ビジネス+IT

ビジネス課題別で探す

ITジャンル別で探す

会員限定

2013年11月19日

プライスウォーターハウスクーパース 林 和洋 氏

ID・アクセス管理、クラウド・グローバル化・サイバー攻撃に対応するSIEMを構築せよ

企業システムにおけるID&アクセス管理は、システムのセキュリティ、コンプライアンスを担保する最も基本となる要素だ。しかし、いま、クラウドの普及、ビジネスのグローバル化、巧妙化するサイバー攻撃といった企業環境とIT環境の変化により、企業のID&アクセス管理は新たな課題に直面している。プライスウォーターハウスクーパース テクノロジーマネージャーの林和洋氏は、同社が毎年実施している情報セキュリティ調査のデータを用いて、企業が直面するID&アクセス管理の課題とその解決の指針を示した。

執筆:フリーライター 井上健語

アナログなインシデント検知からの脱却とインシデントの発生を前提とした体制整備

photo

プライスウォーターハウスクーパース
テクノロジーマネージャー
林 和洋 氏

 PwCは、毎年、情報セキュリティに関するオンライン調査「グローバル情報セキュリティ調査」を実施している。これは、世界138カ国、延べ9300人以上にのぼる企業のセキュリティ部門の責任者を対象とした調査である。

 2013年度の調査によると、自らを「セキュリティリーダー」と認識している日本企業は、37%という結果になった。ところが、PwCによれば、総合的な情報セキュリティ戦略の有無、前年のセキュリティ対策の有効性の検証といったリーダーに必要な条件を当てはめると、この数字は2%にまで落ち込むという。つまり、多くの日本企業は、セキュリティの取り組みに関して、自社を過大評価している可能性が高い。

 このデータは、10月30日に開催された「認証・アクセス基盤強化セミナー2013」の基調講演「企業環境やIT環境の変化に対応するアイデンティティ&アクセス管理」において、プライスウォーターハウスクーパースの林和洋氏によって示された。調査結果を受けて、林氏が提言したのが、アナログなインシデント検知からの脱却であった。

「調査では、過去12ヶ月で発生したセキュリティインシデントの回数も質問しています。それによると、日本企業で最も多かったのは、『不明』の45%でした。つまり、自社で発生したインシデントの回数を把握できていない企業が最も多かったのです。また、インシデントの発覚ルートとして最も多かったのが、『内部通報』の53%でした。これは、運用担当者が気づくといった、属人的もしくは運にまかせた検知が行われていることを示しています。一方、海外では、『不明』と答えた企業は14%にすぎず、ファイアウォールやサーバのログ、DLPのような何らかのツールを使って検知した割合が大きくなっています」(林氏)

 また、セキュリティインシデントの発生を前提とした体制整備も提言された。特にインシデントに対処するための企業内組織 CSIRT(Computer Security Incident Response Team)の構築、インシデントレスポンス計画の策定は、多くの日本企業が取り組むべき課題といえるだろう。


フェデレーションを活用したクラウド時代のID&アクセス管理

 最新の「グローバル情報セキュリティ調査」では、クラウド導入の懸念事項も調査されている。それによると、日本企業が最も懸念しているのは、「ID&アクセス管理」であった。さらにセキュリティ対策の導入状況について、日本とグローバルを比較したところ、もっとも導入率に差が開いたのはID管理の分野だった。その背景には、ID&アクセス管理へのキードライバー(重要な推進要因)の変化がある。林氏は、その変化を次のように説明した。

「以前は、J-SOXや個人情報保護法などのコンプライアンス対応、およびコスト削減を目的にID&アクセス管理を導入する企業がほとんどでした。しかし、現在はクラウド、ビジネスのグローバル化、サイバー攻撃への対応をキードライバーに、ID&アクセス管理を検討する企業が増えています」(林氏)

photo
(クリックで拡大)

(出典:プライスウォーターハウスクーパース)


 現在、企業がシステムを導入する際、クラウドは外せない選択肢だ。そこで、多くの企業が直面する課題がID管理だ。オンプレミス環境では、社員の入退社や異動など、IDのライフサイクルが回っている。これを、クラウドといかに同期させるかが問題となるのである。さらに、パスワードなどの機密情報をクラウドに保存することへの懸念、クラウドに対してID監査をどう実施するかといった課題も解決しなければならない。そこで注目されている技術が「フェデレーション」である。

「フェデレーションは、サービスを提供する側とIDを管理する側を切り分けて、標準的なプロトコルでIDを連携させる技術です。フェデレーションにより、ユーザーは日頃使っているパスワードで、各クラウドサービスをシングルサインオンで利用できるようになります。さらに、パスワードをサービスプロバイダ側に持たせる必要がなくなり、ID監査においても、アイデンティティプロバイダ側の管理を監査すればよくなります」(林氏)

photo
(クリックで拡大)

(出典:プライスウォーターハウスクーパース)


 また、新規顧客獲得などの攻めの視点では、グーグルやツイッター、フェイスブックなどのアカウントを、そのまま認証情報として使って自社サービスにサインインできるようにする「ソーシャルログイン」も注目の技術だという

【次ページ】グローバル化がもたらすID&アクセス管理の新たな課題

ID・アクセス・ログ管理 ジャンルのセミナー

一覧へ

ID・アクセス・ログ管理 ジャンルのトピックス

一覧へ

ID・アクセス・ログ管理 ジャンルのIT導入支援情報

一覧へ

PR

注目のIT導入支援情報

一覧へ

注目のイベント・セミナー情報

一覧へ

イベント・セミナー情報の登録(無料)

記事アクセスランキング

イベント・セミナー情報アクセスランキング