【ウェビナー】JNSAデジタルアイデンティティWG ミニウェビナー第6回「CISOとアイデンティティ」

昨今、デジタルトランスフォーメーション（DX）に伴うデータ活用の拡大やビジネス環境の変化、サイバー脅威によるビジネスインパクトの高まりを受け、企業経営においてCISO（最高情報セキュリティ責任者）が担う役割の重要度が増してきています。
CISOが、DXを見据えた情報セキュリティ戦略を検討するにあたり「アイデンティティ管理」をどうするかは重要な課題です。しかし、DX推進などに資する新たなソリューションの導入・運用などに力が注がれる一方で、このアイデンティティ管理が疎かになっているケースも見受けられるのが現状です。

こうした状況を背景に、JNSAデジタルアイデンティティWGはミニウェビナーシリーズ「？？？とアイデンティティ」の第6回として、「CISOとアイデンティティ」を開催。
パネリストとしてJNSAデジタルアイデンティティWGの相馬乃亜氏（デロイト トーマツ サイバー合同会社）と株式会社ソリトンシステムズ 荒木粧子、MCとしてJNSAデジタルアイデンティティWGでミニウェビナーの企画・運営を務める佐藤公理氏（SailPoint Technologies Japan合同会社）が登壇し、これからのアイデンティティ管理やCISOの役割についてディスカッションを行いました。

この記事では、本セミナーの概要と、両パネリストが実施した講演やディスカッションの内容についてご紹介します。

「デジタル社会の基礎となるアイデンティティ管理の重要性を伝えたい」という背景からウェビナーを企画

本セミナーを主催したJNSAデジタルアイデンティティWGは、「デジタルアイデンティティ」に関するさまざまな課題について、検討や意見交換を行うことを目的とするJNSAのワーキンググループです。

本ワーキンググループでは、ゲストを招いて外部向け教育セミナーを実施したり国内外の各種ガイドラインを読み解いて議論を行ったりと、デジタルアイデンティティ管理に関する普及・啓発活動に取り組んでいます。

最近では、「企業におけるアイデンティティ管理」をテーマに掲げ、アイデンティティの重要性を語るミニウェビナーシリーズ「？？？とアイデンティティ」を実施してきました。各テーマの有識者によるディスカッションを後日YouTubeでも視聴できる人気のシリーズとなっています。

企画背景について、佐藤氏はこう話します。

“JNSAデジタルアイデンティティＷＧでは2021年に、エンタープライズアイデンティティに関する課題とゼロトラストをテーマにしたオンラインセミナーを実施しました。このセミナーは500名以上の方にご視聴いただき大変好評でした。しかし、アイデンティティ管理の重要性の訴求や認識の広まりはまだまだ不十分だという課題感は常に感じていました。そこで、2022年度は全6回に渡るウェビナーでアイデンティティ管理の重要性を伝えようということで、今回のウェビナーの企画・実施に至りました。”

そして、最終回である第6回目となる本セミナーでは、企業の情報セキュリティ戦略の策定や実行を司る「CISO」をピックアップ。
DX推進が叫ばれ、現場対応や具体的なソリューションの導入が急がれる今日において、不十分になりやすい “アイデンティティ管理” の重要性をガバナンス（内部統制）や監査の視点も交えながら伝えるべく、講演・ディスカッションが行われました。

ここからは、本セミナー「CISOとアイデンティティ」におけるパネリストによる講演とディスカッションの概要をご紹介します。詳細については、こちらのセミナー動画をご覧ください。

認証を突破する攻撃が増加中。CISOが考慮すべきアイデンティティ管理のリスク

ここでは、株式会社ソリトンシステムズ ITセキュリティ事業部 エバンジェリスト 荒木 粧子による講演の概要をご紹介します。

リスク①日常的なアカウント漏えい

これまでソリトンシステムズが企業・組織向けに提供した「漏えいアカウント被害調査」サービスでは、2,000超の対象ドメインのうち99.9%において、パスワードを含むアカウント情報の漏えいが確認されています。
登録・利用するクラウドサービスの幅が広がる一方、サービスに登録したアドレスやパスワードは漏えいする可能性が高いと考える必要があります。そして企業・組織の多くは漏えいの事実に気づいておらず、調査を行って初めて被害が認知されるケースも少なくありません。

