アイデンティティとAPIがデジタルエコノミーの基盤に：CAが考える新しい「アプリケーションエコノミー」時代

　この数年でITを巡る環境は激変した。人々は複数のスマートデバイスを持ち歩き、場所や時間を問わず、自在にインターネットに接続するようになっている。こうした新たなテクノロジは歓迎すべきものであるが、同時に「セキュリティのあり方も大きく変えている」と、米CA Technologies（CA）アジア太平洋＆日本 セキュリティ＆API管理部門担当副社長のヴィック・マンコティア氏は説明する。

米CA Technologies アジア太平洋＆日本 セキュリティ＆API管理部門担当副社長 ヴィック・マンコティア氏

　米CAは2015年夏に、ID管理アプリケーションを開発するIdMlogicと、特権ID管理ソリューションを提供するXceediumという、アイデンティティ管理に関する企業二社を相次いで買収した。マンコティア氏によると二社を買収した背景には、環境の変化に伴って「アイデンティティこそが新しいセキュリティの境界線となっている」（同氏）という考え方があるという。中でも重要なのは、システムに対しさまざまな操作を行える「特権ID」の管理だと言う。

　世界経済フォーラムで報告された調査（注）によると、過去10年間のサイバー犯罪による世界経済の損失は3兆ドルという膨大な額に達しているという。その要因の一つとしてマンコティア氏は、「特権IDの管理が適切になされていない現状がある」と指摘した。ひとたび侵害を受けると、ローカルユーザーのIDだけでなく特権IDまでもが盗まれ、根こそぎ情報を盗まれてしまう恐れがある。もちろん、特権IDを持った人物による内部犯行でも大きな損害が生じることは説明するまでもないだろう。

　この状況への対策として、例えば「パスワードを使い回さない」「多要素認証を導入する」「バイオメトリクス認証を活用する」といった方法が提示されている。ただし、「クラウドやモバイルも含めた多様な環境に対応した管理基盤が実現できているとは言い難い」とマンコティア氏は述べる。

　マンコティア氏は「適切なユーザーが、適切なアプリを介し、適切な情報にアクセスできるようにすることが重要だ」と強調、「CAではその実現に向け、アイデンティティ管理やアクセス制御、シングルサインオン機能を持つ製品群を提供してきた」と説明する。

　そして今回の二社の買収によって、多様な環境に対するアイデンティティ管理機能を、自社環境に合わせて最適な形で導入できるようにすると述べた。

　具体的にはXceediumの買収によって、従来のオンプレミス型に加え、新たに「SaaS（Software as a Service）型」や「クラウド型」のID管理システムという選択肢を提供できるという。インターフェースや設定など、Xeedium製品の統合スケジュールは未定だが、「スケーラビリティを備え、しかもSaaSやソフトウエア、アプライアンスといった異なるホームファクターの中から自社に最も適したID管理を選択できる」（同氏）とした。

アプリケーションエコノミー時代の通貨「データ」をどう適切に扱うか

　マンコティア氏がもう一つ強調したのは、「アプリ化」の進展に伴うAPI管理の重要性だ。かつてITシステムで主流だったクライアント／サーバー型のアーキテクチャは、インターネットの普及に伴い、SOAやHTTP（REST）で連携するアーキテクチャに取って変わった。そして今また、モバイルデバイスの普及によってWebブラウザーベースの構造が変わろうとしている。そこで重要な役割を果たすのが「アプリ」だという。

　「今や人々は、搭乗する飛行機の情報を確認するのも、音楽を聞くのも、タクシーを呼ぶのも、天気を調べるのも、全てアプリ経由で行っている。いわば、『アプリケーションエコノミー』時代が到来している」（同氏）

　ガートナーは、ITを駆使して新たなビジネスを立ち上げ、急成長を遂げている新興企業の動きを「デジタルビジネス」と表現している（関連記事）。CAの言う「アプリケーションエコノミー」は、これを「アプリ」という観点から捉え直したものと表現できるかもしれない。

　アプリケーションエコノミーは新たなチャンスをもたらす。一方で「適切なアイデンティティを持ったユーザーが、好きなデバイスのアプリケーションからさまざまなAPIを経由し、クラウド、あるいは企業システムのデータに安全にアクセスできること」を保証しなければならない。しかもこのときAPIが扱うデータには、決済やヘルスケア、センサーデバイスから生み出されるデータなども含まれることになる。

　マンコティア氏は「アプリケーションエコノミーにおいては、データこそが新たな通貨になる」と予測する。つまり「通貨であるデータをいかに安全に扱い、APIを管理しながら、時には開発者コミュニティなどの外部に公開して活用するかによって、企業の収益が左右されることになる」という。

　「エンタープライズシステムがインターネットにつながらなければ安全だろう。しかしそれではビジネスは成功しない。かといって外部環境を完全に制御することはできない。この二つをつなぐAPIをうまく管理し、アプリの開発を加速することによって、“真のデジタル化”への移行が実現できるだろう」（同氏）

セキュリティ担当者は「No」ではなく「Know」を

　最後にマンコティア氏は「これまでセキュリティ担当者は、何か新しいことをしようとするとすぐ『No』と反対するのが常だった。しかし、セキュリティは本来『何かを可能にするもの（Enabler）』。デジタル化に向けた変化を禁止するのではなく、理解し、把握する（＝Know）という文脈に位置付けていきたい」と述べている。

　「セキュリティとは『何かを金庫に入れて大事にしまっておく』ということではない」と同氏。適切なアイデンティティとAPIの管理を通じて、さまざまなデータやIoT機器と連携しながら、ユーザーによりよい経験を提供し、顧客満足度の向上につなげる手助けをしていきたいという。