人間やマシンのIDが急増する未来--サイバーアークのCIOに聞く、アイデンティティーの保護
激増していくマシンのID 同社が5月に発表したグローバルでのセキュリティ調査によると、調査に回答したセキュリティ責任者の多くが自組織におけるIDの増加ぶりを挙げており、特に今後12カ月で“マシン”のIDが3倍に増えると予想する回答者は47%(日本では52%)に上った。 「ユーザー1人当たりのマシンのIDは平均45個という状況にあり、さらなる増加が予想される。企業や組織が管理しなければならないIDが爆発的に増え、アタックサーフェス(攻撃対象領域)が広がり、攻撃者の視点では、悪用可能なIDを獲得できるチャンスが増えることになる」(Grossman氏) “マシン”のIDとは、データや情報、システムにアクセスしたり、それらを用いて処理を行ったりするアプリケーションやソフトウェア、プログラムといったものを指す。最近では、生成AIを用いたチャットボットやエージェント機能などが代表的だろう。 これらがデータや情報、システムにアクセスしたり利用したりするには、人間と同じくIDや権限といったアイデンティティーが必要で、企業や組織は、従業員や関係者など「人間」のアイデンティティーだけでなく、マシンのアイデンティティーも把握、管理、監視、保護しなければ、攻撃者に悪用されるリスクが高まってしまう。 Grossman氏は、マシンのアイデンティティーセキュリティを推進する上で、セキュリティ対策の状態(ポスチャー)やリスクマネジメントが重要だと指摘する。 「まずハイジーン(衛生)の観点からは、マシンの状況変化を適切に把握し、アイデンティティーのライフサイクル全体で管理していくことが大切だ。マシンのID、パスワード、SSH鍵、APIの権限といった状態を適切に把握、管理すること。これは、マシンを活用して業務を自動化、効率化するなどの効果を得るためにも必要だ」(Grossman氏) 次に、こうして把握、管理するマシンのアイデンティティーセキュリティを担保するためにプロセスを確立しておくべきという。「例えば、AIマシンの専任チーム、センター・オブ・エクセレンス(CoE)といった体制を整える。ここにはITやデータ、セキュリティ、法務、ビジネスなどさまざまな担当者が参加し、多様な視点を取り入れて包括的な形で意思決定を行うようにする」(Grossman氏) また、「シャドーAI」などにも注意を払う必要がある。シャドーAIは、全社的ないしIT部門の管理下にない状態で部門や従業員が自発的に利用するAIのサービスやアプリケーションなどで、それらが適切に管理されていないと、攻撃者に悪用されて組織内の機密情報を窃取されたり、悪質なコンテンツを不正に生成されたりしかねないといったリスクになるという。 柿澤氏は、「テクノロジーやツールは導入したらそれで良いというわけではなく、安全に利用や活用して機能させていくためにセキュリティのプロセスをしっかりと構築して運用することが肝心だ」とアドバイスする。Grossman氏は、先述したアイデンティティーやAIを含め、同社内部のセキュリティ対策では戦略、ポリシー、プロセスが一貫した状態で実践していると説明する。 「しばしばセキュリティを強化すると利便性が損なわれるという意見が聞かれるが、私は、そうなるとは考えていない。例えば、セキュリティを強化するためのパスワードレスの認証方法を活用することで利便性も担保される。CIOやCISO(最高情報セキュリティ)はそうした事例を多く集めて、自社での安全性と利便性や生産性を両立させる取り組みを推進していただきたい」(Grossman氏)