この章では

  • なぜ「人的ベクトル」が、ハッカーに選ばれる新しい攻撃ベクトルであるのかを詳細に分析します
  • アイデンティティ・ガバナンスの定義を行います
  • 職場の変化が、どのようにリスクを増大させ、それらのリスクに対処する上でアイデンティティ・ガバナンスがどのように役立つかを学びます

今日、情報技術に携わる誰もが、従業員や請負業者、そしてパートナーに関連するユーザーアクセス権限、つまり「身元情報」について考慮する必要があります。

なぜでしょうか? 身元情報の漏洩は、現在、間違いなく最も深刻なサイバーセキュリティの問題だからです。 Verizonによると、データ侵害の63%は、盗まれたユーザー認証情報や、脆弱なユーザー認証情報、またはデフォルトのユーザー認証情報に起因しています(以下の「数字は語る」を参照してください)。

王国の鍵

なぜ攻撃者は、ユーザーの認証情報を自分たちの活動でそれほど頻繁に利用するのでしょうか? ドアの鍵があれば、窓を割る必要がないからです。

大規模な組織では、数千人にものぼる従業員や請負業者、ビジネスパートナー、そして顧客が、常に何百、何千ものアプリケーションにアクセスしています。 数千人にのぼるこれらユーザーの各アクセスポイントは、リスクにさらされる潜在的なポイントでもあります。

サイバー犯罪者やハッカーは、リスクにさらされている何百万ものポイントの中から、たった1つの弱点を見つければ良いのです。 フィッシング攻撃やマルウェア、あるいは一人のユーザーのミスのせいで、攻撃者が一度でも有効なユーザー認証情報を取得してしまえば、組織を略奪し混乱させるための扉が開かれます。

身元情報は非常に多くのサイバー攻撃の標的になっています。そのため、身元情報の保護に対してセキュリティの取り組みの重点を置く必要があります。そして、それはアイデンティティ・ガバナンスから始まります。

ユーザー認証情報の漏洩は、過去数年間に発生した最も深刻なデータ侵害の多くで主要な役割を果たしてきました。 サードパーティベンダーである冷蔵業者の認証情報が盗まれたことが、対象を絞ったデータ侵害につながり、1億1千万人の顧客のクレジットカード情報が失われました。 請負業者の認証情報を使って、ハッカーが米国人事管理局(OPM)のシステムに侵入した際には、政府職員や求職者の個人情報2,150万人分が盗まれました。

数字は語る

ほとんどのデータ侵害は、認証情報の漏洩または悪用に起因しています:

  • 確認されたデータ侵害のうち63%は、脆弱なパスワード、デフォルトのパスワード、または盗まれたパスワードに起因しています。
  • 内部関係者による悪用のうち66%は、権限の乱用に関係しています。
  • 60%の組織は、漏洩した認証情報の使用による攻撃を検出できません。

出典: Verizon 2016 DBIR、Rapid72015迅速な検出と応答。

アイデンティティ・ガバナンスの定義

アイデンティティ・ガバナンスは、組織の身元情報を保護することで、企業によるデータ侵害の防止に役立ちます。 しかし、それは実際にどのようなものなのでしょうか?

実用的な定義

私たちはアイデンティティ・ガバナンスを次のように定義しています:

人々がアプリケーションやシステムに適切にアクセスできるようにし、誰が何にアクセスできるのか、そのアクセスをどのように使用できるか、そしてそのアクセスがポリシーに準拠しているかどうかを、組織が常に把握できるようにするための技術とプロセス。

すべての従業員に、業務を行うために必要な適切なアクセス権が提供されるべきであり、必要以上のアクセス権は提供してはならない。 例:

  • 入社初日、ジェームズは、自分の業務に必要なあらゆるアプリケーションとシステムへのアクセス権を取得するが、それ以上のアクセス権は取得できない。
  • レイラが会社を辞める際、彼女のあらゆるアクセス権は直ちに取り消される。
  • 経理部門のセイラは、請求書の支払いはできるが、新しいベンダーを加えたり、請求書を発行することはできない。
  • 電子メール管理者であるボリスは、電子メールソフトウェアの管理はできるが、カスタマーサービスアプリケーションの管理を行うことはできない。

