2025年11月7日、渋谷のOkta JapanオフィスにてKPMGコンサルティングとOkta Japan共催の「Executive Roundtable(ERT)」が開催されました。当日は、製造、建設、金融など多様な業界のリーダーが集結し、KPMGコンサルティングの畠山氏による課題提起の講演、参加者がクローズドな場で本音を語り合うテーブルディスカッション、そしてOkta Japan石橋による解決策のプレゼンテーションが行われました。「人材不足」や「管理対象の増加」といった共通課題に対し、知見を共有しながら解決の視座を深めると共に、コミュニティ形成によるセキュリティレベルの底上げを目指し、AI時代のガバナンスについて熱心な議論が交わされました。
参加者から聞こえた現場の切実な声
ラウンドテーブルディスカッションでは、各業界の最前線に立つ参加者たちから、きれいごとではない現場の切実な声と、未来への洞察が数多く寄せられました。議論の中心となったのは、「理想と現実のギャップ」そして「AIという新たな波」への対応です。
まず、多くのテーブルで共通して挙がったのが「人材不足」というキーワードです。「セキュリティ、ネットワーク、ID管理、すべてを理解したスーパーマンのような人材は採用できない」、「頭数を揃えても、運用を回せるスキルを持つ人が足りない」といった声が多く聞かれました。ツールの導入は進んでも、それを設計・運用する「人」が不足していることで、理想的なガバナンス体制の構築が進まない現状が浮き彫りになりました。これに対し、「外部リソースの活用」や「自動化への投資」が不可欠であるという認識で一致しましたが、現場への定着には時間を要するという悩みも共有されました。
また、議論を白熱させたのが「AIと非人間アイデンティティ(Non-Human Identity)」というトピックです。ChatGPTなどの生成AIや、自律的に動作するAIエージェントの業務利用が進む中、「これらを誰がどう管理するのか」という不安が語られました。「AIエージェントが勝手にIDを持ち、会議に参加して議事録を作成する時代が来る」、「サービスアカウントやAPIキーなど、人に紐づかないIDが爆発的に増え続け、全体像を把握できていない」といった声が上がりました。
さらに、「組織とガバナンスの壁」についての議論も深まりました。「事業部門が稼いでいるため、IT部門が強い統制を効かせにくい」、「グローバル展開において、現地法人が独自のツールを使いたがる」、「M&Aで統合された組織間で文化が異なり、ID統合が進まない」といった、技術論以前の組織的な課題が赤裸々に語られました。これに対し、「外圧(法規制や他社のインシデント事例)がないと経営層や現場は動かない」といった意見が出る一方で、「だからこそ、IT部門が見える化を進め、リスクを提示し続けるしかない」という覚悟の声も聞こえました。
Oktaが示すIdentity Security Fabricによる統合アプローチ
Okta Japanの石橋によるプレゼンテーションでは、ラウンドテーブルで浮き彫りになった「人材不足」、「管理対象の拡大」、「ツールのサイロ化」といった課題に対し、Oktaが提唱する解決策と将来ビジョンが示されました。
その中核となる考え方が「Identity Security Fabric」です。これは、IAM(アイデンティティ管理)、IGA(アイデンティティガバナンス)、PAM(特権ID管理)といった個別の機能を、「布(Fabric)」のように柔軟に連携させ、人間や非人間などのあらゆるアイデンティティとリソースをライフサイクル全体で管理するアプローチです。バラバラのツールを無理やりつなぐのではなく、統合されたプラットフォームでシームレスに管理することで、運用の複雑さを解消し、セキュリティレベルを向上させる狙いがあります。
具体的には、以下の3つのステップによるアプローチが提示されました。
可視化: 組織内に存在するあらゆるアイデンティティを見える化する。
制御: 特権管理やアクセス制御を適用する。
ガバナンス: 定期的な棚卸しやライフサイクル管理を行う。
