~企業の3/4がセキュリティインシデントを経験、
アイデンティティ・アクセス権限の可視化と自動化、ガバナンスが課題に~
2022年10月14日、企業向けアイデンティティ・セキュリティのリーダーであるSailPoint Technologies Holdings, Inc. (以下「SailPoint」)の日本法人SailPointテクノロジーズジャパン合同会社(東京都港区、社長 藤本 寛、以下「SailPoint テクノロジーズジャパン」)は、株式会社アイ・ティ・アール(所在地:東京都新宿区、代表取締役:三浦 元裕、以下「ITR」)と「企業におけるセキュリティおよびアイデンティティ・ガバナンス実態調査 2022」(以下「本調査」)を共同実施し、その結果をまとめたホワイトペーパー「デジタル&サステナブル時代に求められるアイデンティティ・ガバナンス」を公開しました。
調査概要
調査名: 企業におけるセキュリティおよびアイデンティティ・ガバナンス実態調査 2022
実施期間:2022年8月17日~8月22日
調査方法:ITRの独自パネルを対象としたインターネット調査
調査対象:国内企業 (ITベンダーとシステムインテグレータ、また官公庁・公共を除く) において、自社のIT戦略またはアイデンティティ/セキュリティ/アクセス管理に関与している部次長以上の役職者・役員ならびに経営者
有効回答数:379件
調査実施の背景
新型コロナウイルス感染症のパンデミック宣言以降、働き方改革や新たなワークスタイルが促進され、在宅勤務も急速に普及しました。この2年間で社会・産業のデジタル化が進展するなか、デジタル変革の推進に積極的に取り組む企業が増えています。その結果、SaaS、IaaS、PaaSなどのクラウドサービス利用が拡大するだけでなく、非構造化データ*¹のクラウドサービス経由の利用も増加しています。セキュリティの守備範囲が広がったことで、ほぼ4分の3の企業がなんらかのセキュリティインシデントを経験していることが本調査より判明しています。企業は従来の境界型防御に加えてゼロトラストセキュリティにも対応していかなければなりません。
こうした時代背景のもと、企業はセキュリティや情報漏洩対策ならびにアイデンティティ・アクセス権限管理の強化にどのように取り組んでいるのかに焦点を当て、本調査を実施しました。
*¹ 非構造化データ:Excel、PowerPoint、Word等で作成する文書や、画像、動画など容量の大きなデータ、SNSなどのビッグデータの総称
クラウド利用拡大に伴うIT投資の今後の課題
企業のIT投資目的は、この2年間でITコスト削減から顧客満足度向上、デジタル変革の推進に充てられる傾向が強くなっています。本調査において、ITコスト削減が目的の投資は過去12か月間の29%から今後は19%に減少し、減少分はビジネスへの貢献などに配分される見込みです。その一方で、クラウドサービスの利用拡大に伴って増加するセキュリティリスク低減への投資は依然として相対的に低く、懸念の残る結果となりました。
セキュリティリスクの低減に欠かせないのが、全ユーザーアクティビティと全てのデータアクセスに対する可視性の確保です。これはSaaS、IaaS、非構造化データといったシステム環境に関わりなく重要であり、可視性なくしてセキュリティおよびアイデンティティ・ガバナンスを強化することはできません。可視性の確保に当たっては、システム環境や用途を問わずアイデンティティ・アクセスを包括的に管理できる基盤を整備するためのIT投資が必要となります。
ITRでプリンシパル・アナリストを務め、本調査結果を分析した浅利浩一氏は、次のように述べています。
「この2年間でSaaS、IaaS、非構造化データの全ての領域でクラウド利用が拡大しました。多くのクラウドアプリケーションが採用されただけでなく、それまでは社員だけが取得していたアカウントを協力会社やパートナー企業の社員も取得するようになったため、アイデンティティ/アカウントの数は急激に増大しました。
クラウド利用の拡大はリスクも伴います。業務やシステムのデジタル化が進むことで、セキュリティリスクの範囲も広がりますが、セキュリティ対策が追いついていないことが懸念されます。企業にはセキュリティやガバナンス向上を図るためのIT投資検討が求められます。
