ID管理、アイデンティティ管理の対策を選定する方法

IDのセキュリティ対策が複雑すぎる！後悔しないソリューション選定のためにやっておきたい4つのこと

このような課題はありませんか？

セキュリティ対策の見直しにあたり、IDの利用や管理に関する課題はありませんか？
昨今のセキュリティ対策は、DX推進に伴うシステムの活用促進やゼロトラストの概念の普及を背景に、システム利用者のID＝アイデンティティの適切な管理が改めて見直されるケースが多くなっています。以下の表のように、利用面ではログインに関する課題、管理面ではライフサイクル管理を中心とした課題が目立ちます。

利用面の課題

管理面の課題

・システムが多く、パスワードを覚えていられない
（使い回しによるセキュリティレベル低下の原因）
・ID体系がバラバラで使い難い
（対顧客システムでは利用しづらさがサービス利用減退の原因となる）
・システムごとにパスワード変更を求められ煩わしい
・システム登録や権限変更が遅く利用できるまでに待たされる

・APIの不正使用や埋め込みID/パスワードが定期変更できないことで攻撃対象となりやすい
・VPNや会社貸与デバイスによる制限をしたいが、ネットワーク逼迫や利用者への貸与状況の違いに悩まされる
・IDのメンテナンス・ライセンス管理・パスワードリセットが大変
・システムごとのIDに対する棚卸しが大変
・利用者用であれ運用・管理用であれ全てのIDの利用・作業証跡が保管できていない

アイデンティティ=Identityとは、「身元」や「同一人であること」などと訳されます。情報システムの世界の用語としては、システムの利用にあたり、「人や組織、デバイスなどの属性を管理するために登録された属性の集合体」を意味することが多いです。

アイデンティティの管理が適切に行われていないと、このようなリスクが考えられます。

1
不正アクセス：IDとパスワードが適切に管理されていないと、外部の不正なユーザーがシステムにアクセスし、データを盗んだり、システムを破壊したりする可能性があります。
2
データ漏洩：内部のユーザーが不適切なアクセス権を持つと、機密情報が漏洩する可能性があります。これにより企業の評判を損なうだけでなく、法的な問題を引き起こす可能性もあります。
3
アカウンタビリティの欠如：誰が何をしたのかの追跡が難しくなります。結果、問題が発生した場合の原因追求や、責任の所在を明確にしにくくなります。
4
コンプライアンス違反：ID管理のガイドラインや規制が存在する場合、これらを遵守していないと、罰金や制裁を受ける可能性があります。
5
生産性の低下：IDが適切に管理されていないと、ユーザーが必要な情報にアクセスできない、または不必要な情報にアクセスしてしまい、これが生産性の低下につながります。

これらのリスクを避けるため、セキュリティガバナンスを強化し、適切なポリシーや手順を踏まえた管理の徹底が必要となります。

このような課題が生じる背景は、システムの「複雑化」にあります。今のシステム環境は、実態の正確な把握が難しくなっている状況です。オンプレミスとクラウドが混在し、システムにログインする利用者、管理者の数とともにID情報も増え、加えて立場や権限も多岐にわたっています。

では、後悔しない対策と、適切なソリューションを選定するにはどうしたら良いのでしょう。

やっておきたい4つのこと

対策には優先順位が必要です。優先順位を考えるためには課題がどこにあるのか、システムのID情報を分類し整理すると、対策とソリューションが見つけやすくなります。

① ビジネス視点での目的や未来像を確認する

最初に、アイデンティティ管理は場当たり的な課題解決ではなく、広くビジネス視点での目的と捉えて見直すことが、ぶれないソリューション選定の基準となるはずです。
アイデンティティ管理は、最小限の管理負荷で適切な権限を維持し、システム全体の安全性を向上させる基盤として機能します。この基盤がしっかりと機能した結果、ユーザーのシステム利用を促進でき、生産性の向上が大きく期待できると言えます。