Blog

Everything Must Change
(by Barbra Streisand)

【仕事集】クラウド化とBYODの急激な普及。転換迫られる情報セキュリティ対策

2016年1月22日

ITPro_認証強化ソリューション特集_記事執筆

企業の情報管理者には過酷な時代になってきた。オンプレミスからクラウド環境へ。BYOD(Bring Your Own Device:個人所有デバイスの業務利用)の急速な浸透。さらには、人・モノがインターネットにつながるIoE(Internet of Everything)を見越した環境整備の必要性が目の前にまで迫っている。システムを守るといった従来型のセキュリティ対策が見直しを迫られている。

■見直しが迫られるセキュリティ対策

ファイアウォール、侵入検知(IDS)や侵入防止システム(IPS)の導入。ソフトウエアの脆弱性に対する情報収集とアップデート管理。ウイルス対策やSQLインジェクション対策など、情報管理担当者はセキュリティ対策に奔走している。

そうした取り組みに反して、セキュリティ被害は収束の気配を見せない。それどころか、ここにきて大規模な被害が再び増加してきた感すらある。MM総研(東京都港区)のレポートによると、セキュリティ担当者がいる国内大手企業300社を対象にした調査で、その被害額は2012~13年にかけて83%も増加している。この背景には、企業システムを取り巻く環境の変化がある。

ここ数年で、企業を取り巻くシステム環境が大きく変わっている。クラウド化とBYODの急激な普及だ。それに伴って、モバイルワークや在宅勤務など、ビジネスパーソンを取り巻く労働環境も変化している。今や、同じ会社でも一人ひとりのワークスタイルは異なり、それぞれのワークスタイルに合わせてどこからでも企業ネットワークへアクセスできる環境の構築が進み始めている。デバイスや従業員の管理も複雑化しているのが現状だ。

さらに、基幹系、業務系合わせて膨大な数のパッケージによって構成されているのが昨今の企業システムの姿だ。その運用を外部のパートナー企業などに委託するようになり、従業員以外も重要な情報にアクセスできる環境になっている企業も少なくない。そうなるとシステムへのアクセス管理はさらに困難を極める。14年7月、通信教育大手企業から 3504 万件の個人情報が名簿販売業者に流出する内部不正事件が発覚し、企業は顧客に総額200億円の補償をすることになったのは記憶に新しい。

■システムを守るから情報を守るへ

こうした環境の変化は、システムをいかに守るかといったこれまでのセキュリティ対策を一気に無力化してしまう。変化のスピードがますます速くなることが予想されるなか、これまで取り組んできたシステムそのものへの対策に加え、「情報」そのものを保護するための取り組みが求められている。セキュリティ対策のなかでも、認証管理の重要性が増している理由はここにある。

認証管理の仕組みとして、これまで企業の多くはIDとパスワードを活用してきた。さらに、パスワードを複雑にして、サービスごとに使い分け、それを短期的に変更するといったことを認証管理ルールとしている企業も多い。ただ、セキュリティを強化すればするほど、ユーザーエクスペリエンスという点において利用者の満足度は低下するセキュリティジレンマに陥る。さらに、パスワードの失念などによるIDメンテナンスの煩雑さをもたらしている。

増え続けるID/パスワードの数や使用実態を把握するのはもちろん、アクセス権限の変更や追加、削除、IDの停止や廃止を適切に行うことは、運用管理者にとって非常に大きな負荷となってきている。そこで注目を集めているのが、認証管理をサポートするツールの数々だ。

クラウド型のワンタイムパスワード認証サービスやWEBサイトの所有者情報、発行者の署名データを持ったSSLサーバー証明書、公開鍵暗号基盤(PKI)を生かした電子証明書など、システム管理者のニーズに応える様々なサービスが登場している。

クラウドサービスの利用やスマートデバイスの活用が増加しているなかで、企業内の情報の管理や監査をする上でも、企業ネットワークへの認証を適切に管理する仕組みを作ることは避けては通れないフェーズに入っているといっても過言ではないだろう。