ID周りの課題がいっぱい！その背景と課題解決の捉え方

みなさんこんにちは。長谷川まりです。

近年、従来から潜在的に存在していたID周りの課題が顕在化していることをよく伺います。今回はなぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えしたいと思います。

3つの変化と課題

まず、企業を取り巻くビジネス環境とIDの関係について、3つ、整理してみましょう。

1．組織の流動性の変化ーIDライフサイクルの変化

今のビジネス環境を示す、VUCA（ブーカ）という言葉をご存じでしょうか。2016年のダボス会議（世界経済フォーラム）で使われた表現で、Volatility（変動性）、Uncertainty（不確実性）、Complexity（複雑性）、Ambiguity（曖昧性）を表す4つの単語の頭文字を取っています。社会環境が複雑性を増し、将来の予測が困難な状況でも、企業は変化へのスピーディな対応が求められているという状況を説明していますが、多くの共感が得られているのか、この表現はビジネスシーンでよく使われるようになっていると思います。

社会環境が複雑性を増し、将来の予測が困難な状況において変化への俊敏な対処が求められている

Volatility（変動性）：テクノロジーの進化や社会常識の変化など、価値観や社会の仕組みなどが猛烈なスピードで変化し、変化の度合いや割合も大きく、変動性を予想するのは難しい状況となっている
Uncertainty（不確実性）：紛争や気候変動、コロナウィルスの感染拡大など、現代を取り巻く情勢は予断を許さない状況にあり、将来の予測ができない状況に置かれている
Complexity（複雑性）：一つの企業、一つの国で解決できる問題が極端に少なくなり、ビジネスの広がりとともに、問題解決はより一層困難なものになりつつある
Ambiguity（曖昧性）：変動性、不確実性、複雑性がり、因果関係が不明、かつ前例のない出来事が増え、過去の実績や成功例に基づいた方法が通用しない時代となりつつある

まさにVUCAの環境において、人の管理に対する考え方が変わってきました。柔軟性や創造性の向上、意思決定の迅速化、コミュニケーションといった課題をクリアするために、人の管理も従来の組織型から、いわゆるプロジェクト型へとシフトしつつあると思います。これまで組織という枠組みの編成そのものが変更したり、人が組織から組織へ異動する、というほぼ定期イベントとして捉えられていたのが、その人のスキルやジョブアサインなど役割に応じ、柔軟でダイナミックなプロジェクト型に組み替えられるよう変化していて、人とシステムを紐づけるIDの管理も、手作業の運用からより効率的な運用の見直しが迫られるようになりました。

組織型からプロジェクト型へ

2．システム環境の変化ークラウド時代のセキュリティ

また、各企業で既に進んでいるクラウドの活用という観点で、セキュリティに関する考え方もアップデートされていると思います。最新のテクノロジーやサービスをスピーディに採り入れる目的で、クラウドの活用が積極的に行われていると思いますが、社内外を問わない連携など、その活用範囲も広がっています。目的を果たす一方、ゼロトラストに代表されるように、環境変化に合わせたセキュリティの見直しが問われるようになりました。

実際に、クラウドセキュリティアライアンス（CSA）によるクラウドの11の重大脅威「パンデミックイレブン」を示した資料によると、システムの入口部分のリスクに関する点が上位に来ていることがわかります。コロナ禍以前の2019年には、認証に関する内容は4位でしたので、近年、認証部分の脅威への対応は、より重要性が増してきていると感じます。

CSA Top Threats クラウドの脅威やリスクに関する重大な脅威

1.不十分なアイデンティティ、クレデンシャルおよびアクセスと鍵の管理、ならびに特権アカウント
2.セキュアでないインターフェースやAPI
3.設定ミスと不適切な変更管理
4.クラウドセキュリティのアーキテクチャと戦略の欠如
5.セキュアでないソフトウェア開発
6.セキュアでないサードパーティーのリソース
7.システムの脆弱性
8.予想外のクラウドデータ公開
9.サーバレスやコンテナワークロードの構成ミスやエクスプロイト
10.組織的な犯罪、ハッカーとAPT
11.クラウドストレージデータ流出

