社員もクラウドもAIも侵入口に……「ID境界」の“7大リスク”と守り方：新たな境界は「アイデンティティー」【後編】

企業が自社の重要な資産を守る上で、重要な境界はネットワークではなく「アイデンティティー」（ID）になりつつある。経営の視点からもIDセキュリティを優先すべき理由と、そのために必要な具体策を整理する。

[Sean Michael Kerner，TechTarget]

　企業が自社の重要な資産を守る上で、もはやネットワークの境界を防御しているだけでは十分ではない。取引先や従業員、さらにはIoT（モノのインターネット）機器やAI（人工知能）エージェントまで、あらゆる「アイデンティティー」（ID）が企業の資産にアクセスするための入り口となる。

　IDセキュリティの欠如は経営リスクにも直結し得る重大な問題を引き起こす可能性があるので、企業のIT部門だけではなく経営層までを含めて、自社における脆弱（ぜいじゃく）性の有無と対策の方法を押さえておくことが欠かせない。

企業が認識すべきIDセキュリティの主要リスク

併せて読みたいお薦め記事

連載：新たな境界は「アイデンティティー」

• 防御の境界はもうネットワークではなく「アイデンティティー」である必然の理由

IDセキュリティの今

• 「パスワードレス認証とは」の前に考える、企業のセキュリティが甘過ぎた実態
• パスワードを使わない「パスワードレス認証」が“より安全”になるのはなぜ？

　IDセキュリティはIT部門の課題にとどまらず、経営判断に直結する重要テーマだ。その欠如は、法令違反による制裁から企業価値や信頼の毀損（きそん）まで、多方面で深刻な影響を及ぼす。経営層やIT部門が注視すべき主なリスク要因は以下の通りだ。

• 規制コンプライアンス
  • 取締役会は規制順守の確保のため受託責任を負う。以下のような、多数の業界規制が存在する。これらの規制にはサイバーセキュリティ要件が含まれており、違反した場合、金銭的制裁を受ける可能性がある。
    • HIPAA（米国医療保険の相互運用性と説明責任に関する法令）
    • サーベンス・オクスリー法（SOX法）カリフォルニア州消費者プライバシー法（CCPA）
    • 一般データ保護規則（GDPR）
• 侵害による金銭的リスク
  • IBMの「2024年データ侵害コストレポート」によると、侵害1件当たりの平均コストは世界全体で488万ドルだった。IDおよびアクセス管理（IAM）の導入により、平均18万ドルのコスト削減が見込まれる。
• 合併および買収や監査への影響
  • IDセキュリティが不十分な場合、買収側はデューデリジェンス（適正評価手続き）の一環として、サイバーセキュリティ能力をより厳しく精査する。そのため、M&Aにおける組織評価低下の恐れがある。同様に、ID管理に関する監査結果はステークホルダーの信頼を左右し得る。
• ブランド信頼の低下
  • IDセキュリティはセキュリティ対策全体の要となる。IDで生じたギャップがセキュリティインシデントにつながると、エンドユーザーや顧客からの信頼低下につながる恐れがある。
• 第三者リスク
  • 多くの組織は契約者やサプライチェーンの構成要素として第三者に依存している。こうした第三者のIDが侵害されると、組織に新たなリスクが発生し得る。
• シャドーITのリスク
  • IT部門が関与しないIT活用「シャドーIT」の最大のリスクは、その存在が把握されていない点にある。ID管理は未知のリスクに対する可視性を提供し、影響を最小限に抑える役割を果たす
• 非人間エンティティーの存在
  • IDを必要とするのは人間のユーザーだけではない。現在は多様な機械やAIエージェントが企業リソースにアクセスしており、こうした非人間エンティティーのIDも取締役会レベルで注目されている。
• 経営層に対するリスク
  • IDセキュリティの不備により重大な情報漏えいが発生した場合、取締役会メンバーや経営幹部は個人的な責任追及や評判の毀損といったリスクにさらされる可能性がある。

ID境界を防御するために優先すべき事項

　ID境界の防御は、単一の製品やサービスの導入ではない。現実の脅威を踏まえた上でリスクを低減し、企業のリソースへの安全なアクセスを保証する包括的な戦略構築の必要がある。

　ID境界を効果的に守るには、深刻な脆弱性や攻撃ベクターに対処する以下の主要なアクションに注力しなければならない。

堅牢（けんろう）なIAMおよびIGAへの投資

　IAMとIGA（IDガバナンスと管理）は、ID境界の防御と保護における基盤となる。組織は両サービスを評価および選定し、導入が不可欠だ。

　適切にIAMを展開すればID管理を集約でき、全システムと業務フローにわたって統一されたポリシーを策定し、適用できる。IGAは、各IDに付与された実際のアクセス権限も含む全体像を可視化し、アクセスパターンと潜在的なセキュリティ違反をリアルタイムで監視する。

PAMの導入

　標準的なIAMを補完し、昇格権限を持つ高リスクアカウント保護のために特権アクセス管理（PAM）を導入しなければならない。PAMは、管理者アカウントや機密システムへのアクセスに対する追加制御を提供する。

包括的なIDガバナンスフレームワークの構築

　IAMおよびIGAを活用し、IDを管理する明確なポリシーと手順を確立する必要がある。これには、古く未使用となったIDの適切な削除（デプロビジョニング）や定期監査の実施が含まれる。時間の経過とともに不要または過剰な権限が蓄積したユーザーを特定し修正するため、自動化されたアクセス権レビューの実施も重要である。

企業内IDとクラウドIDの交差点を理解する

　多くの組織にとって大きな弱点は、オンプレミスとクラウドでIDが分断管理されている点である。この隔たりを解消するには、IAMやIGAを通じてIDを統合的に管理する仕組みも組み込む必要がある。シングルサインオン（SSO）やIDフェデレーション管理といった技術が、その実現を支援する。

MFAの導入

　多要素認証（MFA）はID保護の核心となる。ユーザー名と単一のパスワードだけでは攻撃に対抗できない。サイバー攻撃者はデータ侵害やフィッシングなど多様な手法で認証情報を容易に窃取できる。MFAによる追加認証層を加えて攻撃への耐性を高めることが欠かせない。

従業員の意識向上とトレーニングの強化

　従業員には、自身のIDを適切に管理するベストプラクティスを教育すべきだ。具体的には、フィッシング攻撃のリスクを認識させるとともに、MFAの重要性を理解させることが含まれる。

非人間エンティティーへの対応

　IoTデバイスやエージェント型AI、サーバ、API（アプリケーションプログラミングインタフェース）など、人間以外の要素も企業のリソースにアクセスする存在となる。異常行動が検知できる自動化された脅威検出や対応機能を通じて、そうした要素を積極的に管理および監視する必要がある。