爆発的に増える
IDと権限を適切に管理し、
不正なアクセスを許さない
IGAとそのメリット、導入・運用について
各社に聞く
IGA(Identity Governance and Administration)は、IDとそのアクセス権限を厳密に管理するシステムです。
海外では一般的になりつつありますが、日本ではまだ認知度が低い状況です。
そこで今回、IGAのソリューションである「SailPoint Identity Security Cloud」を提供する
SailPointテクノロジーズジャパン合同会社の盛口 泰孝氏、
KPMGコンサルティング株式会社(KPMG)の澤田 智輝氏、畠山 誠氏、
伊藤忠テクノソリューションズ株式会社(CTC)の土井 寛子氏にお話を伺いました。
-
SailPointテクノロジーズジャパン合同会社
ビジネス開発本部 兼
パートナー事業本部 本部長盛口 泰孝 氏
-
KPMGコンサルティング
株式会社執行役員パートナー
澤田 智輝 氏
-
KPMGコンサルティング
株式会社シニアマネジャー
畠山 誠 氏
-
伊藤忠テクノソリューションズ
株式会社エンタープライズビジネス企画本部
デジタルビジネス推進
第1部土井 寛子 氏
※いずれも組織名称は2025年3月末現在
KPMGはSailPointのグローバルコンサルティングパートナーです。
CTCはSailPointのリセラーパートナーです。
アクセス管理だけでなく、
アクセス後の権限管理が重要
まず、現状のID管理における課題として、
どのようなことを感じていますか?
盛口氏:一番の課題は、IDの数が爆発的に増えていることです。クラウドなど新しいテクノロジーの利用によって、正社員1人が使うシステムの数が増えています。また非正規社員のIDやシステムを使う主体も人だけでなく、いわゆるbotなどのマシンIDも増えています。特にマシンIDの数はこれから加速的に増えていくと言われています。
多くの企業がシステムにログインする際のセキュリティを強化していますが、システムに入るときだけでなく、入った後の権限をしっかりと管理することが重要です。そこが手薄だと不正アクセスに気づかずに情報漏えいにつながってしまう可能性もあります。
土井氏:ID管理のソリューションは、従来は管理者の負荷軽減や利便性向上の目的で検討・導入されるお客様が多かったのですが、最近は目的が変化しているように感じます。盛口さんもおっしゃったようにクラウド利用が一般的になり、使用するアプリケーションの数も大幅に増えています。
またグローバルを含めてグループ企業共通のIT基盤を使いたい、働き方改革で社外から社内のリソースを利用したい、あるいはゼロトラストに対応したID管理や認証基盤を構築したいというニーズが増えています。
澤田氏:欧米と日本でID管理の重要性に意識差があることが大きな問題だと感じています。欧米では転職することが珍しくなく人の入れ替わりが頻繁に起こるので、入社・退職にあわせてIDの適切な権限付与や削除といったID管理の重要性が広く認識されています。日本ではこれまで多くの企業において終身雇用が前提であったため人の入れ替わりが少なく、ID管理が重視されてこなかったと考えています。しかし、日本でも転職やグループ企業内での異動が一般的になってきており、ID管理に関して認識が変わってきています。ただ、内部統制に取り組んだ際の申請書によるID申請と発行という手続きが残っていて、頻繁なIDの変更に対応しきれていない印象があります。
畠山氏:もうひとつの観点として、M&Aが一般化しつつあることが挙げられると思います。IDの体系や管理、考え方が異なる企業同士が統合する際には、それらも統合する必要があります。統合する際にどこまでをルールとして統制できるの かと悩まれている企業も多いと感じています。
日本でも認知が広がりつつあるIGAとは何か、その期待度は?