一度漏えいしたアカウント情報は、インターネット上でコピー・拡散され、メール攻撃や他サービスへの不正アクセスに悪用されます。
これらをふまえて、企業は「ID・パスワードだけでクラウドサービスのアカウント情報を守ることには限界がきている」と認識し、これを前提としたアイデンティティ管理を行うことが求められています。

リスク②多要素認証（MFA）を突破する攻撃の増加

認証をID・パスワードのみに頼らず、高まるセキュリティリスクに対応するために有効な手段として、知識（ID・パスワードなど）・所持（ICカード、デジタル証明書など）・生体（指紋・顔など）の3要素のうち2つ以上を用いて行う「多要素認証（MFA）」が挙げられます。

しかし近年では、この多要素認証を突破する「フィッシング攻撃（AiTM：Adversary in the middle）」が急増。これはフィッシングによって偽サイトにID・パスワードを入れさせ、スマホアプリ認証などをユーザーに促すことで、正規サイトへのログインができる情報を窃取する攻撃で、2021年9月ごろからこのAiTMによるクラウドサービスへの不正侵入被害が問題視されるようになってきました。つまり、「多要素認証をしているから安心」とは言えなくなっている状況であり、これからは偽造が難しいデジタル証明書を組み合わせるなど、“フィッシング耐性のある多要素認証”を実施することが重要となってきています。

これからのアイデンティティ管理に必要な考え方とは

企業や団体の情報資産がクラウドに移りつつあり、フィッシング耐性の低い多要素認証を突破するサイバー攻撃などのリスクも高まる中、「いかにして資産を守るべきか」と悩まれる担当者も多いのではないでしょうか。

情報資産へのアクセスにおけるセキュリティ対策として、「多要素認証」の導入を検討する場合、攻撃耐性が重要なのはもちろんですが、コストや運用面についても考慮が必要です。

どのような認証を選択すべきかは、企業文化や業務のあり方によっても異なってくるでしょう。例えば、照度が低い倉庫やバックヤードでの業務があるお客様の場合、顔認証よりスムーズに認証ができるICカードを選択されたというケースもあります。

「アイデンティティ」はセキュリティの中心に位置するものですが、同時にビジネス・業務の中心にもなり得ます。現場の業務の状況に即したアイデンティティ管理を行うこと、またはアイデンティティ管理をしっかりと行うために業務を設計することを考え、両者のバランスをとっていくことが重要と言えます。

IT環境の変化に伴うアイデンティティ管理の課題

ここからは、デロイト トーマツ サイバー合同会社 Cyber Advisoryの相馬 乃亜氏が行った講演の概要をご紹介します。

アイデンティティ管理の実態

今日では、テクノロジーの進化やDX推進といったビジネス環境の変化を背景に、ソリューションの導入・運用などさまざまな新しい取り組みが急速に進められています。それに伴い、アイデンティティ管理では以下の3項目を実施する必要があります。

1. アイデンティティライフサイクル管理
2. アクセス権限の管理
3. 棚卸し

アイデンティティ管理の重要性を理解し、これらを実施できていると認識されている企業・団体もいらっしゃることでしょう。

しかし実態として、個別で採用したSaaSサービスのアカウントが独自管理になってしまっていたり、データ活用のためにアクセス制限が緩められていたり、棚卸しの頻度が年に1度だけだったり……。「ビジネスファースト」でDXを推し進めた結果、アイデンティティ管理が疎かになってしまっているケースも少なくありません。

DXを推進するうえでアイデンティティ管理に注力すべき理由

ビジネス環境の激しい変化に対応するために「ビジネスファースト」の考え方でDXを推進しているものの、それに伴うアイデンティティ管理が疎かになることのリスクに気がついていない企業が少なからずいらっしゃいます。

また、ビジネスモデルの多様化により組織横断で取り組むプロジェクトが増え、機密情報を含むシステムやデータにさまざまな組織のメンバーがアクセスする状況も多く見られるようになってきました。
このような多様性はビジネスを加速させる一方で、「その機密情報にアクセスできる人はだれか。そのアクセス権限は適切か」を踏まえてコントロールが行われていなければ、ビジネスの成功を脅かすことにもなりかねません。実際に、取引先などのサードパーティを経由した漏えいなども問題となっています。

