不正アクセスの防止策として有効な「IAM」(IDおよびアクセス管理)。近年、IAMに関するさまざまな変化が起きている。知識をアップデートするための主要トレンドをまとめた。
ID(アイデンティティー)をはじめとする認証情報を狙った攻撃が巧妙化している。ID流出のリスクを軽減するためには、「IAM」(IDおよびアクセス管理)の取り組みが重要だ。IAMを巡るトレンドとして何を押さえておくべきなのか。本稿は、調査会社やコンサルティング会社などのセキュリティ専門家が予測するIAMトレンドのうち、1つ目から5つ目までを紹介する。
IDが付与されるのは、人間のユーザーだけではない。デバイスや仮想マシン(VM)、サービスアカウント(自動化されたプロセスやアプリケーション用のアカウント)、API(アプリケーションプログラミングインタフェース)などもIDを持っている。これらのIDを「マシンID」や「ノンヒューマン(非人間)ID」と呼ぶ。マシンIDも攻撃の標的になりかねないので、その管理を他のIDと同様、IAMの施策に取り入れる必要がある。
「クラウドサービスと自動化技術の普及により、アクセス数が大きく増えている」と、調査会社Gartnerのセキュリティアナリスト、フェリックス・ゲートゲンス氏は指摘する。そのため、新しいマシンIDが次々と作成され、管理が複雑化しつつあると同氏は言う。十分に保護されていないマシンIDは攻撃者にとって格好の標的だ。「データ漏えいの大半は人間ではなく、マシンIDの侵害から始まる」(同氏)
米Informa TechTargetの調査部門Enterprise Strategy Group(ESG)のシニアアナリスト、トッド・ティーマン氏によると、組織にとってマシンIDの管理強化は喫緊の課題だ。マシンIDが攻撃されたら、インシデントへの平均応答時間が長くなり、システム回復に時間がかかる場合があると同氏は述べる。IAMツールを使えば、マシンIDを把握して保護策を講じられる。
社内外を問わず、全てのユーザーやデバイスを「信頼できないもの」として扱うのが、「ゼロトラストセキュリティ」の考えだ。近年、ゼロトラストセキュリティは技術が進化し、実装が広がっている。ゼロトラストセキュリティを取り入れれば、脅威により包括的に対抗し、継続的に攻撃のリスクを減らせる。
ゼロトラストセキュリティの一環として、「アクセスのコンテキスト(関連情報)の検証が重要になっている」。そう語るのは、コンサルティング会社General Dynamics Information Technology(GDIT)のバイスプレジデント、マシュー・マクファデン氏だ。コンテキストとは具体的に、「勤務時間内のアクセスなのか、勤務時間外のアクセスなのか」「いつもの場所からのアクセス要求なのか、例えば海外からのアクセス要求なのか」といった情報だと同氏は説明する。
コンテキストの検証にとどまらず、「デバイスの健全性の検証も必要だ」(マクファデン氏)。アクセスしようとしているデバイスに全てのパッチ(修正プログラム)が適用されているか、エンドポイントセキュリティが導入されているか、といったことを検証しなければならないという。
人工知能(AI)技術にIAM関連作業の一部を任せることで、セキュリティ担当者の負担を軽減できる。ESGのティーマン氏は、権限管理やリスク評価にAI技術が特に役立つとみる。現時点で、AI技術の正確性を巡ってまださまざまな議論がある。しかし、「AI技術を導入すれば、手作業を軽減し、迅速に評価を実施できるのは確かだ」と同氏は指摘する。
IAMはインフラセキュリティだけではなく、アプリケーションセキュリティやエンドポイントセキュリティなど、さまざまな分野で重要だ。IAMの取り組みを各分野で実施するに当たり、IAM専門の担当者がリーダシップを発揮し、IAM専門でない人にサポートを提供する必要がある。IAMに取り組む第一歩として、「それぞれの分野の適切なセキュリティポリシーの策定が欠かせない」と、Gartnerのゲートゲンス氏は語る。
データの暗号化はIDセキュリティの中核だ。しかし近年は量子コンピューティング(量子力学を用いて複雑なデータ処理を実施する技術)の開発が進み、量子コンピューティングによって暗号化されたデータの解読が可能になる懸念が出てきている。組織は量子コンピューティングの商用化に備え、量子コンピューティングを使っても解読できない新しい暗号化の方法を探らなければならない。
現時点で量子コンピューティングの商用化の時期は未定だ。米国立標準技術研究所(NIST)は2016年、量子コンピューティングの悪用を想定した新しい暗号化技術の開発に着手。2024年に「ポスト量子暗号」(PQC:Post-Quantum Cryptography)のアルゴリズムを公開した。「組織はシステム全体において、PQCアルゴリズムを実装することが大切だ」とGDITのマクファデン氏は述べる。
後編は、6つ目からのトレンドを取り上げる。
米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。
セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。
年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。
従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。
2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。