#18 セキュリティの要「ID管理」

今回は、最近お客様からのお問い合わせと商談が急増している「ID管理」についてご紹介いたします。

弊社セキュリティレポート#2「ゼロトラストを推進する一丁目一番地」とあわせてご覧いただくと、より理解が深まると思います。

再認識：ゼロトラストとは

ゼロトラストとは、2010年に米国フォレスター・リサーチが提唱した「無条件に信⽤せず、全てにおいて確認・検証する」という概念です。

その後、2020年8月にNIST（米国国立標準技術研究所）が「Special Publication（SP）800-207 ゼロトラスト・アーキテクチャ」を発表し、上記に加えて「最小権限の原則」の重要性が説かれました。

近年、ゼロトラストは時流（2020年頃から始まったコロナによるパンデミック）と相まって、欧米を皮切りに急速な検討・実装が進みました。

なお、日本ではゼロトラストの概念の浸透が進むのと同時に、DX化の進展、標的型攻撃の深刻化などもあり、多くの組織においてこの1,2年で本格的な検討・採用が始まっています。（弊社もお客様からのお問い合わせや商談状況から、その流れを実感しております。）

ゼロトラストのセキュリティ＝ID管理

全てを信頼しないゼロトラストでは、誰がリソースにアクセスしようとしているのか、信頼せずにその都度チェックすることが重要です。

ゆえに、ユーザーの属性・アクセス権限などを管理・制御しているID管理は、ゼロトラストの要と言われています。

ID管理が古く洗練されておらず不適切な場合、退職者のアカウントが残り続け悪⽤される、などの問題が発生します。

また昨今は、新規ビジネスの取り組みや、会社・事業の統廃合などにより業務が目まぐるしく変わります。

ID管理がおろそかな場合、最適かつ最小のアクセス権を後続のアプリケーションやデータに適合できず、業務遅延や過剰権限付与によるセキュリティ問題などが発生します。

ゼロトラストにおいて求められるID管理の重要な3要素

１．認証

「誰か」がリソースにアクセスしようとする際、その「誰か」の正当性を確認する仕組みが「認証」です。

一般的には本人確認であり、「ID」「パスワード」「IP」などを利用し、本人確認を実施します。

認証時の手間の削減と、セキュリティ強化を両立するために、「SSO：シングルサインオン」や「MFA：多要素認証」を利用することも重要で、認証システム・サービス（OktaやEntra IDなど）が世の中には多数存在しています。

２．認可

「認証」された当人がその先のシステムで実施できる権限を、付与・維持・管理するのが「認可」です。

ゼロトラストでは最小権限の原則の適応を求めていますが、エンタープライズ企業では多くのシステムがあり、多くの権限があり、多くの人がいて、多くの役割・部署があり、頻繁に異動やM&Aなどがあるため、最小権限の原則の適応状態を永続的に維持し続けることが非常に困難です。

IGA（アイデンティティガバナンス管理）と言われるツール（SailPointなど）がこの困難を吸収してくれます。

３．特権

システムやアプリケーションが保有する高権限IDを「特権ID」と呼びますが、「特権ID」は共有IDのため、本人の特定が困難です。

特権IDを利用するには本人を「認証」し、さらにその当人が「特権」を利用して良いか、を上長などに承認してもらう必要があります。

許可の後もその当人が高権限の特権IDを利用して何をしたのかを、ログや動画をとり、ガバナンスとセキュリティを強化する必要があります。

特権IDを利用できる人は一般社員に比べて少数ですが、認証、承認、記録など実施工程が多いため、専用の特権ID管理ツール（Secret Serverなど）を利用し、効率的に対応することが推奨されます。