アイデンティティセキュリティにおける従来の思考の落とし穴
「Identity is the New Perimeter(アイデンティティこそが新たなセキュリティ境界である)」という言葉を耳にしたことがあるのではないでしょうか。セキュリティ業界で頻繁に繰り返されており、それには正当な理由があります。多くの企業では、アイデンティティは長い間、補助的な機能として位置づけられてきました。システムへのゲートウェイ、アクセスを管理するためのポリシー、セキュリティチェックリストの一項目として扱われてきたのです。
しかし、状況は急速に変化しています。
アイデンティティは、人、デバイス、システムがつながるしくみの中心に位置しています。また、攻撃者がエンタープライズシステムへの侵入を試みる際に、に最初に狙うポイントでもあります。いまだにアイデンティティをバックエンドの処理と見なしているようなセキュリティモデルでは、現代の脅威には対応できません。
リモートワークの台頭、クラウド環境の拡大、 SaaS アプリケーションの爆発的な増加により、アイデンティティ関連の攻撃の対象領域は劇的に拡大しています。認証情報の窃取やセッションハイジャック、フィッシング耐性のある多要素認証(MFA)をすり抜ける手口も、日常的に使われるようになっています。同時に、一元管理型の境界ベースのモデルを前提とした従来のアイデンティティシステムは、その限界を露呈しつつあります。
本記事では、アイデンティティセキュリティに関する従来型の考え方がいかに組織をリスクにさらすのか、なぜそのリスクが検出されにくくなっているのか、そして状況をコントロールするために企業にどのような変化が求められているのかを見ていきます。
アイデンティティセキュリティに対する従来のアプローチ
一歩下がって、アイデンティティシステムがそもそもどのように構築されたかを振り返ってみましょう。
従来のアイデンティティとアクセス管理(IAM)ツールのほとんどは、一元管理型の環境向けに設計されていました。たとえば、VPN、オンプレミスのアプリケーション、管理されたデバイス、そしてオフィスで働くユーザーを想像してみてください。こうした状況において、アイデンティティの役割は主にアクセスコントロール、つまり「誰が・いつ」システムにアクセスできるかという点に限定されていました。
認証方法はかなり制限されていました。基本はパスワードで、セキュリティを強化するためにワンタイムパスコードやトークンを使っていたケースもあったかもしれません。MFAやシングルサインオンは、任意の機能として扱われることが多く、必須とはされていませんでした。これらは利便性を高めるための機能と見なされており、不可欠なセキュリティ対策とは位置づけられていなかったのです。
そうした考え方は、見直されるべき時期を過ぎてもなお根強く残っていました。組織がクラウドへと移行していく中でも、アイデンティティシステムの進化は十分に追いついていませんでした。多くのシステムは、セキュリティスタックの他の構成要素と分断されたままで、プロビジョニングや削除処理も手動で行われ、アクセスはアプリケーションごとに管理されていたのです。
可視性は限られており、自動化は最小限で、ユーザーアクティビティに関する文脈情報も欠落していることがよくありました。状況は大きく変化した今も、多くの組織ではこうした体制が見直されていません。この時代遅れのモデルは、今でははるかに複雑化した環境においてもなお使われ続けており、まさにその点が攻撃者に狙われているのです。
今日、攻撃者はネットワークの境界を突破しようとはしていません。狙われているのは、アイデンティティそのものです。アイデンティティが重要な防御層ではなく、単なるチェックポイントのように扱われていれば、そのすき間は簡単に突かれてしまいます。
アイデンティティが新たな攻撃対象領域に
アイデンティティの使われ方、そして悪用のされ方におけるこの変化は、大きな意味を持ちます。攻撃者はもはや強固なインフラを無理やり突破する必要がないことを学習しています。多くの場合、見落とされたアイデンティティ制御を悪用するか、脆弱な認証をすり抜けるほうが簡単なのです。一度内部に侵入すれば、攻撃者はほとんど抵抗を受けることなく横方向に移動できます。特に、アイデンティティが能動的なセキュリティレイヤーではなく、受動的なチェックポイントのように扱われている場合はなおさらです。
同時に、アイデンティティを狙った脅威は、より一般的になり、ますます複雑化しています。セッションハイジャック、トークン窃取、MFAバイパスは、もはや珍しい手法ではなく、日常的に使われています。巧妙な攻撃キャンペーンは、認証フローや認証後のアクセスを標的にしています。さらに、AIや自動化の活用により、こうした攻撃はかつてないほど急速に拡大しています。
数字がその深刻さを物語っています。Oktaも参加したベライゾンの「2024年度データ漏洩/侵害調査報告書」によると、セキュリティ侵害の80%以上において、ID情報の侵害が関係していました。2023年には、攻撃者がFortune 1000企業の従業員から19億件以上のセッションクッキーを窃取しています。アイデンティティに関連する攻撃は前年比で180%増加しており、今もなお侵害の検知から封じ込めまでに平均272日もかかっています。
これらは特殊なケースではなく、従来のツールや手法ではもはや不十分であることを示す明確な兆候です。アイデンティティセキュリティのアプローチで、ユーザー、サービスアカウント、デバイス、クラウドアプリ全体にわたるリスクをリアルタイムで低減できないのであれば、その環境には攻撃者が突きやすい死角が存在しているということになります。
スタックの分断が生むセキュリティの死角とは
では、こうしたセキュリティの死角はどこから生まれているのでしょうか。その出発点は「分断」にあります。最新のエンタープライズ環境は、クラウドサービスやSaaSツール、レガシーシステム、サードパーティとの連携など、さまざまな要素が組み合わさって構成されています。こうした構成はスピーディーで柔軟性があり、スケーラブルでもありますが、その一方で非常に複雑です。新しいアプリケーションやサービス、プラットフォームが追加されるたびに、アイデンティティ基盤の複雑性がさらに増していきます。
