2024年1月25日 – 企業向けアイデンティティ・セキュリティのリーダーであるSailPoint Technologies, Inc. (以下「SailPoint」)の日本法人SailPointテクノロジーズジャパン合同会社(東京都港区、社長 藤本 寛、以下「SailPoint テクノロジーズジャパン」)は、株式会社アイ・ティ・アール(所在地:東京都新宿区、代表取締役:三浦 元裕、以下「ITR」)と「企業におけるセキュリティおよびアイデンティティ・ガバナンス実態調査2023」(以下「本調査」)を共に実施し、その結果をまとめた調査レポート「デジタル&サステナブル時代に求められるアイデンティティ・ガバナンス」を発表しました。
企業でITに携わる役職者・役員ならびに経営者324名に対してSailPointとITRが共同で行った調査の結果、回答企業の約6割が「セキュリティツール」への投資額を過去12カ月の間に増加した一方で、「アイデンティティ/アカウントに関連する違反や情報漏洩がない」と回答した企業は、前回の2022年の調査よりも5ポイント減少の20%となり、企業がセキュリティリスクを低減できていないことが明らかになりました。
また、大多数にあたる約8割の企業が、非正規社員のアイデンティティ・アクセス管理業務を手作業に依存していると回答し、業務関係が終了した後も非正規社員のアクセス権を抹消できていない企業は約7割にも及んでいます。さらに、非正規社員およびボットなど人以外への不適切なアクセス権の付与または削除しなかったことに起因して、「リソース制御不能」や「データの喪失」といったセキュリティ問題が8割以上の企業で発生しており、企業における非正規社員のアイデンティティ管理に関する課題が浮き彫りになりました。
本調査レポートの詳細はこちらからダウンロードできます。
ITRでプリンシパル・アナリストを務め、本調査結果を分析した浅利 浩一氏は、次のように述べています。
「企業システムがデジタル&サステナブルへと向かう過程では、従来のスコープを超えるシステムの多様性がこれまで以上に増していくことが想定されるとともにファイアウォールによるこれまでの境界型防御からゼロトラストセキュリティにも対応していかねばなりません。企業のセキュリティ対策は、境界防御型セキュリティとゼロトラストセキュリティを融合した新たなアーキテクチャに進化しつつあり、その基本構成要素である特権IDを含めた統合的なアイデンティティ管理への対策が求められています」
SailPointテクノロジーズジャパン社長兼本社バイスプレジデントの藤本 寛は、次のように述べています。
「より多くの企業がクラウド化を推進するなか、増え続ける企業内アイデンティティ、アプリケーション、データを手作業で管理することは現実的ではなくなっています。堅牢なアイデンティティ・セキュリティ対策は企業にとって必要不可欠であり、これに取り組まなければ、セキュリティインシデントを回復するためのコストがかさむばかりか、コアビジネスや企業価値を阻害しかねません。SailPointのアイデンティティ・セキュリティ・ソリューションは、すべての正社員と非正規社員のアイデンティティを包括的に可視化するだけでなく、過剰な権限の修正など管理業務を自動化することで、企業の生産性を向上させながら安全性も同時に実現します。SailPointはこれからも日本企業のアイデンティティ・ガバナンス強化に貢献していきます」
<主な調査結果>
本調査レポートでは、調査結果を「企業IT・アイデンティティ・セキュリティ全般」「SaaS/IaaS」「非構造化データ*1」「非正規社員」の4つの領域について、直面する課題に企業がどう取り組んでいるかについて解説しています。
1. 企業IT・アイデンティティ・セキュリティ全般
過去12カ月間に投資額を上昇したテクノロジーとして企業が選択したものは、「セキュリティツール」(回答企業の58%)、「クラウドサービス:IaaS」および「SaaSアプリケーション」(ともに44%)が上位を占めました。企業の脱レガシー化の流れの中で、SaaSおよびPaaSのクラウドサービスが進展するに伴い、投資についても堅調な増加が示されたといえます。
一方で、「過去12カ月は違反・情報漏洩がない」と回答した企業は、前年(2022年)調査から5ポイント減少し、今回の調査では20%となりました。つまり、回答企業の80%が、アイデンティティ・アカウントに関する情報漏洩を経験していることになり、情報漏洩対策がクラウド利用拡大の趨勢に追いついていない状況が垣間見えます。(図1)
図1 過去12ヵ月間のアイデンティティ・アカウントに関する情報漏洩(複数回答)
出典:ITR「企業におけるセキュリティおよびアイデンティティ・ガバナンス実態調査2023」(以下同)
