【コラム】急拡大するテレワーク時代に不可欠なアカウント管理 <テレワーク時代のアカウント管理(第1回)>

コラム「テレワーク時代のアカウント管理(第1回)」では、コロナ禍に急拡大・常態化が進むテレワーク時代に、多様な働き方を実現する為、変化が求められる企業IT戦略、特にセキュリティ強化の上で重要となるアカウント管理とシステム利用の在り方について解説します。

企業がいま取り組むべき、IT戦略とは

コロナ禍からの回復が未だ見通せない中、いま企業が取組むべきIT投資・IT戦略とは何なのか。その1つの重要な要素はセキュリティ強化としてのアカウント管理業務の見直しです。

テレワーク時代のセキュリティへの意識の高まり

2020年、コロナ禍に対応するためテレワークが急速に普及しました。国内でもWeb会議等のテレワーク特有のツールが広く認知され、現在では業界問わず、多数の企業が活用しています。
政府主導による感染症拡大防止のため進められてきたテレワークの導入は、限られた準備期間と予算の中で、スピードが最優先されてきました。

このような状況のもとで適切な環境整備、あるいは運用ルールの検討に十分な時間を割けるだけの余裕がないままに、変化への適応を私たちは余儀なくされました。このため、テレワークの導入には至ったものの、テレワークにおけるセキュリティ対策が十分に講じられていないという課題を抱えた企業が多く存在しています。
そのことを裏付けるかのようにJUAS(一般社団法人 日本情報システム・ユーザー協会)が発表した「企業IT動向調査2021」において、情報セキュリティに対する企業意識の高まりの様子が数値に表れる結果となっています。

売上高別IT予算に占める情報セキュリティ関連費用の割合」をみると、2020年度は売上高別に100億円未満、100億~1000億未満、1000億~1兆円未満のいずれも、全体予算のうち10%以上をセキュリティ関連費用に充てている企業の割合が半数以上を占めています。また1兆円以上と100億円未満では10%以上の割合が前年度と比較して10ポイントと大きく増加傾向にあります。

図1 売上高別 IT 予算に占める情報セキュリティ関連費用の割合

c106228_01.png

出典: JUAS 「企業IT動向調査2021」第2回緊急実態調査を基に作成

さらに「今後(3年後)の情報セキュリティ関連費用の増減予測におけるDI(※)値の推移」では、経年別に見た場合の向こう3 年の情報セキュリティ関連費用のDI値の増減予測が増加傾向にあることが確認できます。2019年度から2020年度にかけて増加の割合が伸びており、これについてJUASは、「コロナ禍でテレワークが大幅に増えたことで、情報セキュリティに対する意識が高まっている」としています。

図2 今後(3 年後)の情報セキュリティ関連費用の増減予測におけるDI 値の推移

c106228_02.png

出典:JUAS 「企業IT動向調査2021」第2回緊急実態調査

(※DI値:『「良い/悪い」「上昇/下落」といった定性的な指標を数値化して、単一の値に集約する加工統計手法のこと。または、この方法によって得られた指数をいう。』図2では「2割以上増加」と「2割未満増加」の和からなる増加のポイント指数から「2割未満減少」と「2割以上減少」の和からなる減少のポイント指数の差を指す。)
(出典:ITmedia「情報マネジメント用語辞典」

テレワークが普及したことで、情報資産の管理は煩雑性が増すばかりです。
これまでは多くの情報資産の利用が会社内という閉じられた世界に限定されており、アクセスの経路や手段も限られていたため比較的統制が取りやすく、対応のスピードやレベルに幅をもたせることができました。
しかしテレワークの導入が進み社外にあるデバイスや通信環境から、これまで社内限定公開となっていた重要情報が含まれる情報資産の利用をどこまで許可するか、何を基準に制限すれば良いのか、それらを利用する人をどのように識別し管理すればよいのか、あるいは会社内と同じように利用できるようにするためには何が必要なのかなど、セキュリティ面を中心に企業のポリシーに則った厳格な対策をタイムリーに反映・実現できる仕組みを構築しなくてはなりません。
これに加えて更なる業務環境の整備のため、クラウドサービスのニーズも高まっていますが、利便性と機密性をどのように共存させるかという点は、クラウドサービスの利用拡大において重要な課題です。
テレワーク環境をより便利にかつ堅固なものとするために、現在の業務環境や働き方に合わせたセキュリティの導入、あるいは対策を改めて考える段階に私たちは直面しています。

年々増加傾向にある不正アクセス被害

いま、セキュリティ強化に取組まねばならないと強く訴える根拠が、もう一つあります。それは不正アクセス被害の報告件数の増加です。実際、不正アクセスによる情報漏洩被害はメディアでも度々取り上げられ、企業が大きな打撃を受けた事例が後を絶ちません。
IPAが発表した最新の「情報セキュリティ白書2020」によると、2019年度、国内の情報セキュリティインシデントの報道件数は458件に上りました(図3)。このうち種類別にみると最も件数が多いのが「不正アクセス」です。

図3 情報セキュリティインシデントの種類別報道件数

c106228_03.png

出典:IPA 「情報セキュリティ白書2020」に掲載の図表を基に作成
(引用元の図表は三井物産セキュアディレクション株式会社の調査情報を基にIPAが作成)