もう一つの懸念は、アイデンティティ・アクセス管理やレポート作成などの業務を手作業で行なっている企業が多いことです。デジタル改革をさらに進めるためにも、こうした業務の自動化は不可欠です。ユーザーアクティビティやデータアクセスの可視化と併せて、自動化も促進していくべき項目の一つです」
SailPointテクノロジーズジャパン社長兼本社バイスプレジデントの藤本 寛は、次のように述べています。
「企業の業務がクラウドへ移行し、デジタル化が進むなか、アイデンティティを軸としたセキュリティの再考、アイデンティティ・ガバナンスの強化がいっそう求められるようになりました。クラウドへの移行によってアイデンティティ数はいっそう増加し、もはやこれまでのアイデンティティ管理はすでに限界を超えて、レガシーとなっているケースが多々あります。SailPoint のアイデンティティ・プラットフォームを活用すれば、ユーザーが持つ多くのアイデンティティを包括的に可視化できるだけでなく、過剰な権限を修正するなどの管理業務を自動化し、企業はデジタルシステムを活用して生産性を向上させながら安全性も同時に実現できます。私たちSailPointは、今後も日本企業のアイデンティティ・ガバナンス強化に貢献していきます」
主な調査結果
日本社会全体で経済活性化と感染対策の両立を模索するなか行われた本調査と、調査をまとめたホワイトペーパー「デジタル&サステナブル時代に求められるアイデンティティ・ガバナンス」には、働き方改革や新たなワークスタイルを促進する企業のITへの取り組みの姿勢やIT投資の変容が端的に現れています。
ホワイトペーパーは、調査結果を以下のように「企業ITとアイデンティティ・セキュリティ全般」「SaaS」「IaaS」「非構造化データ」の4つの分野に大別して、直面する課題に企業がどう取り組んでいるかについて解説しています。
1. 企業ITとアイデンティティ・セキュリティ全般
過去12ヶ月間および今後12ヶ月間のIT投資の目的を比較したところ、「ITコストの削減」が29%から19%に減少し、反対に「顧客サービスおよび顧客満足度の向上」が20%に上昇しています。この変化は注目に値しますが、「セキュリティリスクの低減」「データ・プライバシーリスクの低減」の2つは変わらず投資目的としての優先順位が低く、企業のセキュリティ関連の投資配分が少ないことには懸念が残ります(図1)。
図2は、「アイデンティティ/アカウントの数が増えている理由」に対する回答を集計したものです。「アイデンティティの数は増えていない」はわずか6%に過ぎず、多くの企業が「より多くのクラウドアプリケーションの採用」「協力会社やパートナー企業の社員/アカウントの増加」を選択しています。これは、この2年間のデジタルテクノロジの急速な普及と、デジタル変革やイノベーションを支援する外部人材の活用の増加を象徴しています。
セキュリティインシデントについての質問に対して、「過去12ヶ月間にセキュリティインシデントはない」との回答は26%に過ぎません。ほぼ4分の3の企業がなんらかのインシデントを経験しています(図3)。前述のとおりセキュリティリスクやデータ・プライバシーリスクを低減するIT投資の優先順位が低いことから、不適切・不十分なアイデンティティ管理がセキュリティインシデントにつながっていることも十分考えられます。
図1 IT投資の目的の変化
図2 アイデンティティ/アカウント数の増加理由(複数回答)
図3 過去12ヶ月で経験したセキュリティインシデント(複数回答)
2. SaaSに関する調査結果
ITRが毎年行っている国内ERP市場調査の最新版「ITR Market View:ERP市場2022」では、2025年には新規導入基幹系業務システムのSaaS利用が63.4%を占めると予測しています。本調査でも2025年には企業の基幹系業務システムの半分程度はSaaS化されるであろうことが読み取れます(図4)。
