2025年11月5日、関西のIT・セキュリティリーダーを対象とした、課題共有型の「KPMG × Okta Executive Round Table (ERT)」がデュシタニ京都で開催されました。 本会は、DX下の「IDセキュリティ」と「ガバナンス」の実践解を見出すことを目的とし、業種やフェーズの異なる多様なメンバーが「本音」で議論を展開しました。KPMGコンサルティング前田氏による「ID統合管理」とOkta石橋による「非人間アイデンティティ」の講演を起点に、各社の現状やAI時代の未来像について活発な意見が交わされました。 業界を超えて最適解を探求し、リーダー間のネットワークを強化する貴重な機会となりました。
アイデンティティ管理の分断に苦悩する現場のリーダー
本イベントの核となるラウンドテーブルでは、参加者から現場のリアリティを反映した多くの「パワーワード」や鋭い洞察が飛び交いました。前半の議論では、多くの企業が抱える共通の課題として「アイデンティティ管理の分断」と「ガバナンスの限界」が浮き彫りになりました。「アイデンティティ管理システムを入れたものの、人事システムとの連携が不十分」「海外拠点のガバナンスが効かない」といった、理想と現実のギャップに苦悩する声が多く聞かれました。特に印象的だったのは、「システム部門が把握していないPCが多数ある対策が必要」、「誰が持っているかわからない資産をどう守るか」といった、物理的な資産管理とアイデンティティ管理の狭間にある根深い問題でした。
後半のAIエージェントや非人間アイデンティティ(NHI)をテーマにした議論では、さらに未来志向かつ哲学的な議論へと発展しました。参加者からは「非人間アイデンティティを人間が管理すること自体がもはや無理ではないか」という本質的な問いが投げかけられました。これに対し、「非人間アイデンティティこそ、Oktaのようなソリューションに管理させ、人間はそのAIを監視する構造にシフトすべきだ」という意見が出されました。
また、生成AIの業務利用が進む中で、「AIエージェントが勝手に増殖する未来」への懸念も示されました。「社員やAIが自ら多くのAIエージェントを作成する時代に、それを誰がどう棚卸しするのか」という議論は、従来のセキュリティ管理の常識が通用しない時代の到来を予感させました。
その中で飛び出したのが、「AIに仕事が代替される中、人間は『職人』になった方がいいのではないか」という働き方についてのコメントもありました。AIが論理的な戦略や作業を担うなら、人間は人間にしかできないアナログな判断や身体性を伴うスキルに回帰するのではないかという議論です。一方で、「AIガバナンスボード」の設置や、「ガードレール(ここからはみ出さなければOK)」というアプローチで、AIの利活用とリスク管理のバランスを模索する現実的な考え方も共有されました。
最終的に、「人間がどう働くかという根本的な問題に行き着く」といった壮大なテーマまで議論が及び、参加者それぞれが自社の未来戦略を深く考えさせられるセッションとなりました。
Oktaが示すIdentity Security Fabricによる統合アプローチ
Okta Japanの石橋によるプレゼンテーションでは、ラウンドテーブルで浮き彫りになった「人材不足」「管理対象の拡大」「ツールのサイロ化」といった課題に対し、Oktaが提唱する解決策と将来ビジョンが示されました。
Oktaが目指す「Identity Security Fabric」という概念です。これは、IAM(アイデンティティ管理)、IGA(アイデンティティガバナンス)、PAM(特権ID管理)といった個別の機能を、「布(Fabric)」のように緻密かつ柔軟に連携させ、あらゆるアイデンティティとリソースをセキュアに結びつけるアプローチです。バラバラのツールを無理やりつなぐのではなく、統合されたプラットフォームでシームレスに管理することで、運用の複雑さを解消し、セキュリティレベルを向上させる狙いがあります。
具体的には、以下の3つのステップによるアプローチが提示されました。
可視化: 組織内に存在するあらゆるアイデンティティを見える化する。
制御: 特権管理やアクセス制御を適用する。
ガバナンス: 定期的な棚卸しやライフサイクル管理を行う。