特に強調されたのが、「非人間アイデンティティ(Non-Human Identity)」の管理です。サービスアカウント、APIキー、ボット、AIエージェントなど、「特定の個人に紐づかないID」が急増しており、これらが攻撃の標的になりやすい現状が指摘されました。Oktaのポスチャ管理機能「Identity Security Posture Management (ISPM)」を活用することで、主要なクラウド基盤(AWS, GCP, Azureなど)やOktaやEntra ID内のリスクあるアカウントを可視化し、発見されたサービスアカウントをOktaのディレクトリに取り込んで一元管理する手法が紹介されました。これにより、所有者(オーナー)の特定、パスワードの自動ローテーション、定期的な棚卸しが可能になり、放置された「野良ID」のリスクを低減できます。
また、プラットフォームとしての「信頼性・可用性」への投資についても言及されました。お客様自身が任意のタイミングで災害復旧(DR)環境への切り替えを行える「Enhanced DR」(目標復旧時間5分以内)の提供を始めとしたリリース予定の新機能が紹介され、ミッションクリティカルなインフラとしての堅牢性を強化している点が強調されました。
KPMGが示す「統合管理」への道筋
KPMGコンサルティングの畠山氏による講演では、長年アイデンティティ管理の現場に携わってきた専門家の視点から、企業のセキュリティ対策の変遷と、現在直面している構造的な課題、そして解決に向けたフレームワークが提示されました。
畠山氏はまず、過去20年におよぶアイデンティティ管理の歴史を振り返りました。2000年代前半のJ-SOX法対応に始まる「やらされ仕事」としての特権ID管理から、クラウド普及期におけるIDaaSの導入、非人間アイデンティティの出現、そして現在のゼロトラスト環境下でのIGA(アイデンティティガバナンス)導入へと、時代と共に管理対象とツールが複雑化してきた経緯を解説しました。
しかし、最新の「サイバーセキュリティサーベイ」の結果が示す現実は厳しいものです。多くの企業がツールを導入しているものの、過半数が「運用に課題がある」、「うまく導入できていない」と回答しており、その根本原因として圧倒的な「人材不足」があることが指摘されました。セキュリティ人材の不足は深刻で、多くの組織が10名未満の体制で運用を回しており、個別のツールごとに最適化を図る従来のアプローチは限界を迎えています。
この状況を打破するために、畠山氏は「People(組織)」「Process(運用)」「Technology(技術)」の3つの観点から統合的なアプローチを提唱しました。
まず「People(組織)」の面では、インフラ部門、セキュリティ部門、システム担当が縦割りでIDを管理している現状を見直し、全社的なアイデンティティ管理機能への統合を推奨しました。これにより、管理の重複や漏れを防ぎ、限られた人的リソースを効率化できます。
次に「Process(運用)」では、導入したツール(PAMやIDaaSなど)に合わせて運用を決めるのではなく、「IDの種別(特権、一般、中間権限など)」に応じたリスクベースの管理ルールを策定すべきだと説きました。特に、ツール間の隙間に落ちやすい「中間的な権限」の管理ルールを明確化することの重要性が強調されました。
最後に「Technology(技術)」の面では、歴史的な経緯で導入された複数のツール(IDaaS、IGA、PAM)が機能重複を起こしている現状を整理し、コストと運用の最適化を図る必要性を訴えました。「どの機能をどのツールに任せるか」を再定義し、統合していくことが、持続可能なセキュリティ運用の鍵となります。
畠山氏は、これらの変革は一朝一夕には進まないものの、外圧(法規制やインシデント)だけでなく、内発的な業務効率化の観点からも、個別最適から全体最適へとシフトしていくべきだという示唆で講演を締めくくりました。
次回開催に向けて
KPMGコンサルティングとOktaでは、このような「Executive Roundtable(ERT)」を東京や関西で定期的に開催し、各業界のリーダーの皆様と知見を共有する場を提供しています。変化の激しいセキュリティトレンドをキャッチアップし、他社のリーダーたちと本音で語り合える貴重な機会です。次回も新たなテーマと共に皆様のご参加をお待ちしております。ぜひ、次回のERTでお会いしましょう。
