企業におけるID・アクセス管理の重要性

重要性を増すゼロトラストの柱：アイデンティティ

企業におけるID・アクセス管理は、社内業務のデジタル化とシステム中心のビジネス運営が進む現代において、欠かせない要素となっています。多くの企業がIDや認証基盤の整備とその運用を今まで進めてきましたが、その重要性がさらに高まる中、改めて注目を集める領域だと言えます。

この背景の一つとして挙げられるのが、管理すべきIDの数や種類の増加、IDライフサイクルの複雑化です。

働き方やビジネス関係の多様化が進む中で、人に紐付くIDが増加・複雑化しています。
従来の正社員のIDに加え、委託先や協業先などの非正規社員のIDが増加しています。これらのIDは正社員のIDと異なる管理方法が取られているケースもあり、セキュリティが相対的に弱くなり攻撃の対象となる可能性があります。
さらに、雇用形態や働き方の多様性により、IDのライフサイクル管理の複雑さも増しています。
メンバーシップ型雇用からジョブ型雇用への移行、人材の流動化、多様な働き方の受け入れなどの変化に対応することが、企業には不可欠です。そのため、現実世界での人材の状況を、デジタル上のIDとそれに紐付く権限ステータスにタイムリーに反映し、一元的に管理・統制する必要が求められています。

また、企業や組織はこれまで主に人に紐付くIDの管理を中心に行ってきましたが、デジタル化の進展に伴い、クラウドサービス、IoT、DevOpsツールやスキャナー、AIエージェントなどが広く普及・活用されるようになると、IT・セキュリティ部門では人に紐付かないID、すなわちマシンIDやシステムIDの適切な管理も求められるようになりました。これらのIDは増加傾向にあり、今後もこのトレンドが続くことが予見されています。

注目を集める二つ目の背景として挙げられるのが、ゼロトラスト・セキュリティ・モデルの進展と成熟です。
コロナ禍を契機に、企業内でリモートワークが広がり、ゼロトラストへの取り組みや意識が劇的に進展しました。この変化に対応するためにデバイスやネットワークの領域に注力したIT・セキュリティ部門もあった一方で、既にID・アクセス管理を一定程度実施しているとの判断から、アイデンティティ領域の強化を後回しにするケースも見られました。

しかし、アイデンティティはゼロトラストモデルを支える第1の柱であり、この要素が欠けていてはゼロトラストの確立や、真のセキュリティの強化にはつながりません。昨今ではゼロトラストの初期対応が一巡し、さらなる進展を目指している企業などを中心にID・アクセス領域への関心が改めて高まっています（図表1）。

図表1：ID管理の重要性の高まり

不適切なID・アクセス管理がもたらすリスク

独立行政法人情報処理推進機構（IPA）が公開したレポートによれば、営業秘密の漏えいルートの中で最も多いのは「中途退職者（役員・正規社員）による漏えい」であり、全体の約3割を占めています（図表2）。

図表2：退職者は営業秘密漏えいの代表的なルート

これを防ぐには、情報持ち出しのルートを制限し、また漏えいと思われる事象が発生した際に速やかに検知・対応できるよう、許可されていない操作や不審な操作を監視する必要があります。加えて、機密情報に対する不必要・不用意なアクセスをそもそも発生させないようにIDやアクセス権限の管理を適切に行うことも非常に重要です。

具体例として、退職が決まった社員のIDに対しては、退職前であってもアクセス権限を業務引き継ぎなどに必要な最小限にとどめることが挙げられます。また、退職や異動が発生した際には、その職員に関連する全てのIDについて、即座に不要なIDや権限を削除・無効化することも求められます。
「退職時のアクセス制限」については、2025年5月に経済産業省が公表した「技術流出対策ガイダンス第1版」においても技術流出を防ぐための対策事項の一つに掲げられており、退職者に紐付く全てのIDとそのアクセス権限の状態を把握した上で、適切な制御を行うことが求められます。

その他の公開されているセキュリティインシデントの事例においても、ID・アクセス管理が適切に実施されていれば防止できたと考えられるものが多くあります。

企業におけるID・アクセス管理の構成要素

「企業におけるID・アクセス管理（Enterprise Identity and Access Management：EIAM）」は主に3つのコンポーネントに分けて考えることができます（図表3）。
各コンポーネントはそれぞれ関連性があり、ID・アクセス管理の高度化を図る上ではいずれも重要な要素です。各コンポーネントの説明は複雑・多岐にわたるため、本稿では概観をまず説明します。

1. ID・アクセス管理（Identity & Access Management：IAM）
   IDライフサイクルの基本的な管理や、ユーザー認証・アクセス権限の制御を行う、ID・アクセス管理の中心的機能です。
2. IDガバナンス管理（Identity Governance & Administration：IGA）
   企業内のシステムで散在管理されているID・アクセス権を一元的に統合管理し、組織全体のIDとアクセス権を把握・統制する機能です。管理対象IDの増加やIDライフサイクルの複雑化などを背景として、ID統制のニーズが強まっている昨今注目されている領域です。
3. 特権管理（Privilege Identity／Access Management：PIM／PAM）
   高い権限が付与されておりリスクの大きい特権IDやパスワードを厳格・セキュアに管理し、特権を保護する機能です。
   特権奪取は外部攻撃や内部不正を行う者の重要な関心事項として以前より認識されており、その保護のため手動運用やツールによる管理が行われていました。しかし、特権管理の不備に起因するセキュリティインシデントが依然として発生している状況などを背景に、高度な一元管理が可能なソリューションの適用や、セキュリティ関連ポリシー・運用プロセスの見直しによる厳格な管理への移行が進展している領域です。

図表3：EIAMを構成するコンポーネント

企業におけるID・アクセス管理の高度化における課題

ID・アクセス管理の高度化は重要ですが、適切に実行することは容易ではありません。
多くの組織ではID管理における人材リソースや知識（国際標準仕様やトレンドへの理解も含む）が不足しており、ソリューション導入が目的化して、統制や運用効率が低下する可能性があります。適切な対応には、全体像を理解した上で、組織固有のシステム構成や規制、コストなどを分析することが必要であり、同時に情報システム部門以外の他部署との連携も不可欠です。しかし、日本企業ではこの領域の専門家が少ないのが現状です。

まとめ

企業におけるID・アクセス管理は、デジタル化やゼロトラストセキュリティの進展でますます重要になっています。高度化に向けては、将来像を明確にし、優先事項を整理することが必要です。