特に重点が置かれたのが、「非人間アイデンティティ(Non-Human Identity)」の管理です。サービスアカウント、APIキー、ボット、そしてAIエージェントなど、「特定の個人に紐づかないID」が急増しており、これらが攻撃の標的になりやすい現状が指摘されました。Oktaの「Identity Security Posture Management (ISPM)」機能を活用することで、主要なクラウド基盤(AWS, GCP, Azureなど)やOktaやEntra ID内のリスクあるアカウントを可視化し、発見されたサービスアカウントをOktaのディレクトリに取り込んで一元管理する手法を紹介しました。これにより、所有者(オーナー)の特定、パスワードの自動ローテーション、定期的な棚卸しが可能になり、放置された「野良ID」のリスクを低減できると説明しました。
また、プラットフォームとしての「信頼性・可用性」への投資についても言及されました。顧客自身が任意のタイミングで災害復旧(DR)環境への切り替えを行える「Enhanced DR」(目標復旧時間5分以内)の提供を始めとしたリリース予定の新機能を紹介し、ミッションクリティカルなインフラとしての堅牢性を強化している点が強調されました。
KPMGコンサルティングが提言する持続可能な「統合管理」への道筋
KPMGコンサルティングの前田氏による講演「IDセキュリティの現状の課題と今後の統合管理の進め方」では、企業が直面しているアイデンティティ管理の複雑化の背景と、それを解決するための「統合管理」のフレームワークが提示されました。
前田氏はまず、IDセキュリティのスコープが歴史的にどのように拡大してきたかを整理しました。かつての「内部統制(J-SOX)」対応による特権ID管理から始まり、「クラウドシフト」によるIaaS/PaaS管理、「RPA等の人以外のアカウント」への対応、そして現在の「ゼロトラスト」対応へと、守るべき領域は広がり続けています。これに伴い、PAM(特権ID管理)、IDaaS、IGA(IDガバナンス管理)といったツールが次々と導入されてきました。
しかし、KPMGコンサルティングの調査(サイバーセキュリティサーベイ)によると、多くの企業でツールは導入されているものの、約4分の1の企業が「運用に課題がある」「うまく活用できていない」と回答しています。その根本原因として挙げられたのが、深刻な「サイバーセキュリティ人材の不足」です。人が足りない中で、ツールごとにバラバラな運用を行っていては、負荷が大きくなるのは明白です。
そこで前田氏が提唱したのが、「People(人)」「Process(プロセス)」「Technology(テクノロジー)」の3つの観点からの統合管理です。
People(組織の統合): これまでインフラ部門、セキュリティ部門、アプリ開発部門がそれぞれの論理で管理していたIDを、「ID管理専門組織」に集約し、一元的に運用する体制へのシフト。
Process(ルールの統合): 導入したツール(製品)ごとに運用ルールを作るのではなく、「IDの種別(一般ユーザー、特権管理者、開発者など)」や「リスクレベル」に応じた統一的な統制ルールを策定すること。これにより、ツールが変わっても揺るがないガバナンスが可能になります。
Technology(ツールの統合・最適化): 類似機能を持つツール(IDaaSとIGAなど)の重複を排除し、コストと管理負荷を低減させること。各ツールの得意領域を見極め、パズルのように最適に組み合わせるアーキテクチャの重要性が語られました。
前田氏のプレゼンテーションは、単なる技術論にとどまらず、組織論やプロセス改革を含めた包括的なアプローチであり、人材不足という現実的な制約の中で、いかにして持続可能なセキュリティ体制を構築するかという経営的な視点を提供するものでした。
定期開催のご案内
本イベント「KPMG × Okta ERT」は、今後も関西で定期的な開催を予定しております。変化の激しいセキュリティ領域において、他社のリーダーたちはどのような課題を持ち、どう乗り越えようとしているのか。ネットや書籍では得られない「生きた知見」と「本音の議論」がここにはあります。
次回も、皆様のビジネスに直結するタイムリーなテーマをご用意してお待ちしております。ぜひ奮ってご参加ください。
