アナログなインシデント検知からの脱却とインシデントの発生を前提とした体制整備

　PwCは、毎年、情報セキュリティに関するオンライン調査「グローバル情報セキュリティ調査」を実施している。これは、世界138カ国、延べ9300人以上にのぼる企業のセキュリティ部門の責任者を対象とした調査である。

　2013年度の調査によると、自らを「セキュリティリーダー」と認識している日本企業は、37％という結果になった。ところが、PwCによれば、総合的な情報セキュリティ戦略の有無、前年のセキュリティ対策の有効性の検証といったリーダーに必要な条件を当てはめると、この数字は2％にまで落ち込むという。つまり、多くの日本企業は、セキュリティの取り組みに関して、自社を過大評価している可能性が高い。

　このデータは、10月30日に開催された「認証・アクセス基盤強化セミナー2013」の基調講演「企業環境やIT環境の変化に対応するアイデンティティ＆アクセス管理」において、プライスウォーターハウスクーパースの林和洋氏によって示された。調査結果を受けて、林氏が提言したのが、アナログなインシデント検知からの脱却であった。

「調査では、過去12ヶ月で発生したセキュリティインシデントの回数も質問しています。それによると、日本企業で最も多かったのは、『不明』の45％でした。つまり、自社で発生したインシデントの回数を把握できていない企業が最も多かったのです。また、インシデントの発覚ルートとして最も多かったのが、『内部通報』の53％でした。これは、運用担当者が気づくといった、属人的もしくは運にまかせた検知が行われていることを示しています。一方、海外では、『不明』と答えた企業は14％にすぎず、ファイアウォールやサーバのログ、DLPのような何らかのツールを使って検知した割合が大きくなっています」（林氏）

　また、セキュリティインシデントの発生を前提とした体制整備も提言された。特にインシデントに対処するための企業内組織 CSIRT（Computer Security Incident Response Team）の構築、インシデントレスポンス計画の策定は、多くの日本企業が取り組むべき課題といえるだろう。

フェデレーションを活用したクラウド時代のID＆アクセス管理

　最新の「グローバル情報セキュリティ調査」では、クラウド導入の懸念事項も調査されている。それによると、日本企業が最も懸念しているのは、「ID＆アクセス管理」であった。さらにセキュリティ対策の導入状況について、日本とグローバルを比較したところ、もっとも導入率に差が開いたのはID管理の分野だった。その背景には、ID＆アクセス管理へのキードライバー（重要な推進要因）の変化がある。林氏は、その変化を次のように説明した。

「以前は、J-SOXや個人情報保護法などのコンプライアンス対応、およびコスト削減を目的にID＆アクセス管理を導入する企業がほとんどでした。しかし、現在はクラウド、ビジネスのグローバル化、サイバー攻撃への対応をキードライバーに、ID＆アクセス管理を検討する企業が増えています」（林氏）


　現在、企業がシステムを導入する際、クラウドは外せない選択肢だ。そこで、多くの企業が直面する課題がID管理だ。オンプレミス環境では、社員の入退社や異動など、IDのライフサイクルが回っている。これを、クラウドといかに同期させるかが問題となるのである。さらに、パスワードなどの機密情報をクラウドに保存することへの懸念、クラウドに対してID監査をどう実施するかといった課題も解決しなければならない。そこで注目されている技術が「フェデレーション」である。

「フェデレーションは、サービスを提供する側とIDを管理する側を切り分けて、標準的なプロトコルでIDを連携させる技術です。フェデレーションにより、ユーザーは日頃使っているパスワードで、各クラウドサービスをシングルサインオンで利用できるようになります。さらに、パスワードをサービスプロバイダ側に持たせる必要がなくなり、ID監査においても、アイデンティティプロバイダ側の管理を監査すればよくなります」（林氏）


　また、新規顧客獲得などの攻めの視点では、グーグルやツイッター、フェイスブックなどのアカウントを、そのまま認証情報として使って自社サービスにサインインできるようにする「ソーシャルログイン」も注目の技術だという

【次ページ】グローバル化がもたらすID＆アクセス管理の新たな課題