重要度を増すアイデンティティー管理 海外専門ベンダーが日本市場に本腰

ランサムウェア対策やゼロトラストの構築など、アイデンティティー管理への注目が高まっている。IT調査会社ITRは「アイデンティティー動向調査」の結果を、SailPointテクノロジーズジャパンは「企業のアイデンティティー管理に関する最新動向」について発表した。

[指田昌夫，キーマンズネット]

　IT調査会社ITRは「アイデンティティー動向調査」の結果を、SailPointテクノロジーズジャパンは「企業のアイデンティティー管理に関する最新動向」について発表した。両社の講演から、アイデンティティー管理の注目度の高まりや重要性、具体的な管理方法が明らかになる。

アイデンティティー管理のニーズが明らかに

　IT調査会社ITRのプリンシパル・アナリストである浅利浩一氏が、同社が2021年10月に実施した「アイデンティティー動向調査」の結果と、アイデンティティー管理の高まる重要性について説明した。

　浅利氏は、「企業のマスターデータの重要な要素であるアイデンティティーを一元管理することは、現在グローバルで活動する企業にとってスタンダードだ」と語る。

　同時期に同社が実施したIT投資動向調査では、企業のIT投資意欲はコロナ禍の期間内でも高い結果が出た。「企業が重視する経営課題」についての調査項目では、「業務プロセスの効率化」という普遍的なテーマや「働き方改革」「ペーパーレス化」というコロナ禍の緊急課題に続く4位に「情報セキュリティの強化」（42％）が入った。企業のセキュリティに対する高い課題感が分かる。

図1　重視する経営課題（出典：浅利氏の講演資料）

　「企業のアイデンティティー管理業務の現状」についての調査項目では、60〜70％の企業が「業務が増えた」「煩雑になった」「スピードアップが求められるようになった」などと回答した。

図2　アイデンティティー管理の方法や状況の変化（出典：浅利氏の講演資料）

　「アイデンティティー管理の具体的な業務」についての調査項目では、「紙やExcelでの台帳管理の負担」「データ収集の時間とコスト」「情報の正確性」などに課題を感じる企業が多い。「課題を全く感じていない企業は5％程度で、ほとんどの企業がアイデンティティー管理になんらかの問題を抱えている」と浅利氏は述べる。

図3　アイデンティティー管理に関する業務やシステムの課題（出典：浅利氏の講演資料）

　次に、アクセス権とその権限の棚卸し方法についての調査項目では、「アクセス権と権限の両方を全システムで棚卸ししている」と回答した企業が全体の3割程度にとどまった。企業は多大な労力をかけてアイデンティティーを管理するが、約7割の企業が全ての情報を管理できていないことが分かる。

図4　アクセス権とその権限の棚卸方法（出典：浅利氏の講演資料）

　アイデンティティー管理製品を選定するポイントについては、「クラウドであること」「クラウドとオンプレミスの両方を管理できること」が1位と2位で、「利便性」「コスト」などの条件を上回り、製品の選定ポリシーが変わってきていると浅利氏は指摘する。

図5　アイデンティティー製品の選定ポイント（出典：浅利氏の講演資料）

アイデンティティー管理の最新動向は？

　SailPointの社長兼本社バイスプレジデントを務める藤本 寛氏は、アイデンティティー管理製品の市場動向や同社の強みなどを解説した。

　SailPointは、2005年に米国で創業したアイデンティティーに管理に特化したソフトウェアプロバイダーだ。創業者のマーク・マクレイン氏はアイデンティティー管理ソフト業界の第一人者として知られ、2021年3月から日本で活動を本格化させた。同社のアイデンティティー管理製品は、IT調査会社の調査でリーダーポジションを獲得している。

図6　SailPointの会社概要（出典：藤本氏の講演資料）

　企業はアイデンティティー管理にこれまで以上に関心を寄せていると藤本氏は話す。

　「グローバルの調査で企業の94％がID関連の侵害を受けたと回答し、72％が退職後の社員によるデータ盗難を検知していると答えた。企業内で過剰な権限を付与した社員からの侵害も増えている。単純なID管理だけでなく、権限を含めた中身の管理が重要だ」（藤本氏）

　アイデンティティー管理は、セキュリティの大きなテーマであるゼロトラストと関連することからも注目度を高める。

　従来、業務システムのIDは企業内の個々のシステム内で管理していた。ゼロトラストの発想では、IDをシステムから切り離して企業内の役割に合わせて設定する。「システム的な境界から、従業員そのものを境界と見なしてセキュリティを構築する企業が増えている」と藤本氏は言う。

システム内に分散したアイデンティティーを一元管理

　藤本氏は「SailPointは全てのアイデンティティーのためのSoR（システムオブレコード）システム」と語る。CRM（顧客管理システム）やHCM（人的資本管理）などと同様に、企業を支える基幹システムとして安定したシステム運用が可能な信頼性、可用性、性能をもつアーキテクチャの上で動くクラウドサービスである。

図7　SailPointが提案するアイデンティティープラットフォーム（出典：藤本氏の講演資料）

　企業内で動いている情報システムは、大手では数千、数万の数にもなる。SailPointは、それらの全てのシステムで稼働しているIDとパスワードを収集し、「アイデンティティーウェアハウス」として一元管理する。ID情報を人基準で束ね、アイデンティティーキューブというデータベースを構築する。

　人単位でアイデンティティーを可視化し権限付与状況を分かりやすくし、アイデンティティーの発行や削除といったIDのライフスタイルを管理する。ヘルプデスクやIDの監査対応などの機能も備える。

　アイデンティティーの一元化によって、手作業だった業務を自動化してミスをなくせる。また、ID単位では発見しづらかった問題を人単位で管理することで、リスクの予知や権限付与時のリスク管理に効果を発揮できる。

　SailPointは企業の経営課題としてのガバナンス維持にも寄与する。従業員の外部アクセスを許容しながら攻撃を防ぎ、一方で内部からの不正対策もする。アイデンティティーにガバナンスを効かせることは、コーポレートガバナンスの向上に直結するというのが同社の主張である。

　システムが多様化しさまざまな関係者が内部、外部からアクセスする中で、IDを個別に管理したら対応が追い付かない。SailPointは、IDを人にひも付けしたアイデンティティーとして管理する「アイデンティティー・プラットフォーム」を提供し、人がアクセスするシステムのID情報を一括して管理する。

図8（出典：藤本氏の講演資料）

　藤本氏は、アイデンティティーを一元管理する重要性を次のように語る。

　「従業員の働く場所の変化や外部関係者の増加などの背景がある中で、アイデンティティー管理は、単なるアクセス制御だけの話ではなくなっている。認証なのか、アクセス制御なのか、それとも権限となのか、整理されないケースが目立っている。だが、管理するIT部門のオペレーションの複雑さも表に出てこない。重要だという認識は広まったが、緊急性を感じている企業はまだ多くない。当社はアイデンティティー管理の重要性を説き、正確で効率的な管理ソリューションを提供する」（藤本氏）

　変化が激しい環境下で、企業内のアイデンティティーは状況に応じて臨機応変に変えていく時代となった。ID情報を一元管理し、柔軟なアイデンティティー運用ができるサービスは、大手企業にとって不可欠な装備になるかもしれない。