認証管理基盤の見直しと整備は待ったなし
IDの運用や統制も含めて抜本からの合理化を
クラウドサービスの積極的活用で、場所を問わないワークスタイルが可能となった。ユーザーもシステムも分散した結果として従来からの境界防御が通用しなくなり、「ゼロトラスト」に基づくセキュリティ対策が求められている。その起点となるのが、認証管理基盤の見直しと整備だ。
新型コロナウイルスの感染症法上の位置付けが、2023年5月8日から季節性インフルエンザと同じ「5類」に引き下げられることが正式に決まった。3年あまりにわたって人々が翻弄され続けた日々も一つの節目を迎えることとなる。
働き方の観点で振り返ってみると、コロナ禍は大きな変化をもたらした。一つはリモートワークの促進と定着である。従来は、外回りが中心の営業員、あるいは育児や介護などの事情を抱えた人など、一部の従業員に向けた措置というのが大半のケースだった。それが今では、いつでも誰でもが選択できるメインストリームへと躍り出た。
もう一つがSaaS(Software as a Service)活用の成熟度アップだ。Web会議やビジネスチャット、ストレージ、名刺管理、経費精算など用途別のサービスを積極的に取り入れて、日常業務をよりスマートに進められる環境を整えることへとつながった。
ハイブリッドワークがこれからの主流に
コロナ禍そのものは決して歓迎できない出来事だったが、業務のデジタル化という面では、はからずも一気に推し進める効果をもたらしたと言えよう。通勤電車に揺られることなく、場所を問わずに自律的に時間配分しながら業務に集中できる。SaaSに実装されている数々の機能は気が利いていて効率よくタスクをこなすことができる。旧態依然としたプロセスやルールを見直す機運も盛り上がりを見せた。
生産性もモチベーションも高い新しいワークスタイルを体験してしまうと、後戻りはできない。コロナの落ち着きによって、オフィスへの通勤が一時期よりは増えるだろうが、完全に元の姿になるとは考えにくい。SaaSを駆使するリモートワークはこれからの重要な選択肢の一つであり続け、TPOに合わせてオフィス通勤とを使い分けるハイブリッドワークが主流になるだろう。
シェアオフィスやコワーキングスペースなどのコミュニティ型ワークスペースを展開するWeWork Japanが2022年10月に公表した調査結果が興味深い。一般従業員のうちハイブリッドワークが認められている人は1年前の48.0%から55.6%に上昇。また経営者層においては、「オフィスでの勤務とテレワークでの勤務どちらの働き方も認める」などの柔軟な働き方が、従業員にとって魅力的だと思うという回答が74.9%に達している(詳細はプレスリリースを参照)。
境界防御に代わる新潮流をとらえる
もっとも万物には光と影がある。個人の裁量を重視した柔軟な働き方の光が「生産性やモチベーションの向上」だとしたら、影は「セキュリティへの懸念拡大」だろう。
オフィス通勤を前提としていた従来は、「社内ネットワークと社外ネットワークとの間に境界を設けて守り、基本的に内側は安全と考える」ことが成り立っていた。ところが今、従業員はオフィスや自宅、出先などに分散した状態で仕事にあたる。しかも、クラウドシフトが加速していることからアクセス先もまた社外に分散している。必然的に、通信を会社側で一元的に束ねて制御することが非現実的となってしまったのだ。
一人ひとりの挙動が見えにくいことは、当然ながらセキュリティ上のリスクを引き上げる。社給のノートPCを紛失したり奪われたりするかもしれない。クレデンシャル(IDやパスワード)が詐取されて、第三者が“なりすまし”で紛れ込んでくるかもしれない。仕事とプライベートが隣り合わせであるが故にちょっとした操作ミスが大事に至るかもしれない…。
そこで出てきた概念が「ゼロトラスト」だ。業務で使うITリソースへのアクセスについて「すべからく信頼しない」ことを前提とする。従業員だから大丈夫だろういとった曖昧さを許さない。認証や権限の確認、アクセス制御を厳格に求める。基本的にはアクセスの都度、信頼に値するかをゼロから確かめ直すアプローチだ。
まずは確固とした認証管理が不可欠
ゼロトラストによるセキュリティ対策の起点として見直されているのが認証管理基盤だ。組織に内在するエンティティ(ヒトやモノ)が種々のリソースへのアクセスを必要とする時に、それが正当であれば妨害することなく認める手順を、デジタルの仕組みで支援する。一人ひとりに固有のID情報や、パスワードに代表される認証情報を一元的に管理し、許諾や拒絶を判断するのが中核的な機能だ。クラウドサービスとして提供するものが増えており、広くはIDaaS(Identity as a Service)と呼ばれる。
もっとも、そのクレデンシャルは利用者も覚えておく必要がある。先に触れたように、昨今は様々なSaaSを導入する動きが加速していて全てを頭に入れておくのは容易ではない。結果、どれも同じという“使い回し”が横行しがちだ。そこで役立つのがシングルサインオン(SSO)。一度の認証されれば、あらかじめ紐付かせているシステムやサービスについては追加の認証なしで利用を許諾するものであり、その使い勝手の良さから採用が進んでいる。
ただし、SSOのためのID/パスワードが詐取されると目も当てられない。“最初の入り口”を、より厳格なものにする目的で注目されているのが多要素認証(MFA)だ。本人確認のための要素として、一般的にはIDとパスワードの他に、本人のみが所有している要素などを組み合わせる手法である。専用のスマホアプリとの連携もトレンドの一つだ。安全性と利便性をバランス良く両立させることにベンダー各社が知恵を絞っている。
専用ソリューションの価値を享受する
もちろん、認証がきちんとできていれば安心という短絡的な図式にはならない。IDそのものが正しく運用されているかどうかはセキュリティ対策全体に大きな影響をもたらす。例えば、既に在籍していないのにIDが残存しているといったことが間々あるものだ。人の異動や退社といった、エンティティのライフサイクルにIDも連動させることを怠ってはならない。
またIDに紐づくアクセス権についても、可視化と最適化は常にセットだ。割り当てられているアクセス権が妥当性を欠いていると大きな問題に発展する可能性がある。とりわけ、RootやAdminを筆頭とする特権IDについては最大の注意が必要だ。本来の目的に必要な最低限の権限しか与えないようにすることが原則であり、申請&承認で脇を固めるといった措置も含めて、権限を意図通りに制御することが欠かせない。
運用の煩わしさは「形骸化」と常に背中合わせ。最初のうちは頑張って対処できていても、疲弊が募ると、やがて手に負えなくなるものだ。幸い、昨今は認証管理にかかわるソリューションが充実し、機能にはさらに磨きがかかっている。それらの中身を理解し、自社の実情にフィットするものを積極的に活用することが、デジタル時代を見据えた持続的成長の礎となる。