この章では

  • なぜ「人的ベクトル」が、ハッカーに選ばれる新しい攻撃ベクトルであるのかを詳細に分析します
  • アイデンティティ・ガバナンスの定義を行います
  • 職場の変化が、どのようにリスクを増大させ、それらのリスクに対処する上でアイデンティティ・ガバナンスがどのように役立つかを学びます

今日、情報テクノロジーに携わる者は皆、従業員、請負業者、パートナーに関するユーザーのアクセス権限、つまり「アイデンティティ」に関心をもつ必要があります。

なぜでしょう?それは現時点でアイデンティティの漏洩はサイバーセキュリティにおける最も深刻な問題と言えるからです。Verizonによると、データ侵害の63%は、盗まれたユーザー認証情報や、脆弱なユーザー認証情報、またはデフォルトのユーザー認証情報に起因しています(以下の「数字は語る」を参照してください)。

王国へのカギ

攻撃者が活動時にユーザー認証情報を頻繁に利用するのはなぜでしょう?ドアの鍵を持っていれば窓を割らなくても侵入できるからです。

大規模な組織では何千人もの従業員、請負業者、ビジネスパートナーや顧客が常時何百、時には何千ものアプリケーションにアクセスしています。これら数千単位の人々のアクセスポイントはリスクにさらされる潜在的なポイントでもあります。

サイバー犯罪者やハッカーは、リスクにさらされている何百万ものポイントの中から、たった1つの弱点を見つければ良いのです。フィッシング、マルウェア、あるいはユーザーのミスによって、攻撃者が有効なユーザー認証情報を取得すれば、組織を略奪し混乱させられる扉が開かれるのです。

多くのサイバー攻撃でアイデンティティがターゲットになっています。よってアイデンティティの保護を重点としてセキュリティに取り組むべきであり、それはアイデンティティ・ガバナンスから始めることを意味します。

過去数年の非常に深刻なデータ漏洩の数々において、ユーザー認証情報の漏洩が主な原因でした。サードパーティベンダーである冷蔵業者の認証情報が盗まれたことが、ターゲットのデータ漏洩および1.1億人の顧客のクレジットカード情報損失へとつながりました。請負業者の認証情報を使って、ハッカーが米国人事管理局(OPM) のシステムに侵入した際には、政府職員や求人応募者の個人情報2,150万人分が盗まれました。

数字は語る

データ漏洩の多くは、認証情報の漏洩または誤用に起因しています:

  • 確認できたデータ漏洩のうち63%は脆弱、デフォルトのまま、あるいは盗まれたパスワードが関係。
  • 内部関係者の悪用のうち66%は権限の乱用が関係。
  • 60%の組織は、漏洩した認証情報の使用による攻撃を検出できない。

出典: Verizon 2016 DBIR, Rapid7 2015 Rapid Detection and Response.

アイデンティティ・ガバナンスの定義

アイデンティティ・ガバナンスは、組織のアイデンティティを保護することで、企業の情報漏洩防止に役立ちます。具体的には以下の通りです。

実用的な定義

私たちはアイデンティティ・ガバナンスを次のように定義しています:

人々がアプリケーションやシステムに適切にアクセスできるようにし、誰が何にアクセスできるのか、アクセス権はどのように使用できるか、そしてそのアクセス権はポリシーに準拠しているかどうかを、常に組織が把握できるようにするためのテクノロジーとプロセス。

すべての従業員に、業務を行うために必要な適切なアクセス権が提供されるべきであり、必要以上のアクセス権は提供してはならない。 例:

  • ジェームスは入社初日に業務に必要なアプリケーションとシステム全てへのアクセス権を取得する。それ以上のアクセス権は取得できない。
  • レイラが退職する場合は、レイラのアクセス権は即取り消される。
  • 経理部門のセイラは、請求書の支払いはできるが、新しいベンダーを加えたり、請求書を発行することはできない。
  • 電子メール管理者であるボリスは、電子メールソフトウェアの管理はできるが、カスタマーサービスアプリケーションの管理を行うことはできない。

主なプロセス

アイデンティティ・ガバナンスソリューションは、組織が従業員、請負業者、パートナーに付与したアクセス権限の目録を作成し、分析し、理解するのに役立ちます。これらは、効率を高め、セキュリティを強化し、政府の規制や業界基準への準拠を向上する形で、身元情報やアクセスに関連するプロセスを自動化します。
アイデンティティ・ガバナンスには、少なくとも3セットのプロセスが含まれます:

