2024.09.05

#18 セキュリティの要「ID管理」

ゼロトラスト・認証・認可・特権 Part2

目次

開く

     

    今回は、最近お客様からのお問い合わせと商談が急増している「ID管理」についてご紹介いたします。

     

    弊社セキュリティレポート#2「ゼロトラストを推進する一丁目一番地」とあわせてご覧いただくと、より理解が深まると思います。

     

     

    再認識:ゼロトラストとは

    ゼロトラストとは、2010年に米国フォレスター・リサーチが提唱した「無条件に信⽤せず、全てにおいて確認・検証する」という概念です。
    その後、20208月にNIST(米国国立標準技術研究所)が「Special Publication(SP)800-207 ゼロトラスト・アーキテクチャ」を発表し、上記に加えて「最小権限の原則」の重要性が説かれました。
     
    近年、ゼロトラストは時流(2020年頃から始まったコロナによるパンデミック)と相まって、欧米を皮切りに急速な検討・実装が進みました。
    なお、日本ではゼロトラストの概念の浸透が進むのと同時に、DX化の進展、標的型攻撃の深刻化などもあり、多くの組織においてこの1,2年で本格的な検討・採用が始まっています。(弊社もお客様からのお問い合わせや商談状況から、その流れを実感しております。)
     

     

    ゼロトラストのセキュリティ=ID管理

    全てを信頼しないゼロトラストでは、誰がリソースにアクセスしようとしているのか、信頼せずにその都度チェックすることが重要です。
    ゆえに、ユーザーの属性・アクセス権限などを管理・制御しているID管理は、ゼロトラストの要と言われています。
     
    ID管理が古く洗練されておらず不適切な場合、退職者のアカウントが残り続け悪⽤される、などの問題が発生します。
    また昨今は、新規ビジネスの取り組みや、会社・事業の統廃合などにより業務が目まぐるしく変わります。
    ID管理がおろそかな場合、最適かつ最小のアクセス権を後続のアプリケーションやデータに適合できず、業務遅延や過剰権限付与によるセキュリティ問題などが発生します。
     

     

    ゼロトラストにおいて求められるID管理の重要な3要素

    1.認証
    「誰か」がリソースにアクセスしようとする際、その「誰か」の正当性を確認する仕組みが「認証」です。
    一般的には本人確認であり、「ID」「パスワード」「IP」などを利用し、本人確認を実施します。
    認証時の手間の削減と、セキュリティ強化を両立するために、「SSO:シングルサインオン」や「MFA:多要素認証」を利用することも重要で、認証システム・サービス(OktaEntra IDなど)が世の中には多数存在しています。
     
    2.認可
    「認証」された当人がその先のシステムで実施できる権限を、付与・維持・管理するのが「認可」です。
    ゼロトラストでは最小権限の原則の適応を求めていますが、エンタープライズ企業では多くのシステムがあり、多くの権限があり、多くの人がいて、多くの役割・部署があり、頻繁に異動やM&Aなどがあるため、最小権限の原則の適応状態を永続的に維持し続けることが非常に困難です。
    IGA(アイデンティティガバナンス管理)と言われるツール(SailPointなど)がこの困難を吸収してくれます。

     

    3.特権

    システムやアプリケーションが保有する高権限IDを「特権ID」と呼びますが、「特権ID」は共有IDのため、本人の特定が困難です。
    特権IDを利用するには本人を「認証」し、さらにその当人が「特権」を利用して良いか、を上長などに承認してもらう必要があります。
    許可の後もその当人が高権限の特権IDを利用して何をしたのかを、ログや動画をとり、ガバナンスとセキュリティを強化する必要があります。
    特権IDを利用できる人は一般社員に比べて少数ですが、認証、承認、記録など実施工程が多いため、専用の特権ID管理ツール(Secret Serverなど)を利用し、効率的に対応することが推奨されます。
     

     

    #18-1
    #18-1

    【ゼロトラストにおいて求められるID管理の重要な3要素「認証」「認可」「特権」】

     

     

    「認証」「許可」「特権」の実装

    前述の通り、近年日本国内でゼロトラストの概念の浸透が進み、本格的な検討・実装が始まっておりますが、目まぐるしく変化する昨今のビジネス状況において、「認証」「認可」「特権」を整備し、維持管理し続けるにはシステム化対応が必要です。
    また迅速対応の観点から、重厚長大なスクラッチシステムではなく、専用パッケージやSaaSの利用が推奨されます。
     
    「認証」「認可」「特権」は、広義に言えばID管理ですが、それぞれ適応範囲が異なるため、この3要素を網羅するパッケージ・SaaSは、現状グローバルを見渡しても存在していません。
    その為、それぞれの領域ごとに実装が必要となります。

     

     

    #18-2
    #18-2

    【「認証」「認可」「特権」ソリューションの適応範囲と提供機能】

     

     

    最後に・・・

    弊社をはじめ、いくつかのベンダーがゼロトラストに対応したID管理システムの提供と実装を行っておりますが、「認証」「認可」「特権」の全てに対応できるベンダーはごくわずかです。
    弊社のことで恐縮ですが、弊社は3領域ともに対応が可能で、計数十社において実績がございます。
    お客様のご状況をお伺いし、「3領域全ての対応」はもちろん、「まずは人数の少ない『特権』、しかも会計システムから」など、様々なご要望への対応が可能です。
     
    また、システム化の前提として、ガバナンスルールや権限・ポリシーの策定など、上流工程の対応が重要になりますが、策定を支援するコンサルファーム企業も非常に活況と聞いており、弊社と協調対応するケースもございます。
    (現状のFIT&GAPTo Be策定、RFP策定支援などをコンサルファームと共同し、複数社対応しています)
     
    上流工程、システム実装、どちらに関しましても、詳しい話をお聞きになりたいなどご用命がございましたら、弊社担当営業までお申し付け下さい。
    ご質問やご相談といった概略的なお話から、具体的なシステム実装といったお話まで、貴社に寄り添い、ご要望に即したご対応・ご案内を実施させていただきます。
     

     

     

    執筆者

    田口 学

    営業技術本部 MP統括部 

    ガバナンス_リスク&コンプライアンス担当
    IIMお客様担当営業経験後、2010年に現セキュリティー部門に異動。個人情報保護法、JSOX法の対策でセキュリティ・コンプライアンスのソリューション提案を数多く経験。PAMIAMIGAなどエンタープライズ企業向けID管理に従事。レジリエンス対策でクラウドバックアップ・BCPも担当。

    関連記事

    関連資料