図5は、基幹系業務システムのSaaS化について、導入に当たって解決すべき課題を質問したものです。他の選択肢を大きく上回る「全てのユーザーアクティビティと全てのデータアクセスに対する可視性の欠如」と「アプリの設定(ファイル、ユーザー、グループ設定など)の一貫した管理」は、アイデンティティ・アクセス権限の可視化の課題を表しています。この2つに次いで17.2%と高い比率を占めているのが、「使用中の全てのSaaSアプリの把握」です。部門独自で利用されている管理部門が把握していないSaaSアプリ、いわゆるシャドーITをいかに管理するかというガバナンスの課題です。
図4 2025年までにSaaS化されるエンタープライズアプリケーション
図5 SaaS環境で解決すべき最大の課題
3. IaaSに関する調査結果
複数のIaaSの利用や、利用範囲が広がったときに発生するインシデントの頻度を質問したところ、「サイバーセキュリティ攻撃(DDoS、持続的標的攻撃など)」と「コンプライアンス上の問題(不適切な人に対するアクセス権付与、違反など)」が、大きな比率を占めました(図6)。SaaS同様に、アイデンティ・アクセス権限の可視化とガバナンスの課題が懸念されています。
ガバナンスの一貫として「IaaS環境に関するアクセスレポートの作成方法」について質問したところ、全て自動化できている企業は26%と多くないことがわかりました(図7)。手作業への依存度が高く、担当者の負担が高いままIaaSの利用が拡大すれば、ヒューマンエラーが発生する危険が高まります。アクセスレポートの作成を含めて、IaaS運用の可視化とガバナンスを支援する自動化の検討が必要です。
図6 IaaS環境で発生したインシデント(複数回答)
図7 IaaS環境のアクセスレポートの作成方法(複数回答)
4. 非構造化データに関する調査結果
非構造化データのクラウド移行状況について質問したところ、すでに「非構造化データはクラウドへ移行済み」は12%ですが、「全ての非構造化データはオンプレミスで継続」する選択肢は5%に過ぎず、非構造化データの利用環境は明らかにオンプレミスからクラウドに主流が移る過程にあると言えます(図8)。
また非構造化データ環境においてデータを喪失したことがある企業が45%、データへの不正アクセスを経験した企業が44%あることが判明しています。図9は、IAM(Identity and Access Management)やAD(Active Directory)などのアクセス管理ツールを利用して、どの程度非構造化データを可視化できているかを確認した結果です。「付与されているデータアクセス権限」と「アクセスレベル(セキュリティレベルなど)」が50%を上回る一方で、「名前」は30%、「部門」は23%、「役職」は18%に過ぎません。アクセス管理ツールを利用しても、「どこの」「だれが」といったアイデンティティ情報を十分に管理できていないことが浮き彫りになりました。
図8 非構造化データのクラウド移行状況
図9 ツールから得られる非構造化データのコンテキスト情報
■ホワイトペーパーのダウンロードはこちらから:
https://www.sailpoint.com/ja/identity-library/identity-governance-in-digital-and-sustainable-era
■SailPointについて
SailPointは、アイデンティティ・ガバナンス管理サービスプロバイダーのリーダーで、企業にあるすべてのアイデンティティ(ID)を一元的に可視化し、ID管理業務の自動化を実現する、AIや機械学習を活用したクラウド型アイデンティティ管理ソリューションを提供します。SailPointのアイデンティティプラットフォームは既存のシステムやワークフローを統合し、企業の管理に伴う膨大な時間とコストを削減すると同時に、最小権限の原則の徹底によりコンプライアンス遵守や情報漏洩等のセキュリティリスクから守り、企業のデジタルガバナンスを強化します。SailPoint は、世界中の企業がアイデンティティ・セキュリティを基盤としたセキュリティの基礎を築くサポートをします。
詳細はhttps://www.sailpoint.com/ja/をご覧ください。
【本件に関するお問い合わせ先】
株式会社井之上パブリックリレーションズ
SailPoint PR担当:ペティ、大浦、白川
TEL: 03-5269-2301 E-mail: [email protected]