  • 職務と責任に基づき人々に何を許諾するかを決定するポリシーモデリング
  • アクセス権申請を管理し承認し、自動で複数のシステムへのアクセス権を提供し、異動や離職の際はアクセス権を取り消すためのユーザーアカウントプロビジョニング
  • 組織のポリシーに基づいてアクセス権が提供・管理されていることを定期的に検証し文書化するためのアクセス権の棚卸

この分野の用語は分かりにくいことがあります。 広く言えば、アイデンティティ管理(IdM)と、アイデンティティとアクセス権管理(IAM)は、テクノロジーとプロセスという組合せを網羅する包括的な用語です。 1つ目のアイデンティティガバナンス(アイデンティティガバナンスと管理、またはIGAとも言われる)は、アクセス権ポリシーの管理、ユーザーアクセス権のプロビジョニング、そしてアクセス権のルール/リスク/アクティビティの分析に関連しています。2つ目のアクセス権管理は、認証、シングルサインオン、パスワードのリセットなど、リアルタイムでアクセス権を制御するテクノロジーで構成されています。Identity-as-a-Service(IDaaS)は、クラウドから提供されるIdMテクノロジーを指します。

新しい働き方の課題

以前のアイデンティティ管理ツールとプロセスは比較的単純なシナリオに対応した仕様でした。:正社員が、企業オフィスで、ノートパソコンまたはデスクトップを用いて、企業ネットワークで、組織のデータセンター内に構築されたアプリケーションにアクセスするというシナリオです。しかし、私たちの働き方が変化したことで、ユーザーアクセス権の統制が以前にも増して課題になっています。また、セキュリティやコンプライアンスにとっても、ますます重要な問題になっています。

様々なユーザータイプ

この10年間で、請負業者、サプライヤー、ビジネスパートナー、そして顧客へ提供される主要ビジネスアプリケーションへのアクセス権はますます広範囲にわたるようになりました。

セキュリティ維持のため、組織はこれらのユーザーに対し、正社員よりも制限の厳しいアイデンティティ・ガバナンス・ポリシーを適用する必要があります。なぜなら、組織でのこれらのユーザーの「ライフサイクル」は 数年ではなく、数週間、数か月というごく短期間の場合があり、彼らの権限はより頻繁なレビューや取り消しが必要となるからです。

BYODとシャドーIT

個人所有デバイスの持ち込み(BYOD)のせいで、個々の従業員が持ち込む何千ものデバイスを、安全に管理しなければならない状況が発生しています。 不明なデバイスの登録、必要なアプリ(セキュリティアプリを含む)のプロビジョニング、そしてそのようなデバイスからの企業アプリケーションへのアクセス権が、組織のポリシーに従って制御されているか確認することが課題となっています。。

もう一つの大きな課題は、シャドーITです。これは、従業員や部署が、IT部門の知らないところで、SaaS(Software-as-a-Service)アプリケーションを利用してしまうことを指します。 多くの場合、このような行動は、アプリケーションへのアクセス取得が困難で、時間がかかり過ぎるという認識によって引き起こされます。 これらの アプリケーションが保存するデータへのアクセス権をIT部門が監視・制御できない場合は、セキュリティとコンプライアンスの両方が脅かされます。 従業員が適切な行動を簡単にとれるように、組織は承認されたアプリケーションへのアクセス権を簡素化する必要があります。

クラウドコンピューティング

最近の調査では、2020年までに、コンピューターを使った作業の92%が、クラウドデータセンターで処理されると予測されています。1 通常、企業によるクラウドプラットフォームやSaaSアプリケーション内での企業のアイデンティティ情報およびイベントへのアクセス権は限定されていることが多いため、ビジネスアプリケーションのクラウドへの移行は大きな課題です。

加えて、ほとんどの組織はハイブリッド環境を管理しているため、オンプレミスとクラウドアプリケーション全体に渡って全てのアイデンティティデータに、単一で一貫したビューが必要になります。さらに、企業はクラウドプラットフォームと従来の企業データセンターのどちらも含めて環境全体で、アクセス権の許可をモデル化、プロビジョニング、監視、および取り消し可能にしたいと考えています。

