広がるセキュリティ範囲にどう対応する？ 調査で分かるIT投資や対策の動向

コロナ禍以降、デジタルシフトに積極的に取り組む企業が増えたことで、セキュリティの守備範囲は広がった。SailPointとITRが共同実施した調査から、企業の今後のセキュリティ動向が見えてくる。

[大島広嵩，キーマンズネット]

　コロナ禍以降、働き方改革やワークシフトが促進され、急速にテレワークが普及した。デジタルシフトに積極的に取り組む企業が増えたことで、セキュリティの守備範囲は広がった。

　こうした背景から、企業向けセキュリティサービスを提供するSailPointテクノロジーズジャパン（以下、SailPoint）とIT調査・コンサルティングを提供するアイ・ティ・アール（以下、ITR）は、「企業におけるセキュリティおよびアイデンティティー・ガバナンス実態調査2022」（実施期間：2022年8月17〜22日）を共同実施した。

　2022年10月14日、SailPointは調査の結果をまとめたホワイトペーパー「デジタル＆サステナブル時代に求められるアイデンティティー・ガバナンス」を公開した。同日に開催したプレスセミナーでITRの浅利浩一氏が調査結果に対する考察を語った。その一部を紹介する。

IT投資の傾向と企業が考える具体的なセキュリティ施策

　「組織で最も優先するITはどれか」という調査項目では、「ITコストの削減」が大きく減少し、「顧客サービスおよび顧客満足度の向上」が今後最も優先する投資目的となっている（図1）。減少傾向となるのは、「セキュリティリスクの低減」および「事業継続の管理」の2項目で、「相対的な結果であってもセキュリティとサステナビリティへの投資配分が低いことに懸念が残る」と浅利氏は言う。

図1　IT投資目的の変化（出典：SailPointのプレスリリース）

　「過去12カ月で経験したセキュリティインシデント」に関する調査項目では、「過去12カ月にセキュリティインシデントはない」とした企業は26％にすぎず、約4分の3の企業が何らかのインシデントを経験していた（図2）。「セキュリティポリシー違反」がもっとも多いことから、従業員のセキュリティ意識の向上が必要な状況が分かる。

図2　過去12カ月で経験したセキュリティインシデント（出典：SailPointのプレスリリース）

　「情報漏えいを防いだり最小限に抑えたりするためにどのような対策をすべきか」という調査項目では、回答は複数の選択肢に分散した（図3）。「『全ユーザーにMFAを導入』（3位）を上回り、『全ユーザーのアクセス権の継続的な検知』が38％で首位となったことは注目だ。セキュリティインシデントを体験した企業の視点として参考にできる」と浅利氏は述べた。

図3　情報漏えいを防いだり最小限に抑えるための対策（出典：SailPointのプレスリリース）

調査で分かるSaaSの曖昧な管理状況

　ここまで、企業のIT投資やセキュリティ対策の動向を確認した。以降では、近年利用が増えているSaaSに関する調査項目を見ていく。調査の結果から、企業のあいまいなSaaSの管理状況が分かる。

　「SaaS環境において最も解決すべき課題」については、「全てのユーザーアクティビティーと全てのデータアクセスに対する可視性の欠如」と「アプリの設定（ファイル、ユーザー、グループ設定など）の一貫した管理」がそれぞれ約3割を占めた（図4）。3位の「使用中の全てのSaaSアプリの把握」は、いわゆるシャドーITへのガバナンスの課題も懸念される。

図4　SaaS環境において最も解決すべき課題（出典：SailPointのプレスリリース）

　「退職あるいは異動の際の対応・手続き」について聞いた調査項目では、ほぼ全ての項目で約20％が適切な対応をできていないと回答していることから、あいまいな管理状況でSaaSを運営する企業が一定存在するのが分かる（図5）。

図5　退職あるいは異動の際の対応・手続き（出典：SailPointのプレスリリース）

　本調査を実施したSailPointは、企業のアイデンティティー（ID）を一元的に可視化し、ID管理業務の自動化を実現するソリューションを提供している。ツールも活用しながら、社内の生産性向上や業務効率化といった目的に役立つSaaSを適切に管理できる環境を整えるのも選択肢の一つだ。