連載
» 2021年04月02日 05時00分 公開

デジタル化やテレワーク化の加速で複雑さを増すIAM、考慮すべき最新動向とは?Gartner Insights Pickup(201)

セキュリティやリスク管理のリーダーは、顧客とのやりとりやリモートワーカーの増加を十分考慮して、複雑さを増すIAMの課題に取り組まなければならない。

[Robert Snow, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

 セキュリティやリスク管理のリーダーが、Identity and Access Management(IAM:アイデンティティー/アクセス管理)ソリューションの運用に問題を抱える状況が広がっている。その理由が多々ある中で注目すべきは、デジタルチャネルにおける顧客とのやりとりの拡大と、新型コロナウイルス感染症の大流行(パンデミック)に伴うリモートワーカーの急増だ。

 「IAMの課題は複雑さを増している」と、Gartnerのアナリストでシニアディレクターのアキーフ・カーン(Akif Khan)氏は指摘する。

 「多くの企業は、IAMを効果的に行うためのスキルやリソースが不足している。リーダーは、アイデンティティー(ID)プルーフィング(※)アプローチを改善し、ベンダー管理スキルを磨き、リモートワーカーの増加に伴うリスクを軽減しなければならない」(カーン氏)

※アイデンティティー(ID)プルーフィング:デジタルチャネルにおけるこれまでの本人性認証は主に、本人だけが知っていること(氏名、住所、社会保障番号など)に基づいて行われてきた。IDプルーフィングは、本人性の保証の強化を目的に、本人だけが持っているもの(パスポートなど)と、本人に固有の属性(顔など)の両方に基づいて行われる本人性認証を指し、認証プロセスへの関与の証明も要求する。例えば、IDプルーフィングでは、本人性認証プロセスにおいて、パスポートの写真と顔の写真をその場で撮影し、提出することなどが必要になる。

 以下は、こうした課題を考慮したIAMに関する5つの予測だ。これらは、分散型IDやアクセス管理、IAM専門サービス、IDプルーフィングにおける最新トレンドに焦点を当てたものだ。

サイバーセキュリティメッシュがIAMリクエストの50%以上をサポート

 「内部は信頼できる」「外部は信頼できない」という古いセキュリティモデルは、かなり前から破綻している。ほとんどのデジタル資産やデバイスは企業外にあり、ほとんどのIDも同様だ。

 2025年までに、サイバーセキュリティメッシュがIAMリクエスト全体の半分以上をサポートするようになり、より明示的で、モバイルかつ適応的な統合アクセス管理モデルを実現する見通しだ。サイバーセキュリティのメッシュモデルは、これまでのセキュリティ境界の制御よりも統合され、スケーラブルで柔軟な、信頼性の高い、デジタル資産アクセス制御アプローチを提供する。

MSSPによるIAMサービスの提供が増加

 企業では、包括的なIAMソリューションの計画や開発、調達、実装を適切に行うためのリソースやスキルが不足している。そのため、企業はプロフェッショナルなサービスを提供する企業と契約し、必要なサポートを受けている。複数の機能に同時に取り組む必要がある場合は特にそうだ。

 企業は、マネージドセキュリティサービスプロバイダー(MSSP)のアドバイスやガイダンス、統合の提案にますます頼るようになると予想される。2023年までに、IAMアプリケーション集約の40%は、ベストオブブリードソリューションを統合して提供することを重視するMSSPが主に担うようになり、製品ベンダーからサービスパートナーに影響力がシフトする見通しだ。

IDプルーフィングツールが従業員IDのライフサイクル内で実装される

 これまで、ベンダーが用意する多要素認証の登録や回復のワークフローでは、電子メールアドレスや電話番号など、弱い確認手段が採用されていた。そのため、より信頼性の高い確認手段の実装は、企業の課題として残されていた。

 だが、従業員と企業システムのリモートでのやりとりが大幅に増加したことで、より堅牢(けんろう)な登録や回復手続きの確立が急務となっている。攻撃者と正当なユーザーが区別しにくくなっているからだ。2024年までに、大企業の30%は、IDプルーフィングツールを新たに導入し、従業員のIDライフサイクルプロセスの一般的な弱点に対処する見通しだ。

グローバルでポータブルな分散型ID標準が登場

 現在の市場で一般的なIDデータの集中管理アプローチは、プライバシー、保証、仮名性という3つの重要分野で便益をもたらしにくい。分散型アプローチは、ブロックチェーン技術を使ってプライバシー確保を支援し、個人が要求された必要最小限の情報提供で認証できるようにする。

 2024年までに、真にグローバルでポータブルな分散型ID標準が市場に登場し、ビジネス、個人、社会IDが不明なユースケースに対応する見通しだ。

IDプルーフィングにおける人口統計的バイアスが幅広い分野で最小化

 2020年には人種、年齢、性などの属性が大きな注目を集めた。その一方で、オンラインユースケースにおける文書中心のIDプルーフィングへの関心も高まった。この“IDプラス自撮り”プロセスでは、顔認識アルゴリズムを使って、顧客がその場で自撮りした写真と本人証明書類の写真が比較される。

 顔認識プロセスにバイアスが発生する可能性は常に認識されてきた。こうしたバイアスがあると、顧客エクスペリエンスやブランドイメージ、法的責任に影響する恐れがある。そのため、2022年までに企業の95%がIDプルーフィングベンダーに対し、人口統計的バイアスを最小化しているという証明を要求するようになる見通しだ。この割合は、現在の15%未満から大幅に上昇する。

出典:5 Key Predictions for Identity and Access Management and Fraud Detection(Smarter with Gartner)

筆者 Robert Snow

Writer


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。