非構造化データ

既存のアイデンティティ・ガバナンス製品のほとんどは、構造化データを処理するように設計されています。 しかし、業界アナリスト企業のIDCは、デジタル情報の90%が、ドキュメント、ビデオ、その他の種類のファイル、電子メールメッセージ、ブログ投稿、メッセージングおよびチャットセッションなどの、非構造化データで構成されていると推定しています。

今日、最も深刻なセキュリティリスクには次のような状況で発生するものがあります:

  • 営業部門のリーがSalesforceから顧客リストをダウンロードし、それを電子メールメッセージに添付する際。
  • HRのアルナブが給与や社会保障番号などの従業員情報をスプレッドシートにダウンロードし、SharePointサーバーに保存する際。
  • エンジニアリング部門のサリーが製品設計ファイルをDropboxにアップロードし、サプライヤーをそこへ招待する際。

組織はこれらのリスクを管理するために、大量の非構造化データを追跡し、機密情報が含まれているファイルとフォルダーを特定し、誰がどの情報へのアクセス権を所有しているかを制御しなくてはなりません。

アイデンティティ・ガバナンスのメリット

リスクの軽減とセキュリティの向上

アイデンティティ・ガバナンスのテクノロジーとプロセスは、ユーザーが必要とするコンピューター上のリソースのみに限定したアクセス権を付与するように設計されています。この「知る必要があるユーザーのみが知る」というアクセス権へのアプローチは、セキュリティ侵害のリスクを軽減します。また、ハッカーがユーザー認証情報を入手したり、内部関係者が不正を犯す場合に発生し得る被害を最小限に抑えます。

アイデンティティ・ガバナンスのプロセスは、ハッカーが悪用する次のような一般的な弱点を企業が排除する上で役立ちます:

  • 脆弱なパスワード
  • 孤立アカウント(元従業員の休眠アカウント)
  • 権限のクリープ(従業員が異動する度に蓄積される過剰なアクセス権)
  • 職務分離(SoD)ポリシーの違反(個人が不正を犯すことができないように責任を分割する制御手段)

自動コンプライアンス

SOX法、HIPAA、PCI DSS、EU GDPRなど、多くの政府基準や業界規制は、必要のある人間だけが機密情報へのアクセス権を所有するようにポリシーおよびIT制御を実施していることを証明するよう企業に対して求めています。

組織は、しかるべきポリシーと制御を実施するだけでなく、これらの環境が整っており、適切に機能していることを証明する必要があります。 これを文書化しようとすると、膨大な費用と時間がかかる恐れがあります。

アイデンティティ・ガバナンスのツールは、アクセス権棚卸のプロセスを自動化し、監査に必要な豊富なレポート機能を提供します。

SailPointホワイトペーパー「Get Compliant and Stay Compliant」は、コンプライアンスを向上させるためのアイデンティティガバナンス使用に役立つアドバイスを提供しています。こちらでご覧になれます。 https://www.sailpoint.com/ja/resources/get-compliant-and-stay-compliant/.

従業員のエンパワーメントと生産性の向上

アイデンティティ・ガバナンスソリューションは、従業員が必要とするアプリケーションとシステムへ、必要とするときにアクセスできるようにします。

最高のアイデンティティ・ガバナンスツールは、次のことも実現します:

  • 忘れてしまったパスワードをリセットし、新たなアクセス権を申請するセルフサービス機能を持たせることで、エンドユーザーの生産性を向上
  • アクセス権限の棚卸に費やす時間を削減することで、ビジネスマネージャーの生産性を向上
  • パスワードのリセットとアクセス権申請に関するヘルプデスクへの問い合わせを最小限にすることで、ITスタッフの生産性を向上

本ガイドの次の2つの章では、アイデンティティ・ガバナンスがこれらのメリットをどのように実現させるかを見ていきます。

  1. フォーブス: モノのインターネットとビッグデータで、私たちのあらゆる行動の92%がクラウドで行われるようになる

アイデンティティ・ガバナンスの力

SailPointがどのようにあなたの組織に役立てるかをご覧ください。

*必須フィールド

このフォームを送信することにより、お客さまは、SailPointのWebサイトの使用に、 SailPoint Technologies のプライバシーステートメントが適用されることを理解し、これに同意したことになります。