。
「今後は、単なるシングルサインオンやアクセス管理を超えて、アイデンティティそのものを検証する仕組みが必要になります。業務上の役割に合わせて付与された権限なのか、今このタイミングで必要なものなのか、といった検証ができることに加え、適切に利用されているかの監視ができることも、これからのID管理のポイントになるでしょう。このように、IDそのものを適切に統制できている状態をつくることは、『アイデンティティ・ガバナンス』と呼ばれます。これが、企業システムのセキュリティを高める土台となるのです」とSailPoint Technologiesの藤本 寛氏は説明する(図)。
図 「アイデンティティ・ガバナンス」の実現を確認する3つのシンプルな質問
「誰が、今どんなシステムやアプリケーションへのアクセス権限を持っているのか」「そもそもアクセス権を持つべきは誰なのか」「アクセス権を使って何を行っているか」をジャストインタイムで検証し、監視して統制する
市場には多種多様なID管理ツールが存在する。適したものを選定するには、どのような点に着目するべきなのか。
「ID管理ツールにはいくつかのタイプが存在します。タイプを把握した上で、自社のID管理の方針と合ったものを選択することが大事だと思います」と大森氏。例えば、IDを管理、配布する機能に特化したツールがよいのか、あるいはIDや付与された権限の正当性を保つ仕組みも持ったツール、つまりアイデンティティ・ガバナンスを強化するためのツールがよいのかなど、それぞれの企業の方針をまず固めるべきだという。「人事など他のプロセスとも絡めて、システム的な『ID管理』を企業としてどう位置付けるのか。その方針が、ツール選びのポイントになります」(大森氏)。
また薩摩氏は、「ライフサイクル管理機能に注目すべき」と提案する。IDの付与から回収、削除まで、ライフサイクル全体をしっかりと管理ができなければ、不要になったIDがサイバー攻撃に悪用されるリスクが生じるからだ。「人事異動や退職で不要になったIDが削除されずに残り、それがリスクになるケースがあります。人事規定が異なるグループ企業間での異動なども考慮すると、設定の柔軟性を備えたツールを選ぶことがお勧めです」と薩摩氏は言う。
さらに、様々なシステムとの連携や、IT環境の変化に対応できることも重要となるだろう。例えば、Active Directoryなどの認証基盤との連携、オンプレミス/クラウドのハイブリッド環境への対応、DXに向けて構築された新システムへの対応など、激変するIT環境にも追従できるID管理基盤の整備が求められるからだ。
これに関して、SailPointはニューノーマル時代のアイデンティティ・ガバナンスを担うプラットフォーム製品を提供している。
「オンプレミス、クラウドを問わず多様なシステムとの連携によってIDを管理し、適切なタイミングで適切なアクセス権を提供し、かつ、権限の管理・統制に関わるプロセスの自動化も支援します。これは、アイデンティティを一元管理し可視化できるプラットフォームと、ポリシー管理のエンジン、そして、ワークフロー機能によって実現しています。さらに、AIを活用したリスクの発見、ピアレベル(同じような役職や役割)分析、アクセスのモニタリング機能も搭載しており、セキュリティ強化だけでなく、業務に必要不可欠な権限付与も実行できます。ビジネス環境の変化に迅速に対応しながら、お客様のアイデンティティ・ガバナンスの実現をサポートします」と藤本氏は語る。
それぞれ異なる視点から見解を述べた、4人のプロフェッショナル。だが、一様に抱いているのは、「ID管理の必要性を一層強く企業に訴えていきたい」という思いだ。先行きが不透明な時代、思わぬセキュリティリスクにビジネスの足をすくわれないために――。アイデンティティ・ガバナンスの強化に取り組むことをお勧めしたい。
ゼロトラストセキュリティで注目されるIDaaS
テレワークが一般化する中、セキュリティアーキテクチャの主流が、既存の境界型防御からゼロトラストへと移行しつつある。それには、セキュリティ対策関連の仕組みを、すべてクラウド上に配備することがポイントになる。「ただ、移行過程では解決すべき課題もあります。重要なテーマの1つが『ID管理』の仕組みをどうするかです」と話すのは、アイ・ティ・アールの藤 俊満氏である。
従来、ID管理の仕組みはオンプレミスに配備されており、そこが社内システムの統合認証をつかさどるのが一般的だった。ところが、これからの時代は、社内システムの多くがクラウドに移行する。「クラウドの統合認証を担うことができなければ、ゼロトラストの基盤になるID認証の仕組みとはいえません」(藤氏)。
そこで検討すべきはIDaaS(IDentity as a Service)だ。ID管理の仕組みをクラウドサービスとして提供。ここがゼロトラスト環境の統合ID管理を担うのである。「IDaaS市場は注目度が高まっており、IT分野で特筆すべき成長分野となっています。セキュリティ強化を考える企業は、ぜひ検討すべきだと思います」と藤氏は語った。