 |
井上 亨 氏 IDC Japan のセキュリティリサーチマネージャー セキュリティベンダーで開発、マーケティングのマネジャーを経て現職。セキュリティ分野の調査全般に携わる。 |
皆さんは「IAM(アイデンティティ・アンド・アクセス・マネジメント)」という言葉をご存知だろうか。
IAMとは、企業内に複数ある情報システムやアプリケーションのアクセス権を、一元的に管理するための独立したソリューションを指す言葉。従来のように、情報システムやアプリケーションごとに個別にアクセス権を管理するのではなく、システム全体の入り口で正当なユーザーだけを受け入れ、アクセスできる範囲や権限を細かく制限・制御する考え方である。
ここに来て、企業のセキュリティ対策としてIAMが注目されている。背景にあるのは、いわゆる日本版SOX法の施行に伴う内部統制の義務化と、企業における個人情報保護の強化だ。
内部統制は2008年4月から義務付けられ、企業は業務の有効性・効率性、財務報告の信頼性を高め、同時にコンプライアンスを強化するよう求められる。また、企業活動におけるセキュリティ確保は喫緊の課題であり、事実、個人情報や顧客情報の流出はいまだに後を絶たない。
一見すると、財務報告とコンプライアンス、個人情報保護の三つは次元が違う話題に思える。ところが現代のIT社会においては、こうした情報の機密を守りながら厳重に保護し、しかも完全性を確保したうえで法令を順守することこそが、企業にとって最も重要なテーマなのである。
こうした状況を商機と捉え、素早く反応したのが、セキュリティ対策を提供するベンダーだ。情報漏洩対策や日本版SOX法への対応をうたった製品やソリューションを、この1~2年で数多く投入したのである。
ところが従来型の製品では、情報漏洩を防ぎながら内部統制まで実施するのは想像以上に難しい。企業で扱うデータやアプリケーション、システムの種類が増え続けているからだ。その結果、適切なソリューションを選び出すだけで、企業の担当者は頭を悩ませているのが実態である。
そこで、企業全体の情報保護と内部統制の双方を強化していくための“入り口”として有効なのがIAMである。
日本版SOX法では、財務情報の機密性と完全性を証明するために、「関係するシステムへの不正アクセスがないこと」「データに改ざんがないこと」を証明する必要がある。IAMは、システムやアプリケーション群全体のアクセス権を細かく管理し把握できるので、財務情報にかかわるシステムやデータの正当性を証明しやすい。
それだけではない。現在のように雇用体系が柔軟になると、人事異動や勤務体系の変更、退職などで人の動きが激しい。業務システムも複雑になっているので、IDとパスワードの管理は煩雑になり、管理コストは増大していく。経営者やシステム管理者にとって、それが大きな課題になっている。
ここでも、一元的にアクセス権を管理するIAMが役立つ。社内に散在していた大量のIDを集約して管理するので、管理のコストも手間も減らせるからだ。
従来の発想のまま個人情報保護や内部統制を続けていては、コストも手間も膨れあがるばかり。こうした悩みを抱えている企業は、セキュリティ対策の発想を転換し、IAMに注目してみてはいかがだろうか。