「誰がどの情報にアクセスするのか」をマネジメントするアイデンティティ管理は、こうしたビジネスの多様化を支えるもの。あらゆる組織のCISOが真っ先に注力すべき領域であることは間違いありません。

CISOに求められる未来に向けたアイデンティティ対策とは

ここまでご説明してきたアイデンティティ管理の実態や課題をふまえると、これからのアイデンティティ管理においては次の4つの対策が必要だといえます。

01.ビジネス・IT施策とアイデンティティ管理の関係性を把握すること
社内におけるDXの重要性の高まりから、急遽採用したシステムのID管理や既存のシステムとの連携が独自管理になっている可能性もゼロとは言い切れません。まずは、「アイデンティティ管理がビジネスやIT施策に対応できているのか」、「レガシーな管理で対応できなくなっている箇所がないか」、関係性を改めて確認しましょう。

02.アイデンティティ管理の実態を把握すること
アイデンティティ管理は「できて当たり前」のものではありません。「現場がどれだけ管理に苦労しているのか」「苦労して対策しながらも、漏れが生じている部分はないか」など、実態とリスクをあるがままに把握しましょう。

03.アイデンティティ・ガバナンスの実現に着手すること
多くのシステムが一つのID管理の仕組みに依存しているため、変革には多くの時間がかかりますが、後回しにしていては実現することはできません。CISOの手の内で実態を把握できる状態を目指し、できることから仕組みづくりを始めていきましょう。また、ガバナンスは語るだけでは意味がありません。ビジネス現場ではどういったシステムが導入される見込みなのか、それによってどんなセキュリティ対策が必要になりそうかなど、ガバナンスを実現するための具体的なアイデンティティ施策まで深掘りして考えましょう。アイデンティティ施策の展開には時間がかかるため、ガバナンス実現のための施策が決まったら先を見据えて動くことが大切です。

04.アイデンティティ施策の担当者を任命すること
管理を担当する人、認証基盤を担当する人、業務システムを担当する人……と細かく分業が進んでいると、各担当者が「全体最適でのモダナイズ」を自分ごととして捉えることは難しくなります。横串を通して全体最適の施策を検討できる担当者を任命しましょう。特に、アイデンティティ管理は業務の形態などによって変わる可能性があるため、ビジネスの状況も把握できるポジションの社員が担当者になることが望ましいです。

各ビジネスオーナーと対話をしてセキュリティとビジネスを繋ぎながら、このようにアイデンティティ管理の実装に向けて旗を振ることは、CISOという立場だからこそ果たせる役割ではないでしょうか。ぜひ各点を意識してアクションを起こしてみていただければ幸いです。

グローバル化×アイデンティティ管理。CISOに求められる考え方

DX推進と併せて昨今重要度が増しているテーマとして挙げられるのが、「グローバル化を加速させる中でのガバナンス強化」です。

このテーマについて、相馬氏、佐藤氏、荒木はそれぞれ次のように語ります。

“デロイト トーマツが関わっているお客様のケースで言うと、DXに伴い海外の企業様とやり取りする機会が増え、国や言語といった境目がなくなってきているので、CISOをはじめとする管理職の方が現場で適切なID管理ができているかを不安に思われているような印象です。

「ルールだけ決定して、あとは現地企業にお任せ」という状況では、そもそもガバナンス体制があるかどうかすら怪しいですし、国や組織が違えばミッションも異なります。自社独自のルールを設定しても「お客様企業のルールに適した具体的なセキュリティ対策をするまで業務をスタートできない」というような抵抗にあうケースも起こり得ます。

まずは「グローバルガバナンスをどのような組織体制で、どう徹底するのか」の設計から行っていく必要があるでしょう。”（相馬氏）

“インターネットをはじめテクノロジーが発展したことで、世界の真裏の状況までリアルタイムで知れるようになりました。こうした変化を背景に、すでに海外へ進出されている製造業や金融業の企業などを中心として、グローバルオペレーションの必要性が増しているのでしょう。他にも、ここ数年、国内外でセキュリティ動向の変化や関連する法律の改正も起こってきているので、CISOの方にはそういった部分への対応も含めてアイデンティティ管理に取り組んでいただきたいと思っています。”（佐藤氏）

