メルトピア

経営基盤を強化するIT戦略

三菱電機メルトピア。様々な事例がご覧いただけます。

  • エキスパートインタビュー

  • 経営基盤を強化するIT戦略
  • 2012年 10月号(No.180)
  • クラウドコンピューティング時代に求められる
    閉じた世界での思考からの脱却と社外連携を支援するID管理システムの構築

人物写真

情報セキュリティ大学院大学 学長補佐
情報セキュリティ研究科 教授
後藤 厚宏 氏

「誰が・何を・どう実行できるか」を企業の実態に即して情報システム群に反映させるID管理システム。その構築と運用の難しさは確実に増しています。企業として、従来のID管理をどのように見直していけばよいのでしょうか。今回は、クラウドコンピューティング環境で必要になるセキュリティー技術を中心に研究活動に携わる後藤氏に、認識すべきセキュリティー上のリスクや、今後求められるID管理の考え方などを中心に伺いました。

後藤 厚宏(ごとう・あつひろ)氏プロフィール
1984年東京大学大学院工学系研究科情報工学専攻博士課程修了(工博)。NTT研究所にて並列・分散処理アーキテクチャー、インターネットセキュリティー技術、高信頼クラウドコンピューティグ技術、ID管理技術の研究開発等に従事。2007年よりNTT情報流通プラットフォーム研究所長、2010年よりNTTサイバースペース研究所長。現在、IEEE Computer SocietyのBoard of Governor、グローバルクラウド基盤連携技術フォーラム(GICTF)副会長。2011年7月より現職。主な研究テーマは、クラウド間連携環境下のセキュリティー技術。
URL:http://www.iisec.ac.jp (新しいウインドウが開きます)

企業グループ共通の基盤整備が
セキュリティー強化の起点

 「M&Aの加速や海外拠点の拡大にID管理システムが対応しきれないという状況は、グローバル戦略の強化を推進する多くの企業に共通した課題だといえるでしょう。例えばM&Aがあれば、ID管理の対象が急激に増加しますが、海外拠点の場合は、法制度やBYOD(Bring Your Own Device:個人所有デバイスの業務利用)に対する方針の違いにも対応した権限設定を行う必要があります。結果的に“脆弱な空白期間”が長期化してしまうケースは少なくありません。こうした状況で基本中の基本ともいえる施策が、企業内、あるいは企業グループ内で、どのレベルで信用するかというセキュリティーの尺度を統一する仕組みの整備です。具体的には、部門やグループ企業を横断して認証基盤を共通化する。もちろん、これですべてが解決できるわけではありませんが、今後のID管理を考えた場合のスタートポイントであることは間違いありません」
 後藤氏はID管理がビジネス環境の変化に対応しきれない状況がある現状を指摘したうえで、企業グループ内での認証基盤の共通化と一元管理の仕組みを構築することが重要だと強調します。背景にあるのは、M&Aに代表される海外拠点の拡大や、企業グループ内の情報システム間連携の拡大、派遣社員やパート労働者の増大といった労働形態の多様化。これまで日本企業が前提としていた、終身雇用を前提としたID管理システムでは、もはや環境の変化に対応しきれない状況が生まれているということです。
 「定期的な人事異動に対応できる仕組みはもちろん重要ですが、それだけでは対応できない迅速さが求められるようになっています。例えば人事異動は週単位で、国境を越えて行われている現状があり、ID管理もそのサイクルで社員の属性や権限を設定していかなければなりません。もはや企業のID管理も、コンシューマ向けのSNS(Social Networking Service)などと同じ感覚で考えていく必要があります」
 後藤氏が、企業グループ内での認証基盤の共通化をスタートポイントと位置づける背景には、もう1つの大きな環境変化があります。それは、クラウド化に伴い企業に求められる、信用境界の拡大に対応したセキュリティー対策です。後藤氏は、企業はこれまでのように、企業内、企業グループ内だから安心だという考え方を転換すべき時代を迎えたと指摘します。
 「これまで経営学の分野で、グローバル企業の要件として提唱されてきた“Extended Enterprise(エクステンデッド エンタープライズ)”という概念、サプライチェーンをさらに拡大した企業間の連携やネットワーク化という流れが、クラウド化の進展により加速しています。ところが、本来はポジティブな意味で使われていたこの用語が、セキュリティー上では、企業がサイバー攻撃の対象となる可能性を高めているという状況と認識する必要があります。グループ企業だから安心という考え方を捨て、ID管理のあり方を考えていく時代に入ったといえるのではないでしょうか」

▲ ページトップに戻る

外部サービスとの連携も視野に入れた
ID管理システムの構築が不可欠な時代に

 後藤氏が指摘する“Extended Enterprise”は、現在もグローバル戦略上は有効な概念だといえますが、同時に企業は人事や営業といった業務支援のクラウドサービスを利用することによるセキュリティー上のリスク増大という状況にも直面しています。その解決策として、米国では、IDaaS(ID as a Service)と呼ばれる、クラウド環境で提供されるID管理サービスを利用する動きも生まれているといいます。これは、IDaaSとグループ企業内のID管理システムを連携させることで、クラウド環境にも信用境界を拡大するという考え方です。後藤氏は、こうしたクラウド環境との連携を実現するうえでも、グループ企業内での認証基盤の共通化が不可欠だと指摘します。
 「企業としては、IDaaS連携に伴い、既設のID管理システムをすべて作り直すという事態は回避する必要があります。そのためには、標準的な技術を使い、企業グループ内で尺度を揃えた共通の基盤を整備しておくことが前提になります。つまり尺度を揃えておくことで、外部のサービスに対しても、このレベルで信用しましょうという契約に基づく仕組みの構築が可能になるということです。外部サービスの利用拡大に伴ってサイバー攻撃を受けた際に、何が起こったかわからないという状況では、企業の信頼は失墜してしまいます。仮に被害にあってもあるレベルにとどめる、あるいはIDと関連付けたログ管理で範囲を特定できるような仕組み作りが求められます」
 そこで、クラウド環境で提供される外部サービスとの連携も視野に入れた、標準技術を採用したID管理の仕組み作りがポイントになります。後藤氏は、企業がセキュリティーの強化を推進するためのID管理の重要性について、次のように話してくれました。
 「これまでの境界線がなくなり、今後も脅威にさらされる領域がさらに広がっていくことは間違いありません。こうした状況に対する最適解は模索されている段階です。しかし、閉じた世界だけで考えていても、解決策は見いだせません。本社ビルにいる人だから安心なのではなく、正当なIDで適切な権限を持っている人だから安心だと判断できるのが今の時代です。そうした考え方に基づき、危ないから止めるというのではなく、トライしてみるという姿勢が多くの企業に求められているのではないでしょうか」

▲ ページトップに戻る

説明図

IDaasを活用したID管理
出典:情報セキュリティ大学院大学・後藤 厚宏 氏

▲ ページトップに戻る