揺れるID管理:アクセス管理のリスクを軽減するアイデンティティ・セキュリティ

The SailPoint Blog

ID管理を大企業のコンプライアンスやアクセス有効化のためのツールであると一般的に考えられていたのは、それほど昔のことではありません。この市場は、コンプライアンスの観点から生まれたものでした。そこから、SailPointはアイデンティティを進化させ、今日の企業のデジタルトランスフォーメーションやクラウドファーストのアプローチを安全に実現させる基盤にしました。今日では、ID管理の世界は広範囲で、セキュリティとリスクの軽減の中心になっています。アイデンティティセキュリティは、今日の企業にとっての新たな境界線、または「ファイアウォール」となっています。今や「ID管理」は、アクセスの提供だけでなく、アイデンティティのセキュリティとリスクの軽減を意味するものになりました。しかし、この話はまだ続いており、実際のところ、ここ1年の出来事によってさらに加速しています。

そして、ここからが興味深い点です。

SailPointが手掛けているアイデンティティセキュリティとは、あらゆる場所からのアクセスを可能にし、かつビジネスを保護することです。どちらか一方だけではありません。アクセス管理(「IAM」またはアイデンティティおよびアクセス管理)は、単にアクセスを許可することに焦点を当てたものです。すなわち、従業員が業務に必要なアプリケーションやシステムを、迅速かつ効率的に利用できるようにするということです。しかし、それは従業員とアプリケーションを結びつけるところまでで留まるのです。これはもちろん必要なステップですが、企業は今、「そのアクセスをどのようにして保護するのか?」「誰がいつ何をしているのかをどうやって把握するのか?」「ビジネス上の機密データをリスクから守るにはどうすればよいのか?」といった重要な問いに答えられるのだろうか、という疑問を抱えています。

このことは、アクセスを開放することで、意図しない多くのリスクが発生するという、アクセス管理の「負の側面」の概念を強調しています。これは振り子のように考えることもできます。アイデンティティセキュリティ側に振れると、リスクを軽減することになりますが、もう一方の負の側面であるアクセス管理の側に振れると、アクセス権が保護されず統制されないまま放置され、あらゆるドアが開いているような無防備な状態のためリスクを招くことになります。

左へ振る:アクセス管理

アクセス管理とは、企業は従業員に仕事をする上で必要となるアクセスを許可することです。このツールは確実に必要なようですよね?その通りです。今日の従業員は、各々の役割を効率的に行うためにテクノロジーへのアクセスを必要としています。今日のクラウド化が進むビジネス環境は、テクノロジー上で成り立っています。これこそがまさにデジタルトランスフォーメーションであり、クラウド化で事業を推進する数多くのテクノロジーを活用することなのです。しかし、従業員が業務を行うために使用している全てのテクノロジーへのアクセスを許可するためにドアを開けてしまうと、アクセス管理は安全性を確保するものというよりは、ビジネスのリスク要因となってしまいます。

企業がテクノロジーを安全に利用するには、アイデンティティセキュリティが必要です。つまり、適切なセキュリティ制御なしでは、従業員へテクノロジーへのアクセス権を安全に付与できないということです。誰にアクセス権を与えるべきなのでしょうか?そのアクセス権を本当に与えるべきか?その従業員はどのくらいの期間、そのアクセス権が必要なのか?アイデンティティセキュリティの基盤がなければ、組織はこれらの質問に答えることができません。

右へ振る:アイデンティティセキュリティ

ここで、振り子の反対側、つまり企業のリスクを軽減する側であるアイデンティティセキュリティについて考えてみます。

アイデンティティセキュリティが今日のクラウドビジネスの基盤となるとすぐに、ITチームとセキュリティチームは、従業員がオフィスで働いているかリモートで仕事をしているかに関わらず、従業員全体を詳細に監視できるようになります。この可視化により、企業は従業員のアクセス権全てを把握し、理解するために必要な情報を得ることができ、ビジネスを推進させる全ての業務システム、データ、クラウドサービスへの従業員のアクセスと権限を安全に管理できるようになり、さらに自動化し、迅速化できるようになります。ここで重要なのは、単にアクセスを提供するのではなく、新たなリスクを招くことなく、企業を保護する安全なアクセス権を提供するということです。

企業をレーシングカーに例えてみましょう。

新たな目標に向けて新年度の準備を進めている企業は、組織変更などの大きく状況が変化する中であっても従業員が初日から生産性を維持できるようにアクセス権を付与して、変化を加速しています。しかし突然、企業はブレーキをかける必要に迫られます。セキュリティインシデントが発生したのです。このレーシングカーはただ前に向かって走るように作られ、ブレーキは組み込まれていませんでした。これが、組織がアクセス管理しか行っていない場合のシナリオです。スピードを出すことはできても、必要に応じてブレーキをかけるためのセキュリティプロトコルがないのです。

そこで登場するのが、スピードとブレーキを一挙に実現するアイデンティティセキュリティです。セキュリティ対策とは、付与するアクセス権が最初から安全であることを保証するためのものであり、事後的に考慮されるものではありません。組織は、時速100マイルのスピードに達した後に、突然方向転換することはできません。あらゆるシナリオを想定したセキュリティ対策が必要なのです。

企業がロックダウンに入った時点では、従業員がどこでも仕事ができるようにテクノロジーへのアクセスを許可することは、その時点では「ビジネスに不可欠なもの」と見なされ、まさにレーシングカー効果をもたらしました。しかし、強力な監視とセキュリティ、すなわちブレーキにもなるアイデンティティセキュリティが、今日の従業員へアクセス権を提供するために必要であることがすぐに明らかになりました。現在では、テクノロジーへのアクセスが適切に保護されていない場合、企業にリスクをもたらすという新たな認識が生まれています。

これは、世界中の企業が現在認識し理解している重大な違いです。IDセキュリティがないと、ビジネスは安全に有効化されず、ビジネス資産は完全に保護されません。 IDセキュリティにより、ビジネス全体でのテクノロジーアクセスの急増によるリスクを軽減するために、全速力に到達し、ブレーキをかけることができます。

そこでお聞きしたいのですが、あなたは振り子のどちら側にいたいですか?