SailPoint、アイデンティティ・ガバナンスに関する最新調査レポートを発表

　SailPointテクノロジーズジャパン合同会社（以下、SailPoint）は、株式会社アイ・ティ・アール（以下、ITR）と「企業におけるセキュリティおよびアイデンティティ・ガバナンス実態調査 2023」を共に実施し、その結果をまとめた調査レポート「デジタル＆サステナブル時代に求められるアイデンティティ・ガバナンス」を1月25日に発表した。

　同日に行われた記者勉強会では、調査結果を踏まえ企業が抱えるセキュリティ／アイデンティティ／アクセス管理の課題を解説するとともに、その課題解決に向けた企業の対応策について説明した。

　今回の調査は、国内企業においてIT戦略またはセキュリティ／アイデンティティ／アクセス管理に関与している役職者・役員と経営者324人を対象に、SailPointとITRが共同で行ったもの。SailPoint 社長 兼 本社バイスプレジデントの藤本寛氏は、調査を実施した背景について、「ITRとの共同調査は今回で3年連続となるが、働き方の多様化やクラウド導入の加速化、DXの推進にともない、企業の抱える課題は変化してきている。そこで今回は、昨年の調査概要を踏襲しながら、新たに協力会社や委託先などの『非正規社員』に関する切り口を加えた」としている。

SailPointテクノロジーズジャパン 社長 兼 本社バイスプレジデントの藤本寛氏

　そして、ITR プリンシパル・アナリストの浅利浩一氏が、調査レポートの内容について、「アイデンティティ・セキュリティ全般」、「SaaS／IaaS」、「非構造化データ」、「非正規社員」の4つの視点から詳しく解説した。

アイ・ティ・アール プリンシパル・アナリストの浅利浩一氏

　「まず、企業の担当者に『過去12か月の間に、組織においてテクノロジーへの投資がどう変化したか』を聞いたところ、全項目で積極的な投資姿勢が見られた。特に『セキュリティツール』は、約6割が投資額を増加したと回答していた。前年調査からの伸びが最も大きかったのは『SaaSアプリケーション』で、9ポイント上昇し44％に達した」という。

過去12か月間のテクノロジー投資の変化

　「アイデンティティ・セキュリティ全般」の視点からは、「『過去1年間はアイデンティティ・アカウントに関する違反・漏えいがない』とする企業は20％となり、前年調査の25％から5ポイント減少した。先の設問では、約6割が『セキュリティツール』への投資を増やしたと回答しており、裏を返せば、セキュリティ投資を強化しているにもかかわらず、セキュリティインシデントが起きた企業が5ポイント増加したことになる」（浅利氏）と指摘した。

過去12か月間のアイデンティティ・アカウントに関する情報漏えい

　また、「アイデンティティ／アカウントの数が増えている理由」と「過去1年間に、どのようなアイデンティティ／アカウントに関連する情報漏えいがあったか」の相関を確認すると、「フィッシング（大規模なキャンペーンやスピアフィッシングを含む）」などは、「より多くのクラウドアプリケーションの採用」と強い相関があった。これについて浅利氏は、「多くのクラウドアプリケーションを採用している組織ほどフィッシングによる情報漏えいのリスクがある」と推測する。

　関連して、「過去1年間にアイデンティティ関連の侵害により、業績に直接影響を受けたことがあるか」と「過去1年間に、どのようなアイデンティティ／アカウントに関連する情報漏えいがあったか」との相関では、「違反から回復するためコスト（賠償金）」から「コアビジネスへの大きな阻害要因」までの上位3つには、いずれかの情報漏えいと強い相関が見られたという。

　「どのような対策を行えば、情報漏えいを防いだり最小限に抑えたりすることができると考えているか」を聞いたところ、回答は複数の対策に分散する傾向が見られたが、「どれも役に立たなかった」とした企業は、前年調査から2ポイント減少し、わずか3％だった。一方で、「対策ができなかった要因」については、「対策を検討中あるいは構築中だった」が最も多く52％となり、「人員不足」「予算がなかった」を上回った。また、「必要性に気づいてなかった」は7％と非常に低く、「対策の優先度を下げていた」も18％と下位であることから、予算を確保しつつも、アイデンティティ・アクセス権限を熟知した要員の不足などから、セキュリティ対策が後手に回っている実情が伺える結果となった。

強化すべきであったとするインシデント対策

　「SaaS／IaaS」の視点からは、「SaaS環境で最も解決すべき課題について聞いた結果、『全てのユーザーアクティビティと全てのデータアクセスに対する可視性の欠如』と『アプリの設定（ファイル、ユーザー、グループ設定など）の一貫した管理』がそれぞれ約3割を占め、他の課題を大きく上回った。これは、前年調査と同じ傾向であり、依然として、データアクセスやアプリにおけるアイデンティティ・アクセス権限そのものの課題が主要な解決テーマであることが確認された」（浅利氏）としている。