“最近ではインシデントの発端として、気づかずに放置していたアカウントなど「Weakest Link」からの攻撃が増えてきており、対策のためにまずは実態を把握したい、という危機感の高まりを感じています。業務で関わる相手や通信経路が増えれば、その分、Attack Surface（攻撃対象領域）も増えるので、グローバル化が進む組織においては、アイデンティティ管理がさらに重要になっていると考えています”（荒木）

企業のビジネスを促進させるために。アイデンティティ管理に取り組むCISOへのメッセージ

ここまでの講演・ディスカッションの内容やアイデンティティ管理に取り組むCISOの方々への思いについて、相馬氏、佐藤氏、荒木は次のように語ります。

“業務委託の方やパートナー企業様との協業など、他組織との連携などが進む今日において、管理対象とすべき範囲は広がっていますし、またDX推進が加速する中アイデンティティ管理にかけられるリソースは限られていることと思います。

本日ご提案したすべての対策をCISOお一人で隅々まで行き渡らせることは難しいでしょうから、業務全体を横串で見られる担当者の設置に着手されることをご提案したいなと考えています。CISOはあくまでセキュリティの責任者であり、ビジネスオーナーのように事業全体のあらゆる要素をコントロールできるわけではありません。ですが、業務形態によってアイデンティティ管理の方法は変わりますし、その逆も考えられます。

CISOの方には、可能であれば全体を見ることができる責任者を設置していただきたいですが、難しい場合は業務の責任者の方やビジネス全体を管理する経営陣と協力しながら、アイデンティティ管理に注力していただければと思います。”（相馬氏）

“ビジネスのあり方は100の企業があれば100通りあり得ますが、一方でそのビジネスの中心にもなるアイデンティティ管理については、企業によって考え方が異なるかというと必ずしもそうではないのではないでしょうか（同じ業界の企業や同規模の企業・組織など参考となる事例は実はたくさんあります）。このことを理解し、アイデンティティ、セキュリティガバナンスを先頭にたってコントロールできるCISOだからこそできることがあると思っています。

また、相馬さんと関連する話で言うと、今のアイデンティティ管理は分業が進みすぎて部分最適になってしまっているので、全体の管理状況が見えにくくなってしまっています。

各社のCISOのみなさまにおいては、ビジネスやCISOの業務におけるアイデンティティ管理の重要性を認識しながら、互いの情報を共有し合って協力するのが望ましいのではないかと感じています。JNSAデジタルアイデンティティWGのセミナーが、その一助になれれば幸いです。”（佐藤氏）

“DX推進のなかでクラウド活用が進む企業が増えていますが、そのセキュリティを支えている要素の一つがアイデンティティ管理です。ビジネス目標に沿ってこの基盤を整えることは、DX推進をスピードアップさせることにもつながり、ひいてはビジネスに貢献できる度合いも高まります。経営層がCISOに期待する情報セキュリティ戦略はまさにこの部分であるともいえるので、簡単ではない取り組みになろうかとは思いますが、CISOの皆様は、ぜひ今こそ、アイデンティティ管理に着手していただくのが良いのではと思っています。

また本日のディスカッションを通して、DXのセキュリティ対策の根幹となる「アイデンティティ管理」に焦点をあて、その重要性を発信するJNSAデジタルアイデンティティWGの活動は、非常に価値あるものだと改めて感じています。

今回は、普段あまり焦点が当たることがない経営層”の視座から取り組むべきアイデンティティ管理をテーマとしていましたが、これがCISOの皆様にもお役立てていただける内容になっていれば嬉しいです。

JNSAデジタルアイデンティティWGの取り組みによって、アイデンティティ管理の課題解決の動きが業界全体として今後ますます盛り上がること、また、同じような課題を持つCISOの皆様がこうした取り組みに勇気づけられ、各企業・組織での対策が進んでいくことを期待しています。”（荒木）

取材日：2023年6月27日
株式会社ソリトンシステムズ