主なプロセス

アイデンティティ・ガバナンスソリューションは、組織が従業員、請負業者、およびパートナーに付与されたアクセス権限の一覧表を作成したり、分析したり、これを理解したりする上で役立ちます。 これらは、効率を高め、セキュリティを強化し、政府の規制や業界基準への準拠を向上する形で、身元情報やアクセスに関連するプロセスを自動化します。
アイデンティティ・ガバナンスには、少なくとも3セットのプロセスが含まれます:

  • 職務と責任に基づき人々にどのような許可を与えるべきかを決定するポリシーモデリング
  • アクセス要求を管理・承認し、複数のシステムへのアクセスを自動的に提供し、ユーザーの職務が変更したり、組織を離れたときにアクセスを取り消すための、ユーザーアカウント・プロビジョニング
  • 組織のポリシーに基づきアクセスが提供・管理されていることを、定期的に確認および文書化するためのアクセス認証

この分野の用語は分かりにくいことがあります。 広く言えば、アイデンティティ管理(IdM)と、IDおよびアクセス管理(IAM)は、2セットの技術とプロセスを包含するために使用される包括的な用語です。 1つ目のアイデンティティ・ガバナンス(アイデンティティ・ガバナンスおよび管理、またはIGAと呼ばれることもあります)は、アクセスポリシーの管理、ユーザーアクセスのプロビジョニング、およびアクセスルール、リスク、およびアクティビティの分析に関連しています。 2番目のアクセス管理は、認証、シングルサインオン、パスワードリセットなど、アクセスをリアルタイムで制御する技術で構成されています。 Identity-as-a-Service(IDaaS)は、クラウドから提供されるIdMテクノロジーを指します。

私たちの新しい働き方の課題

従来の身元情報管理ツールとプロセスは、比較的単純なシナリオ向けに作成されていました: つまり、企業のオフィス内で、企業ネットワークにつながっているノートパソコンやデスクトップコンピュータを使用して、組織のデータセンターで実行されている構造化アプリケーションにアクセスしている正社員というシナリオです。 しかし、働き方の変化により、ユーザーアクセス権限の管理はより困難になっています。また、セキュリティやコンプライアンスにとっても、ますます重要な問題になっています。

多くの種類のユーザー

請負業者、サプライヤー、ビジネスパートナー、および顧客に提供される主要なビジネスアプリケーションへのアクセスは、過去10年間でますます広範囲にわたるようになりました。

セキュリティを維持するために、通常、組織はこれらのユーザーに対して、正社員よりも制限の厳しいアイデンティティ・ガバナンス・ポリシーを実施する必要があります。 なぜなら、組織内における彼らの権限の「ライフサイクル」は数年単位ではなく、数週間または数か月単位の可能性があるからです。そのため、権限をより頻繁に確認して取り消す必要があります。

BYODとシャドーIT

個人所有デバイスの持ち込み(BYOD)のせいで、個々の従業員が持ち込む何千ものデバイスを、安全に管理しなければならない状況が発生しています。 不明なデバイスの登録、必要なアプリ(セキュリティアプリを含む)のプロビジョニング、そしてそのようなデバイスから企業アプリケーションにアクセスする際に、組織のポリシーに従ってアクセスが制御されているか否かを確認することが課題となっています。

もう一つの大きな問題は、シャドーITです。これは、従業員や部署が、IT部門の知らないところで、SaaS(Software-as-a-Service)アプリケーションを利用してしまうことを指します。 多くの場合、このような行動は、アプリケーションへのアクセス取得が困難で、時間がかかり過ぎるという認識によって引き起こされます。 これらのアプリケーションや、それらが保存するデータへのアクセスを、IT部門が監視したり制御したりできない場合、セキュリティとコンプライアンスの両方が脅かされます。 従業員が正しいことを簡単に行えるように、組織は承認されたアプリケーションへのアクセスを簡素化する必要があります。

クラウドコンピューティング

最近の調査では、2020年までに、コンピューターを使った作業の92%が、クラウドデータセンターで処理されると予測されています。1 通常、企業によるクラウドプラットフォームおよびSaaSアプリケーション内のID情報やイベントへのアクセスは制限されているため、ビジネスアプリケーションのクラウドへの移行は大きな課題です。

さらに、大部分の組織はハイブリッド環境を管理しています。そのため、オンプレミスとクラウドアプリケーション全体におけるあらゆるIDデータに対して、単一で一貫したビューが必要です。 また、企業は、クラウドプラットフォームと従来の企業データセンターの両方を含む環境全体で、アクセス許可をモデル化、プロビジョニング、監視、および取り消すことができるようにしたいと考えています。