※(出典)Top Threats to Cloud Computing -Pandemic Eleven| CSAクラウドコンピューティングの重大脅威パンデミックイレブン｜CSAJC

3．データドリブンーアクセス管理の新たな課題

3つ目は、データドリブンの考え方です。データドリブンとは、直感や経験だけでなく収集されたデータ分析により、意思決定や行動のための洞察を得ることですが、これには精度の高さや客観性が求められます。扱うデータの量も増えているため、膨大なデータ漏洩のリスク管理とともに、データにアクセスするのは「誰が」「どんな権限」で「何に」アクセス可能なのか、いわゆるアクセス管理を慎重に行うことが必要となっています。

アクセス管理というと、従来はセキュリティの観点から、守りの側面が強かったと思いますが、データドリブンでは、必要なタイミングで必要なデータにすぐさまアクセスできる、いわゆる「攻め」のアクセス管理が課題となってきます。攻めと守りのバランスをどう決めていくか、その戦略が新たに問われていると思います。

攻めと守り

ID・認証は基盤として機能する

以上のように、ビジネスという大局的な捉え方で、ITシステム利用のためのIDが果たす役割はとても大きくなっています。セキュリティ対策はゼロトラストの考え方を採り入れる企業が増えていますが、アメリカのCISAが提唱するゼロトラスト成熟度のモデルでも、まずはIDの整備が前提とされています。システムを利用する際には必ずIDが必要となるという大原則に立ち返ると、ネットワークの境界ではなく、IDや認証を境界とし、さらには「基盤」として捉えると、セキュリティ対策の機能は、大きな底上げが期待できそうではないでしょうか。

インターネット、クラウド

もう少し、IDの管理がIT活用の基盤として機能すると、どんなメリットがありそうかを考えてみましょう。クラウドを代表するスピード感やデータドリブンといった他、お店やECサイト、アプリ上など顧客とのあらゆる接点（チャネル）をつなげる役割として、ビジネス推進が期待できそうです。また、IDを効率的に管理することで、管理者にとっても利用者にとっても、ストレスを減らし生産性の向上が期待できます。そして、セキュリティ対策はIDが正しく管理されていることを前提と考えると、ゼロトラストの採用やさらにはシステム間の連携面でも安心、安全なアクセスにつながり、セキュリティガバナンスが強化されていきます。このようにIDの課題を解決することはメリットがいっぱいです。1つ1つの課題解決を果たしていくことで、ビジネスを支える大きな基盤として機能する、という捉え方を、ぜひお伝えできたらと思っています。

IDの管理とビジネス面でのメリット

ビジネス推進：

テクノロジーの活用に向けたスピード感のあるシステム展開ができる
データドリブンのためにデータへの適切なアクセスコントロールを実装できる
顧客とのあらゆるチャネル（オムニチャネル）戦略上、顧客データをつなげる基盤として機能

生産性の向上：

利用者が「必要なタイミング」で「必要なサービス」に「ストレスなく」利用開始できる
システム開発のスピードアップと安心、安全を提供できる
システム間連携の効率化が期待できる

セキュリティガバナンス強化：

前提としてIDが正しく管理されることにより、適切なアクセス管理やログ管理を実施できる
IDを境界とするゼロトラストの適用を推進できる
システム間連携APIへの柔軟かつ安全なアクセスを提供できる

まとめ

VUCAの背景から起こる組織の流動性の変化、クラウド活用といったシステム環境の変化、そして意思決定にデータを活用するデータドリブンといった課題に直面する今、情報アクセスの基礎情報となるIDの管理が問われています。これをいかに無理や無駄なく管理できるかを基盤として捉えると、ビジネス面でのメリットが大きく期待できることがわかります。ITシステムを安心、安全、そして効率的に利用するために、ID周りの課題については、ぜひアシストにご相談ください。