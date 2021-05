新型コロナウイルス感染症(COVID-19)のパンデミック(世界的大流行)に伴い、Identity and Access Management(IAM:アイデンティティー/アクセス管理)への注目が高まっている。組織にとってリモートアクセスのセキュリティ確保が重要課題となるとともに、デジタルトランスフォーメーションに関連する各種資産の保護を強化する必要が生じているからだ。

IAMリーダーは、組織のセキュリティやアジリティ、レジリエンス(回復力)を高める取り組みの一環として、ガバナンスを向上させ特権アクセス管理(PAM)を強化して侵害を防ぎ、より堅牢(けんろう)かつ柔軟な認証と承諾を確立し、消費者のIAM強化による不正防止とプライバシー保護を実現しなければならない。

以下では、Gartnerの3人のアナリストが、IAMリーダーが2021年に適応性のあるIAM戦略を達成するためのミッションクリティカルな優先事項について解説する。

先進テクノロジーに投資し、適応的なIAM戦略を展開する

デイヴィッド・マーディ(David Mahdi)氏:バイス プレジデント アナリスト

デジタルビジネスの急速な成長と拡大を受けて、ITリーダーはIAMの重要性を認識するようになっている。その結果、IAMやデジタルアイデンティティー(ID)技術への需要が非常に高まり、これらの技術への投資も急増している。2021年、アクセス管理市場は137億ドル規模に達し、2024年には190億ドル規模に拡大する見通しだ。ただし、既存IAM技術に関する活発な投資と開発が進んでいるとはいえ、全ての技術が本番環境ですぐに利用できるわけではない。一部の技術は、詳細な概念実証(PoC)を必要とする。

2020年には、「Gartner 2020 IAM Hype Cycle」にマシンID管理が登場した。マシンID管理は、IoTデバイス、仮想マシン、コンテナ、RPA botといったマシンIDの信頼性を確立し、管理する。

ビジネス環境のデジタル化やクラウド化が進む中、IAMリーダーは、デジタルビジネスのニーズへの対応に必要なマシンIDの増量と速度の増加を確実に管理できるようにする必要がある。サーバ、クラウド環境、RPA、アプリケーションは全て、デジタルIDを必要とする。IAMリーダーは、これらの各IDにより、これらのエンティティ全てを管理、制御するための最適なセキュリティポリシーを適用できる。

2019〜2020年にBring-Your-Own-Identity(BYOI:個人用IDの業務利用)アプローチが進化し、ユーザーはソーシャルIDなど、自分の選んだ外部デジタルIDを利用できるようになった。例えば、Mastercardは、2019年に消費者中心のデジタルIDモデルを発表した。Appleも、自社のデジタルIDを利用した「Appleサインイン」を発表し、提供を開始した。Microsoftも「Azure Active Directory(Azure AD)外部ID」機能を提供している。

BYOIの実装を成功させるために、IDプロバイダーが提供する信頼性のレベルがアクセスリスクのレベルと同等か、それを上回るレベルであることを確保する。

新方式のID認証でデジタルなやりとりの信頼性を実現する

アキーフ・カーン(Akif Khan)氏:シニアディレクター アナリスト

ユーザーIDの信頼性の確立は、多くの組織にとって極めて重要だ。例えば、具体的な場面として、「顧客が新しい銀行口座を開設する」「新入社員が在宅で勤務する」「市民が政府のWebサイトでパンデミックに関連する経済的支援を申請する」といったものが挙げられる。

ユーザーIDの信頼性は、金融詐欺のリスクを軽減するために必要な場合もあれば、攻撃者が企業システムにアクセスするのを防ぐのに必要な場合もある。また、規制要件となっている場合もある。

COVID-19のパンデミックに伴い、デジタルチャネルにおける堅牢なID認証の必要性が加速した。また、ID認証が行われてきた対面のやりとりの多くが妨げられた。さらに、組織はデジタルトランスフォーメーションの取り組みを強化するとともに、インターネットの向こう側に誰がいるのかを正確に把握する必要性も一段と高まっている。

Gartnerは、2022年までに、80%の組織がオンボーディングワークフローの一環として、文書中心のID認証を使用するようになると予想している。現在、この割合は30%程度にとどまる。

長年、オンラインID認証はデータ中心のアプローチに基づいていた。データ中心のID認証では、ユーザーが入力したIDデータ(氏名、住所、生年月日、社会保障番号など)を、選挙人記録や信用調査機関のデータ、国勢調査情報などのソースと照合される。だが、この方法を単独で用いて得られる本人確認の確実性は比較的低い。データを入力したユーザーが、本当にIDの所有者であるという保証がないからだ。

最近では、文書中心のID認証への関心が急激に高まっている。この認証は、非公式に“IDプラス自撮り”プロセスとも呼ばれる。このプロセスでは、ユーザーは写真付き本人確認書類の写真または短い動画を撮る。これは改ざんや偽造の形跡がないか調べられる。さらに、この書類の写真は、書類を提出したユーザーがその場で撮った“自撮り”(写真または短い動画)と比較される。自撮りのチェックで重要な要素は、なりすまし攻撃(Presentation Attack)の検知だ(「生体検知」と呼ばれることも多い)。これにより、ユーザーが正真正銘の本人であることが確認される。この方式の認証は、IDに関する格段に高い信頼性を提供し、IDの所有者が本人であることを裏付ける。

特権アクセス管理はセキュリティプログラムの要所

マイケル・ケリー(Michael Kelley)氏:シニアディレクター アナリスト

成功したセキュリティ侵害のほぼ全てが、特権アクセス管理(PAM)の失敗に関連している。PAMは、組織の重要な情報やリソースへの特権アクセスを保護、制御、モニタリングするツールを組み合わせて行われる。最初の侵害は防げないかもしれないが、侵害の影響を軽減したり、排除したりすることが可能だ。なお、特権アクセスは高リスクのアクセスとは異なる。そして、そこには一般のユーザーが通常持っている権限を超えるアクセスも含まれる。

COVID-19のパンデミックに伴う外出規制を背景に、リモートワークの必要性が高まり、PAMのニーズが増加した。リモートで行われる管理業務が拡大したことで、攻撃者にとっては、攻撃を仕掛ける機会が広がっている。そこで組織は、PAMの利用を拡大することになった。まず、管理アクセスが必要な従業員の特権アクセスを拡大した。次に、ベンダーやコントラクター、サービスプロバイダー、ビジネスパートナーといったサードパーティーのリモート特権アクセスにおいてPAMの利用を拡大した。

PAMは、組織が侵害リスクと内部脅威のリスク軽減のために、最小特権の原則を実施するのに役立つ。この原則は、適切な人が適切なタイミングに適切な理由から、適切なリソースへの適切なアクセス権を持つことを保証する。PAMではPAMツールを使い、特権アカウントへのアクセスを制御し、使用するたびに認証情報をローテーションする。また、PAMツールにより、特権アクセスセッションおよびアクティビティーのモニタリング、記録、監査、分析を行う。

出典:Key Priorities for IAM Leaders in 2021(Smarter with Gartner)

筆者 Laurence Goasduff Director, Public Relations