- ID管理
- サイバー攻撃
- ゼロトラスト
ID周りの課題がいっぱい!その背景と課題解決の捉え方
なぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えします。
|
|
みなさんこんにちは。長谷川まりです。
SaaS、IaaS、PaaSなど、製品機能のサービス化が進んでいます。もはや「なんでも・アズ・ア・サービス」の様相を呈していますが、最近最も注目されているのがIDaaSです。これから3回シリーズでIDaaSについて書いていきますが、今回はなぜ、IDaaSが必要になったのか、その背景についておさらいしてみましょう。
最近注目されているアズ・ア・サービスといえば、IDaaS(読み方は「アイダース」)です。IDaaSはIDをサービスしてくれるということですが、LDAPサーバのクラウドサービスのような単純なものではありません。クラウド活用、モビリティ、テレワーク、サイバーセキュリティ、ゼロトラスト、IoTといった現在の重要なITのテーマの中心的な存在を果たすのがIDaaSです。
クラウドサービスは今、工場や重要インフラなど、閉じたネットワークの中でITを活用する場合以外は、ほとんどの組織で利用されているかと思います。オフィススイート系、ファイル共有、Web会議やチャット、CRM、経費精算といったところの多くはクラウドに置き変わってきているのではないでしょうか。既に90%の会社がなんらかのクラウドサービスを利用しており、1社平均で1427ものクラウドサービスが利用されているという統計
も出ているようです。「クラウドってそんなに使われているものなの?」と驚かれると思いますが、シャドーIT (IT部門が利用を認識していないクラウド)の数を含むと大きな組織であればこのぐらいは使われています。会社として許可されているクラウドサービスは全体の1割に満たないと思いますが、そうだとしても多いですよね。
しかし個々のクラウドサービスは別々の会社が運営しているものである以上、ユーザー認証は別々に実施する必要があります。今まで社内のアプリケーションやデータを利用する際には、Active DirectoryのKerberos認証等を利用してSSOを行ってきたユーザーにとって、個々のクラウドアプリケーションを利用するたびに認証を求められるのは非効率といえます。
またモバイルデバイス、特にスマートフォンは、移動やテレワーク時のサブ端末として利用するシーンが増えていると思います。クラウドサービスへアクセスする際は、送信元が自社のグローバルIPの場合のみ許可するネットワークベースの接続制御が行われていることが多く、一度VPNで社内ネットワークに入る必要があります。ただこの場合、効率とレスポンスが犠牲になり、オンプレミスのVPNサーバやゲートウェイ機器の容量を圧迫することもあるため、スマートフォンは社内ネットワークには接続せず、モバイルキャリアのネットワークからインターネットに直接接続するケースもあり、セキュリティ上の課題が残ります。
2020年版のVerizonのData Breach Investigations Reportによると、ハッキングによるデータ侵害の80%が、ブルートフォースと呼ばれる総当たり攻撃か盗まれたクレデンシャル(IDとパスワードの組み合わせ)を利用しており、盗まれたクレデンシャルが利用されていたケースが全てのデータ侵害のうち37%を占めていたということでした。Have I Been Pwned (HIBP)というWebサイトでは、メールアドレスを入力すればそのメールアドレスを含むアカウント情報が漏洩しているかどうかを確認できます。
ただ、たとえ自分のアカウント情報が漏洩していなくても安心はできません。1万人の従業員がいる組織があったとして、そのうちどこかのWebサイトから一人のアカウントでも漏洩していれば、個人情報や機密情報が保存されたクラウドサービスに不正アクセスされる可能性があります。多くのWebサイトやクラウドサービスで利用されているパスワード認証において、組織のメールアドレスがIDになっている場合が非常に多く、パスワードには様々なサイトで共通のものを設定している場合がほとんどのため、漏洩元のサイトだけではなく、別のクラウドサービスにも同じクレデンシャルで不正アクセスが成功してしまうリスクは非常に高いといえます。つまり、クラウドサービスへの不正アクセスを防ぐには、パスワード以外の他の要素を認証に取り入れ、多要素認証を有効にするのが有効だと言えます。
クラウドサービスの利用が増えると、ユーザーだけでなく、管理者の負担も増えます。新規ユーザーのためにクラウドサービス側にIDを作り、適切な権限設定を行い、利用停止時にはアカウントを停止させます。社内アプリケーションであれば、Active DirectoryやLDAPサーバからユーザーを消去するだけで良かったものが、クラウドサービスごとに異なる操作手順で実施しなければなりません。インシデントが発生した場合にも、クラウド側で誰がどのような操作を行ったかを個々のクラウドサービス側で確認しなければならないため、利用状況の把握も監査も容易ではありません。
以上のように、IDaaSが注目されてきた背景として、クラウドやモバイルデバイス利用の拡大、パスワード盗難リスク、管理負荷の上昇、という点をご紹介しました。ITの利用環境が多様化しIDも増える分リスクも増えています。システム毎に必要となる本人確認をどこまで効率的に安全に管理できるのか、IDaaSに期待できることはたくさんありそうです。次回はIDaaSの主要機能を紹介し、これらの課題をどう解決していけそうかをご紹介したいと思います。
なおアシストでは「Okta」というIDaaS製品を扱っていますので、お気軽にお問合せください。
長谷川 まり
|
|
なぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えします。
15年ぶりのJ-SOX改訂を背景に、企業で実行されているバッチ処理にセキュリティ面での統制がさらに強く求められるようになるかもしれません。本記事で解説します。
従来のパッケージ版に加え、クラウド版もリリースしたiDoperation。高い可用性が求められるサーバーの特権ID管理もSaaSで利用できるようになったことで、今後ますます需要が増えそうです。