課題は規模だけではありません。各レイヤー間につながりがないことが問題です。多くの場合、アイデンティティは個別に管理されており、異なるチームがそれぞれ異なるシステムのアクセス管理を担っています。認証ポリシーもアプリごとに異なり、ログイン履歴やユーザー行動などのアイデンティティ関連データも、連携されていない複数のプラットフォーム上に分断された状態で存在しています。
その結果、一貫したアクセスコントロールを維持したり、セキュリティポリシーを一律に適用したりすることはほぼ不可能になります。MFAが一部では有効化されていても、他の部分では見落とされているかもしれません。従業員に対してはアクセスの削除(デプロビジョニング)が行われても、契約社員やサービスアカウントには行われないこともあるかもしれません。また、一元的に可視化する手段がないため、こうしたギャップは手遅れになるまで発見するのが困難です。
攻撃者にとって、これは理想的な状況です。分断によって対応時間は遅れ、設定ミスも見逃されやすくなり、攻撃者にとっては発見されずに動ける経路がさらに増えます。現代のアイデンティティ戦略は、現代のスタックの実態を踏まえたものでなければなりません。システム全体を見通す視野とリアルタイムの洞察がなければ、セキュリティチームは不完全な情報で対処することになり、それがまさに侵害発生の原因となるのです。
従来のIAMが現状に対応できない理由
ここまでで、従来型のIAMソリューションが今日の環境に適した設計になっていないことは明らかです。たとえ意図は善意であっても、多くのセキュリティチームはいまだに、別の時代に作られたアイデンティティシステムを使い続けています。こうしたツールは、アクセスニーズがゆっくりと変化し、アイデンティティが企業ネットワークの内側にとどまっていた静的な環境を前提に設計されたものでした。
今私たちが直面している状況は、すでにそれとは大きく異なっています。現在の環境は変化が激しく、アイデンティティは常に追加・変更・削除されています。契約社員に対して、数日間のアクセスが一時的に付与されることもあれば、新しいSaaSツールがその場で導入さることもあります。ユーザーは、管理されていないデバイスから、タイムゾーンをまたいで、どこからでも接続してきます。残念ながら、従来型のIAMシステムの多くは、こうした変化のスピードについていけていません。
従来型のIAMシステムでは、「誰が何にアクセスできるか」という情報をリアルタイムで把握することができず、リスクシグナルや状況の変化にも迅速に対応できません。ユーザーのプロビジョニングやアクセス権の取り消し、権限の監査といった作業の多くを手作業に頼っており、アイデンティティの数が増えるにつれて、こうした作業の管理は困難を極めます。
こうしたすべての要因が、セキュリティチームだけでなく、組織全体に摩擦を生み出します。脅威への対応は遅れ、ポリシーの一貫性が失われ、設定ミスも見逃されやすくなります。こうしたギャップが長く放置されるほど、攻撃者に悪用される可能性は高まります。
リスクを軽減し、ユーザー・アプリケーション・サービス間でのセキュアなアクセスを実現するには、アイデンティティを単独で管理することはできません。セキュリティスタック全体と連携させ、環境内の他の要素と同じスピードで機能させる必要があります。
最新のアイデンティティ戦略を後回しにする代償
レガシーツールの限界を認識することと、その認識を基に行動に移すことは別問題です。多くの組織にとって、アイデンティティのモダナイゼーションは長期的なプロジェクトであり、より差し迫った課題が片付いたあとに取り組むべきものと考えられがちです。しかし実際には、先延ばしにすることでリスクはかえって高まります。アイデンティティがセキュリティスタックの他の要素と分断されたままの期間が長くなるほど、小さな見落としや時代遅れのプロセスが蓄積していきます。
アカウントの削除漏れ、多要素認証(MFA)の適用のばらつき、数か月間誰にも管理されていないサービスアカウントなど、いずれも攻撃者が狙う典型的なギャップであり、アイデンティティが静的なポリシーと手動の確認作業で管理されている状態では、見落とされがちです。
とはいえ、代償は侵害のリスクにとどまりません。プロセスの遅延や非効率なワークフロー、可視性の欠如といったかたちでも現れます。こうした状況により、セキュリティチームが事後対応型に陥り、長期的な改善を優先したり、より広範なセキュリティ成果を推進したりすることが困難になります。
最新のアイデンティティ戦略を活用することで、組織はアイデンティティを戦略的な強みに変えることができます。システム全体を見渡せるようになり、リアルタイムでの意思決定が可能になり、リスクが深刻化する前に対処することができます。モダナイゼーションを先延ばしにすればするほど、隠れていたギャップは現実の問題となって表れ、セキュリティチームやビジネス、そして守るべき人々にまで影響を及ぼすことになります。
アイデンティティを セキュリティの要に
アイデンティティが主要な攻撃対象領域となっている今、これを確実に保護することが、統合性とレジリエンスに優れたセキュリティ戦略の鍵となります。Oktaの電子書籍『アイデンティティをセキュリティの要に 』では、アイデンティティをセキュリティアーキテクチャの中核に据えるための実践的な戦略を紹介しています。また、現代の環境が直面する実際のリスクや、レガシーシステムが残したギャップ、次世代のアイデンティティセキュリティを支える3つの原則についても解説しています。
インフラストラクチャのモダナイゼーションやアクセス制御の強化、複雑な環境全体のリスク低減に取り組む企業にとって、本ガイドは、戦略設計と実践の両面で確かな指針となるはずです。自信を持って次のステップへ踏み出すために必要な戦略やフレームワーク、ベンチマークを手に入れたい方は、ぜひ電子書籍をダウンロードしてご活用ください。