そうした課題の解決策として、IGAが注目されています。
そもそもIGAとはどのような概念なのでしょうか。
盛口氏:IGAは、基本的には権限管理という観点でのセキュリティ対策だと考えています。アクセスマネジメントはマンションの共同玄関の鍵の管理のようなもので、その建物に入れるかどうかの本人確認といえます。どの部屋に入れてどの引き出しが開けることができるのかはそれぞれの家で権限管理します。私たちが提供するIGAは、部屋の中の権限が適切な人に与えられているのかということをそれぞれの家でなくマンション全体で統合的に管理する仕組みとも言えます。
従来は人事データベースを基本に正社員の情報を突き合わせる形でIDを管理してきました。しかし、それでは非正規社員やテストアカウント、マシンIDを把握できず、抜け漏れが発生してしまいます。IGAでは源泉情報のIDにプラスして業務システム側のIDも集約し、存在しているIDを抜け漏れなく最新の情報で管理できます。これが特徴的な部分です。
お客様のIGAに対する認知度や期待度はいかがでしょうか。
畠山氏:IGAというキーワードをお客様から聞くようになったのは、ここ1~2年です。海外ではすでに一般的な言葉になっていましたが、日本でも少しずつ広がってきていると思います。これまで日本企業では、ID管理というとIDaaSやSSO、MFAを思い浮かべることがほとんどでしたが、その次の対策としてIGAを検討する会社が増えている印象です。
澤田氏:IGAのニーズは、企業のアカウンタビリティ(説明責任)と密接に関係していると感じています。最近は問題を起こした際に第三者委員会を立ち上げることが多くなってきています。第三者委員会からの報告レポートにはステークホルダーも非常に注目しており、その際に「何も制限をかけていない状態でした」では大きな問題になります。問題が発生した際の説明責任として、社員への権限付与や不要になった際の権限削除といった管理が強く求められるようになってきており、その対策としてIGAへの興味が高まっていると感じています。
土井氏:畠山さんがおっしゃったように、日本ではIGAの領域はまだまだ認知度は少ないと思っていますので、ぜひここでアピールしたいですね。ただ、一気に数百のシステムをつなげてすべてを管理するのではなく、例えば内部統制に関わるような重要度の高いシステムで連携してみて、アカウントと権限を見える化する、スモールスタートで進めることをご提案しています。
盛口氏:IGAとアクセスマネジメントを混同してしまっている方も多い印象があります。IGAは権限管理を確立するもので、アクセスマネジメントに加えて必要な機能ですが、アクセスマネジメントを導入しているだけで「ID管理はできている」と思ってしまう。このギャップはまだまだ日本にはある気がします。また、IGAは他のセキュリティ対策と同様に利益を産むツールではないので、導入時に社内での説明が難しいという声も聞きます。
金額で効果を示すことが非常に難しい領域ですので、アクセス権限審査(棚卸)などの工数削減による人件費の削減などと、やや強引に効果を説明することもあります。地道に導入を進めて事例が増えていくにつれ広がっていくものと考えています。また、KPMGのようなコンサルティングファームが、お客様に導入の道筋をきちんと描くお手伝いをしていただいていることも重要な要素だと思います。
澤田氏:私たちの役割は、どのような考え方で情報を守っていくのかといった方針を立て、その方針に合わせて各システム担当の方とコミュニケーションをとって、お客様に伴走しながらプロジェクト遂行を支援することです。方針策定が完了し、具体的な実行フェーズになったらシステムの開発、運用、保守などはCTCとのコンビネーションで導入を進めています。
土井氏:今も一緒に進めている案件もありますが、KPMGはグローバルで開発された素晴らしいフレームワークをお持ちですので、その通りに進めていけばうまくいく印象を持っています。
畠山氏:プロジェクトをうまく進めるためには、フレームワークを活用するだけでなく、経営層を巻き込むことが重要と考えています。グループ全体や海外支社も含めてID管理を統合してという話になるとやはり経営層に音頭を取っていただいたほうがスムーズに進む傾向にあります。
盛口氏:アイデンティティガバナンスやアイデンティティ管理というのは経営課題と捉えられているので経営層に入っていただくことでプロジェクトがうまく進むケースが多いですね。
SailPointに関わる各社の強み
IGAの導入におけるCTCの強みを教えてください。
土井氏:ID管理にも古くから取り組んでいますので、実績の多さが一番の強みと考えています。ノウハウも豊富に蓄積していますし、運用保守のサービスもご提供していますので、導入から運用保守まで一貫したサポートをご提供できることも強みです。
盛口氏:IGAの導入は複雑な作業ですので、SailPointにはプロフェッショナルサービスという役務提供の部隊がいます。その部隊が、例えばCTCの下に入ってプロジェクト推進のお手伝いをしています。
コンサルティング領域におけるKPMGの強みはどこにありますか。
澤田氏:我々とSailPointはグローバルで連携しており、多くの国・地域でSailPointの導入に携わりながら、日々グローバルでさまざまな知見を蓄積しています。また、導入に関わるすべての部門としっかりと調整しながら進めていくことについても豊富な経験を有しています。これらの知見・経験を活用しながら、その企業の状況に合わせて最適なIGAのシステム構築や運用プロセスの確立をご支援することができます。
導入・運用の観点でSailPointの良さをどんなところに感じていますか。
土井氏:SaaS型の製品でカスタマイズもあまり必要がないため、導入は非常に容易です。また、ユーザーが使う管理画面も直感的に操作できるUIで好評です。IGAで非常に重要な棚卸も分かりやすく実施できますし、AI、機械学習のエンジンが搭載されているので権限の設定が適切かどうかを見える化してくれます。こうした使いやすさと機能がお勧めするポイントです。
SailPointについて、最後に一言お願いします。
盛口氏:IGAを謳う製品は多くありますが、その中でマーケットにおけるリーダーポジションをいただいていることがSailPointの良さを証明していると思います。SailPointでは毎年市場調査を行ってレポートを作成し、同時に市場のニーズを把握して新たな機能を追加しています。目指しているのは、企業がIDに存在するリスクをいち早く気づき、対応できることです。今後もパートナー様と連携しながら日本のお客様のセキュアなID管理環境の構築をご支援させていただきたいと思います。
SailPointが提供するSaaS型のIGASailPoint Identity
Security Cloud について
お問い合わせ