　「IaaS環境で発生したインシデント」については、前年調査では3位だった「監査対応の課題（順守するべきデータの適切な報告、報告期限の順守）」が今回首位となり、2位の「コンプライアンス上の問題（不適切な人に対するアクセス権付与、違反など）」は前年と同じく40％だった。SaaS環境と同様、企業は、アイデンティティ・アクセス権限の可視化とガバナンスが強化できていない状況であることが確認された。

SaaS環境で最も解決すべき課題

　「非構造化データ」の視点では、「非構造化データに関連して遭遇した事態」を聞いた結果、前年調査で44％だった「データへの不正アクセス」が今回3ポイント上昇して首位となった。前年調査で首位（45％）であった「データの損失」は5ポイント下げて2位となった。浅利氏は、「『データの損失』こそ前年から減少が見られたものの、多くの企業が非構造化データに対する不正アクセスを経験しており、管理方法にさまざまな課題を抱えている状況は、悪化の方向にあるととらえるべき」との考えを示した。また、非構造化データ管理の課題については、「データに含まれている情報が可視化されていない」が前年調査から引き続き首位となった。「アクセス管理における課題はない」は3ポイント減の8％となり、ほとんどの企業が非構造化データのアクセス管理に問題を抱えていることが、あらためて浮き彫りになった。

非構造化データに関連して遭遇した事態

　今回の調査で新たに追加された「非正規社員」の視点については、「非正規社員あるいは人以外への不適切なアクセス権の付与や、アクセス権を削除しなかったことによって発生したセキュリティ問題の種類について聞いた結果、『リソース制御不能』と『データの喪失』が41％で同率1位に並び、3位の『情報漏えい』（32％）を上回っていた」（浅利氏）という。次に、「非正規社員に提供されたアクセス権が、仕事上の関係が終了した後も抹消されていないことを発見したことがあるか」を確認すると、約7割の企業が「発見したことがある」と回答。委託業務などで非正規社員との契約関係と、アイデンティティおよびアクセス権限が連動して管理できていない企業が多数派であることが明らかになった。

非正規社員と人以外のセキュリティ課題

　非正規社員のアクセス権管理に要する手作業について確認したところ、大多数を占める約8割の企業が、正社員よりも多くの手作業を必要としている状況であった。関連して、「正社員以外にアクセス権を提供する際に何人が処理に関わる必要があるか」を聞くと、最も人数の多い選択肢の「6人以上」が最多の結果となった。

　さらに、「労働関係が終了した場合、非正規社員のアクセス権はどのように削除するか」について確認すると、「完全に自動化されたプロセス」で削除すると回答した企業は22％と、少数にとどまった。これに対して浅利氏は、「手作業への依存や従事者の負担が大きいまま、非正規社員がこれまで以上に増えていけば、セキュリティ問題の発生がさらに増えることが懸念される」との見解を述べた。

　今回の調査結果を踏まえ、SailPointの藤本氏は、アイデンティティ管理に関わる課題として、「アイデンティティ管理自体の課題」「SaaS／IaaS／非構造化／非正規社員共通の課題」「非正規社員管理特有の課題」の3つを挙げ、これらを包括的に解決できるソリューションとして「SailPoint Identity Security Cloud」を紹介した。

　「アイデンティティ管理自体の課題」では、アイデンティティの多様化や、アカウント（ログインID）および権限の増加が挙げられる。これに対して「SailPoint Identity Security Cloud」は、アイデンティティを起点としたアーキテクチャによって、アイデンティティとアカウント、権限のそれぞれの層を包括的に管理することが可能になるという。

アイデンティティを起点としたアーキテクチャ

　「SaaS／IaaS／非構造化／非正規社員共通の課題」としては、可視性、手作業（自動化）、退職処理（ライフサイクル管理）、アイデンティティ・ガバナンスとの統合が挙げられる。これらに対しては、「SailPoint Identity Security Cloud」の基盤となるSaaSプラットフォーム「SailPoint Atlas」を提供する。「このプラットフォーム上にアイデンティティ・ガバナンスを統合することで、あらゆるデータの可視化や自動化を実現し、退職処理にも適切に対応することができる」（藤本氏）としている。

「SailPoint Atlas」のプラットフォーム概要

　「非正規社員管理特有の課題」としては、信頼できる情報の欠如や重複レコード、複雑・煩雑なアカウント／権限管理などが挙げられる。藤本氏は、「非正規社員のアイデンティティ管理は、個別アカウントのアクセス管理からの延長では限界があり、重大なセキュリティリスクがともなう。そのため当社では、非正規社員のマスターシステムを作成し、非正規社員に関連するさまざまな業務プロセスを柔軟に構築。これを『SailPoint Identity Security Cloud』のアイデンティティ・ガバナンスに統合することで、企業全体で整合性の取れたアイデンティティとシステム利用権限の統制を実現する」と説明した。