不正アクセスの防止策として有効な「IAM」(IDおよびアクセス管理)。近年、IAMに関するさまざまな変化が起きている。知識をアップデートするための主要トレンドをまとめた。
ID(アイデンティティー)をはじめとする認証情報を狙った攻撃が巧妙化している。ID流出のリスクを軽減するためには、「IAM」(IDおよびアクセス管理)の取り組みが重要だ。IAMを巡るトレンドとして何を押さえておくべきなのか。本稿は、調査会社やコンサルティング会社などのセキュリティ専門家が予測するIAMトレンドのうち、1つ目から5つ目までを紹介する。
IDが付与されるのは、人間のユーザーだけではない。デバイスや仮想マシン(VM)、サービスアカウント(自動化されたプロセスやアプリケーション用のアカウント)、API(アプリケーションプログラミングインタフェース)などもIDを持っている。これらのIDを「マシンID」や「ノンヒューマン(非人間)ID」と呼ぶ。マシンIDも攻撃の標的になりかねないので、その管理を他のIDと同様、IAMの施策に取り入れる必要がある。
「クラウドサービスと自動化技術の普及により、アクセス数が大きく増えている」と、調査会社Gartnerのセキュリティアナリスト、フェリックス・ゲートゲンス氏は指摘する。そのため、新しいマシンIDが次々と作成され、管理が複雑化しつつあると同氏は言う。十分に保護されていないマシンIDは攻撃者にとって格好の標的だ。「データ漏えいの大半は人間ではなく、マシンIDの侵害から始まる」(同氏)
米Informa TechTargetの調査部門Enterprise Strategy Group(ESG)のシニアアナリスト、トッド・ティーマン氏によると、組織にとってマシンIDの管理強化は喫緊の課題だ。マシンIDが攻撃されたら、インシデントへの平均応答時間が長くなり、システム回復に時間がかかる場合があると同氏は述べる。IAMツールを使えば、マシンIDを把握して保護策を講じられる。
社内外を問わず、全てのユーザーやデバイスを「信頼できないもの」として扱うのが、「ゼロトラストセキュリティ」の考えだ。近年、ゼロトラストセキュリティは技術が進化し、実装が広がっている。ゼロトラストセキュリティを取り入れれば、脅威により包括的に対抗し、継続的に攻撃のリスクを減らせる。
ゼロトラストセキュリティの一環として、「アクセスのコンテキスト(関連情報)の検証が重要になっている」。そう語るのは、コンサルティング会社General Dynamics Information Technology(GDIT)のバイスプレジデント、マシュー・マクファデン氏だ。コンテキストとは具体的に、「勤務時間内のアクセスなのか、勤務時間外のアクセスなのか」「いつもの場所からのアクセス要求なのか、例えば海外からのアクセス要求なのか」といった情報だと同氏は説明する。
コンテキストの検証にとどまらず、「デバイスの健全性の検証も必要だ」(マクファデン氏)。アクセスしようとしているデバイスに全てのパッチ(修正プログラム)が適用されているか、エンドポイントセキュリティが導入されているか、といったことを検証しなければならないという。
人工知能(AI)技術にIAM関連作業の一部を任せることで、セキュリティ担当者の負担を軽減できる。ESGのティーマン氏は、権限管理やリスク評価にAI技術が特に役立つとみる。現時点で、AI技術の正確性を巡ってまださまざまな議論がある。しかし、「AI技術を導入すれば、手作業を軽減し、迅速に評価を実施できるのは確かだ」と同氏は指摘する。
IAMはインフラセキュリティだけではなく、アプリケーションセキュリティやエンドポイントセキュリティなど、さまざまな分野で重要だ。IAMの取り組みを各分野で実施するに当たり、IAM専門の担当者がリーダシップを発揮し、IAM専門でない人にサポートを提供する必要がある。IAMに取り組む第一歩として、「それぞれの分野の適切なセキュリティポリシーの策定が欠かせない」と、Gartnerのゲートゲンス氏は語る。
データの暗号化はIDセキュリティの中核だ。しかし近年は量子コンピューティング(量子力学を用いて複雑なデータ処理を実施する技術)の開発が進み、量子コンピューティングによって暗号化されたデータの解読が可能になる懸念が出てきている。組織は量子コンピューティングの商用化に備え、量子コンピューティングを使っても解読できない新しい暗号化の方法を探らなければならない。
現時点で量子コンピューティングの商用化の時期は未定だ。米国立標準技術研究所(NIST)は2016年、量子コンピューティングの悪用を想定した新しい暗号化技術の開発に着手。2024年に「ポスト量子暗号」(PQC:Post-Quantum Cryptography)のアルゴリズムを公開した。「組織はシステム全体において、PQCアルゴリズムを実装することが大切だ」とGDITのマクファデン氏は述べる。
後編は、6つ目からのトレンドを取り上げる。
米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
ITmediaはアイティメディア株式会社の登録商標です。