2020年に発生した不正アクセスによって情報が漏洩した恐れがある事件の中で最多なものとして、アプリケーションへの不正アクセス被害があります。このとき情報漏洩した可能性があるとされている個人情報の件数は、約2,007万件に上りました(図4)。東京商工リサーチによると、この他にも数十万を超える情報漏洩(※可能性のあるものを含む)の被害例を挙げ、紙媒体などの紛失事故と比べて漏洩件数が膨大になる特徴を指摘しています。

図4 2020年 不正アクセスによる情報漏えい件数

c106228_04.png

出典:東京商工リサーチ 『「上場企業の個人情報漏えい・紛失事故」調査』 を基に作成

2020年に公布された「個人情報の保護に関する法律等の一部を改正する法律案」では、一定の条件を満たす情報漏洩については個人情報保護委員会への報告が義務化されており、昨今の社会的な注目度は高く、企業イメージへの影響は必至です。
セキュリティ対策は、その必要性を誰もが認識しているものの、効果が目に見えづらい特性があります。そのため実際に被害や影響に直面し、ようやく具体的な対策を検討し始める、後手に回りがちな領域といえます。

企業が取り組むべきアカウント管理

では、実際にはセキュリティ強化のためにどのような取組み、あるいは対策に着手すれば良いのでしょうか。
上述で触れた不正アクセスについて、IPAの情報セキュリティ白書では下記のように、アカウント管理不備を不正アクセスの原因の一つとして挙げています。

「外部からの不正アクセス被害は、個人情報等の秘密情報を管理しているシステムの脆弱性や、当該情報にアクセスできるアカウントの管理不備が原因であるケースが多い」(出典:IPA「情報セキュリティ白書2020」

具体的に想定されるケースとしては、過剰な権限の付与、異動および退職者の権限はく奪の不備があります。更に、手作業による設定漏れや設定誤りなどもあります。特に個人情報等の秘密情報にアクセスできるアカウントが悪用された場合は個人情報の漏洩にも繋がるため、アクセス権の設定やパスワードの管理が重要になります。

しかし、これらを手作業での運用、あるいはルールのみによる管理策によって常に適切で最新な状態を保つことは現実的ではありません。
例えば手動で1件1件管理者が処理するような運用は、非常に時間がかかるだけではなく処理件数が多いほど人為的ミスを引き起こす可能性が高まります。作業のダブルチェックを行ったとしてもミスを完全に防ぐことは難しく、手間や時間に見合う効果を得るのは難しいでしょう。特に企業では複数の業務アプリケーションを利用しているケースが多いため、その処理件数が比例的に増加します。以上のことから、人為的な管理には限界が見えます。
仮に今、そのような手作業に依存するルール、あるいは運用になっているのであれば、ルールそのものを見直す必要があります。
昨年の新型コロナ禍を契機に、そのような動きが既に各企業で見られています。JUASの「企業IT 動向調査2021」を見ると、情報セキュリティに関する各種対策の中でも「社内ルール」を全面的、あるいは一部の見直しや強化に取組んでいる企業の割合が54.6%を示し、他の項目と比較して最も高い値が出ています(図5)。既に半数以上の企業がルールの見直し、あるいは強化に向けて検討を進めており、セキュリティ対策の根幹から再検討する流れが来ています。

図5 情報セキュリティ対策の新型コロナでの見直しや強化・見直し割合の降順

c106228_05.png

出典:JUAS 「企業IT動向調査2021」第2回緊急実態調査

以上の動向の中でぜひ企業が検討したいのが、現在の人の手作業に依存するルールや運用を見直し、アカウントの運用管理をシステムで機械的に管理できる仕組みを取り入れることです。これを実現するアカウント管理システムは、ひとことで言うと複数のアプリケーションのアカウントを一元管理するためのセキュリティシステムです。このシステムは、上述のアクセス権限不備や管理者の作業負担により人為的ミスが発生し得る問題を解消してくれます。
また、既存の人事システムやワークフローシステム、Active Directoryなどとデータ連携することで部署を横断する業務処理を自動化し、生産性を向上できるメリットもあります。
更に一歩進んでルールの見直しや運用自動化を図るだけではなく、先ほど述べたテレワークの急速な普及に伴う情報資産管理の煩雑化や、クラウドの利便性と機密性担保の両立という将来的な観点で不可避となる課題も踏まえて対応を行う必要があります。そのためには、企業はそれらを見据えてクラウドサービスを含めたアカウントの一元管理を実現するためのグランドデザインを定め、計画的にIT環境の再整備を推し進めていく必要があります。
セキュリティ対策と聞くと、制約で不便さを強いるネガティブな印象がまだ根強く残っていますが、私たちが目指すべきセキュリティはそうではありません。セキュリティ担保と、ユーザーの利便性向上の二軸を追求する攻めのセキュリティ対策こそがテレワーク時代に相応しいといえます。
テレワークという先進的な働き方を取り入れている組織こそ、そのセキュリティも変化に合わせて積極的にシフトしていくべきです。

アカウント管理システムのニーズは変わりつつある

変化していくべきは、企業だけではありません。昨今のSaaSをはじめとするクラウド利活用の高まりから、アカウント管理システムが果たすべき役割も広がりつつあります。
次回は、このアカウント管理システムについて深掘りし、具体的な事例を元に導入による効果やシステムの役割と、将来的なニーズをご紹介いたします。

関連サービス