2. Software as a Service/Infrastructure-as-a-Service
基幹系業務システムのSaaS化の進展が見込まれるなか、SaaS環境で解決すべき最大の課題は、前年に引き続き、「全てのユーザーアクティビティと全てのデータアクセスに対する可視性の欠如」(31%)となり、引き続きアイデンティティ・アクセス権限そのものの課題が主要な解決テーマであることが確認されました。(図2)
図2 SaaS環境で最も解決すべき課題
また、IaaS環境全体のアクセス管理に関連して、「全てのクラウドプラットフォームへのアクセスの全体像が見えない」(40%)「ガバナンス要件の実施が困難(アクセス権のレビュー、職務分離のチェック、自動化されたライフサイクル管理)」(40%)といった課題を抱えると回答した企業が4割となっています。「IaaSのアクセス管理における難問はない」と回答した企業は僅か2%にとどまっており(図3)、クラウド投資が拡大するに伴い、システム全体に散在するアクセス権限および職務権限分離を透過的に管理することに課題を抱えている状況が確認されました。
図3 IaaS環境のアクセス管理で遭遇した難問(複数回答)
3. 非構造化データ
非構造化データを管理する上での課題は、前年調査から引き続き「データに含まれている情報が可視化されていない」(40%)が首位となりました。前年と比較すると、2023年の調査では2位の「非構造化データの量の膨大さ」が5ポイント上昇し38%となる一方で、「アクセス管理における課題はない」と回答した企業は3ポイント減の8%となり、ほとんどの企業が非構造化データのアクセス権限の管理に課題を抱えていることが、改めて浮き彫りとなりました。(図4)
非構造化データに関連するインシデントでは、「データへの不正アクセス」が前年調査から3ポイント上昇して47%となり、今回3位の「コンプライアンス違反による罰則」は前年から2ポイント、4位の「データ侵害」は4ポイント上昇しています。
図4 非構造化データ管理の課題(複数回答)
4. 非正規社員
働き方の多様化を受け、協力会社やパートナー、委託先などの非正規社員との協業が増加している中、約8割の企業で、非正規社員およびボットなど人以外のアクセス権管理に起因する問題が発生しています。具体的には、「リソース制御不能」と「データの喪失」が41%で首位、続いて「情報漏洩」が3位となっており、3社に1社が「情報漏洩」を経験しています。(図5)
非正規社員にアクセス権を提供している企業のうち、「正社員以外に提供されたアクセス権が、仕事上の関係が終了した後も抹消されていないことを発見したことがある」と回答した企業は68%にのぼり、業務関係が終了した後のアクセス権の削除方法が「完全に自動化されたプロセス」であると回答した企業は22%と少数にとどまるなど、手作業への依存や従事者への負担が大きいことがわかりました。
図5 非従業員および人以外のアクセス権管理に起因するセキュリティ問題(複数回答)
<調査概要>
調査名:企業におけるセキュリティおよびアイデンティティ・ガバナンス実態調査2023
実施期間:2023年9月25日~9月27日
調査方法:ITRの独自パネルを対象としたインターネット調査
調査対象:国内企業(ITベンダー、システムインテグレーター、官公庁・公共を除く)において、自社のIT戦略またはアイデンティティ/セキュリティ/アクセス管理に関与している部次長以上の役職者・役員ならびに経営者
有効回答数:324件
*¹ 非構造化データ:PowerPoint、Word等で作成する文書、画像、動画、音声、SNSの文字データなど、構造定義されていないデータ
<調査レポートの全文詳細>
ダウンロードはこちら: https://www.sailpoint.com/ja/identity-library/identity-governance-research-report-2023/
■SailPointについて
SailPointは、アイデンティティ・ガバナンス管理サービスプロバイダーのリーダーで、企業にあるすべてのアイデンティティを一元的に可視化し、アイデンティティ管理業務の自動化を実現する、AIや機械学習を活用したクラウド型アイデンティティ管理ソリューションを提供します。今日の企業のアイデンティティを管理し保護する力は、人間の能力をはるかに超えています。SailPointのアイデンティティ・セキュリティプラットフォームは、適切なレベルのアクセス権限を適切なタイミングでアイデンティティとリソースに提供し、企業の規模、速度、環境のニーズに対応します。SailPoint のインテリジェントで自律的な統合ソリューションは、アイデンティティ・セキュリティをビジネスの中核に据え、世界中のあらゆる企業を脅威から守るセキュリティ基盤を構築します。