非構造化データ

既存のアイデンティティ・ガバナンス製品のほとんどは、構造化データを処理するように設計されています。 しかし、業界アナリスト企業のIDCは、デジタル情報の90%が、ドキュメント、ビデオ、その他の種類のファイル、電子メールメッセージ、ブログ投稿、メッセージングおよびチャットセッションなどの、非構造化データで構成されていると推定しています。

今日、いくつかの最も深刻なセキュリティリスクは、次のような状況で発生します:

  • 営業部門のリーがSalesforceから顧客リストをダウンロードし、それを電子メールメッセージに添付する際。
  • HRのアルナブが給与や社会保障番号などの従業員情報をスプレッドシートにダウンロードし、SharePointサーバーに保存する際。
  • エンジニアリング部門のサリーが製品設計ファイルをDropboxにアップロードし、それらにアクセスするようにサプライヤーを招待する際。

組織はこれらのリスクを管理するために、大量の非構造化データを追跡し、機密情報が含まれているファイルとフォルダーを特定し、その情報にアクセスできるユーザーを制御できなければなりません。

アイデンティティ・ガバナンスのメリット

リスクの軽減とセキュリティの向上

アイデンティティ・ガバナンスの技術とプロセスは、自分が必要とするコンピューター上のリソースに人々がアクセスできるようにしながら、必要以上のリソースにはアクセスできないように設計されています。 この「知る必要がある人のみ知る」というアクセスに対するアプローチは、セキュリティ侵害のリスクを軽減します。 また、ハッカーがユーザーの認証情報を取得したり、内部関係者が不正を犯す場合に発生し得る被害を最小限に抑えます。

アイデンティティ・ガバナンスのプロセスは、ハッカーが悪用する次のような一般的な弱点を企業が排除する上で役立ちます:

  • 脆弱なパスワード
  • 孤立アカウント(元従業員の休眠アカウント)
  • 権限のクリープ(従業員が職務を変更する毎に蓄積する過剰なアクセス権限)
  • 職務分離(SoD)ポリシーの違反(個人が不正を犯すことができないように責任を分割する制御手段)

自動コンプライアンス

サーベンス・オクスリー法、HIPAA、PCI DSS、EUのGDPRなど、多くの政府基準や業界規制は、知る必要のある人だけが機密情報にアクセスできるようにするためのポリシーやIT管理を実施していることを証明するよう、企業に対して求めています。

組織は、しかるべきポリシーと制御を実施するだけでなく、これらの環境が整っており、適切に機能していることを証明する必要があります。 これを文書化しようとすると、膨大な費用と時間がかかる恐れがあります。

アイデンティティ・ガバナンスのツールは、アクセス認証のプロセスを自動化し、監査に必要な豊富なレポート機能を提供します。

SailPoint白書「GetCompliant and Stay Compliant」は、アイデンティティ・ガバナンスを使用してコンプライアンスを向上させるための有用なアドバイスを提供しています。 こちらでご覧になれます。 https://www.sailpoint.com/ja/resources/get-compliant-and-stay-compliant/.

従業員のエンパワーメントと生産性の向上

アイデンティティ・ガバナンスソリューションは、従業員が必要なときに、いつでも必要なアプリケーションやシステムにアクセスできるようにすることで、従業員に権限を持たせます。

最高のアイデンティティ・ガバナンスツールは、次のことも実現します:

  • 忘れたパスワードをリセットし、新しいアクセスを要求するセルフサービス機能を提供することで、エンドユーザーの生産性を向上させます
  • アクセス許可の認証に費やす時間を削減することで、ビジネスマネージャーの生産性を向上させます
  • パスワードのリセットとアクセス要求に関連するヘルプデスクへの問い合わせを最小限に抑えることで、ITスタッフの生産性を向上させます

本ガイドの次の2つの章では、アイデンティティ・ガバナンスがこれらのメリットをどのように実現させるかを見ていきます。

  1. フォーブス: モノのインターネットとビッグデータで、私たちのあらゆる行動の92%がクラウドで行われるようになる

アイデンティティ・ガバナンスの力

SailPointがどのようにあなたの組織に役立てるかをご覧ください。

*必須フィールド

このフォームを送信することにより、お客さまは、SailPointのWebサイトの使用に、 が適用されることを理解し、これに同意したことになります。