ゼロトラストでも重要となる特権ID管理
セキュリティ人材の不足を自動化で補う

　テレワークの普及、クラウド利用の拡大などIT環境の急激な変化を受けて、企業にはセキュリティ対策の強化および見直しが求められている。

　NRIセキュアテクノロジーズは、毎年、企業の情報セキュリティの実態を調査し「NRI Secure Insight」として公開している。最新版となる「NRI Secure Insight 2021」では、日本企業の取り組みと、調査対象となったアメリカやオーストラリアの企業の取り組みとの違いが明らかになった。

　「例えば、近年、需要が高まるCASB（Cloud Access Security Broker）やSOAR（Security Orchestration, Automation and Response）、EDR（Endpoint Detection and Response）、UEBA（User and Entity Behavior Analytics）といったゼロトラスト関連のソリューションの導入率が米国やオーストラリアの企業と比較すると明らかに低い」とNRIセキュアテクノロジーズの橋本 淳氏は語る。

　同調査では、ほかに企業のIT予算に占めるセキュリティ予算の割合、セキュリティ対策に従事する人材の充足状況なども調査しているが、日本企業の状況は、他国と比較した場合に予算の割合が低く、人材の充足状況も低い結果となっている。「特に差が顕著なのがセキュリティ対策に従事する人材の充足状況です。米国で85.9％、オーストラリアでは88.2％の企業が『充足している』と答えているのに対し、日本の企業で同様の回答をした割合は6.7％に過ぎません。日本の企業は経営層のセキュリティ対策への関与度が低く、十分な予算が割り当てられない。その結果、ソリューションの導入やセキュリティ人材の育成が進んでいないと推測できます」と橋本氏は説明する。

　セキュリティインシデントが発生した場合の経済的損失や影響範囲を明示する、同業他社の取り組み状況を引き合いに出す、など経営層の理解を促す方法はいくつか考えられるが、一朝一夕にはいかないのが人材不足である。優秀なセキュリティ人材は、世界中の企業の間で取り合いの様相を呈している。

　そこで、検討したいのがアウトソースの活用、自動化による効率化を重視したソリューションの導入である。

　まず、アウトソースについてはNRIセキュアテクノロジーズのようなセキュリティ専業ベンダーをパートナーに迎えたい。「お客様のCISOの参謀として補佐するコンサルサービスをはじめ、お客様のセキュリティ課題に寄り添うかたちで課題解決を支援する様々なメニューを用意しています」と橋本氏は紹介する。

　また自動化・効率化につながるソリューションについてもNRIセキュアテクノロジーズは、様々なソリューションを提供している。その1つが特権ID管理ソリューション「SecureCube Access Check」（以下、Access Check）である。幅広い権限が付与され、通常のIDでは行えない操作も実行できる特権IDの管理は正確性が求められることもあり、工数や負担が高まりがちだ。

　さらに、「今後のセキュリティ対策の軸となるゼロトラストアーキテクチャにおいてもきわめて重要度の高い取り組みとなります。Access Checkは、その特権ID管理業務を網羅的にカバーし、効果的かつ効率的な管理を実現します」と橋本氏は強調する。

　Access Checkは主に5つの機能を備えている。

　1つ目は「ID管理」だ。特権IDのパスワードの自動変更による定期的なローテーション、有効期限設定などを一元的に管理できる。

　2つ目は「ワークフロー」の機能。特権IDの利用にかかわる申請から承認までのプロセスをシステム化できる。

　3つ目は「アクセス制御」の機能である。あらかじめ設定したアクセスポリシーに沿って、申請の承認状況などを踏まえた動的なアクセス制御を実行する。

　4つ目の「ログ取得・管理」は、特権ID利用時の作業内容を記録して一元管理が行えるほか、申請時の作業内容との自動突き合わせも可能である。

　そして、5つ目の「監査補助」は取得したログに基づく定期レポートの出力や、特権IDを用いた危険コマンド発行にかかわるアラート、申請外の作業検出などをサポートし、監査業務を支援する。

　これらの機能によってAccess Checkは、FISC安全対策基準やPCI DSSなど、各法令基準に準拠した特権ID管理を実現する。また、「特権パスワード払い出し機能」を利用すれば、オンプレミス環境の特権IDと同じように、設定変更など重要な操作が可能なクラウドサービスの「管理者アカウント」も適切に管理することができ、昨今のクラウド利用の拡大にも対応できる。

　Access Checkは、ゲートウェイ型を採用しており、エージェントレスで導入が可能。管理対象システムのID棚卸・ID管理が必須ではなく、既存システムにも影響を与えないことから、迅速な展開が可能となっている。「これらの機能や特徴が評価され、高度なセキュリティレベルが求められる大手金融機関を中心に、流通業や製造業、サービス業、公共機関など、多くのお客様に採用いただいています」と橋本氏は言う。

　ある企業は、ID台帳管理の更新や定期的なパスワードの変更、IDの貸出申請や承認と実際の貸出作業などのID管理を人手で行っていた。その作業を自動化・効率化したいとAccess Checkを導入。「結果、従来の工数の約8割を削減でき、とても満足いただいています」と橋本氏は紹介する。

　加えてNRIセキュアテクノロジーズは、Access Checkから、ポリシーベースでのアクセス制御、ログの取得・管理、監査補助という必要最低限の機能を切り出して提供する「Access Check Essential」というエディションも用意している。

　「機能を限定することで、設定項目やシステム、運用の設計がシンプルになり、導入に要する期間もさらに短期化。速やかに運用負荷削減の効果を享受いただけます。また、サブスクリプションライセンスでの提供となっており、初期投資が最小化できるため、より少ない予算でのスモールスタートによって取り組みに着手していただけます」と橋本氏は語る。

　このようにAccess CheckおよびAccess Check Essentialは、効率化という明示しやすい導入効果が期待できるソリューションであると同時に迅速な導入が可能。つまり即効性が高いソリューションとなっている。そのメリットを利用して、セキュリティ領域への経営層の関与を高めるきっかけとし、ゼロトラストセキュリティの実装に向けた取り組みを加速させることもできるはずだ。