IDガバナンスにおけるデータアナリティクスの活用

企業がニューノーマルの働き方を採用するなか、サイバーセキュリティ関連のコストを抑制しながらビジネス価値を高め続けることが求められるようになりました。コロナ禍以前と同様にITおよびサイバー分野のリーダーには、ID管理ソリューションへの投資効果の実証と投資コストの正当化が求められています。

大規模な組織でのIDガバナンスは、そのシステムを維持するために多大なリソースと資金が投入され、成熟した機能を持っています。経営層は運用およびコンプライアンスの要件を必要最低限満せば、より強力なビジネス価値やリスク要因がない限り、さらに資金を投入するインセンティブはほとんどありません。
ただ、組織がIAM(IDおよびアクセス管理)の取組みに着手したとしても、その多くはビジネス目標を達成できずに終わっています。これは、IAMプロジェクトの初期段階では操作性と接続性の問題に焦点が当てられ、リスク軽減の優先順位付けを行うことができていないことに起因します。

金融、ヘルスケア、通信などの規制の厳しい業界を中心に、リスクマネジメントとコンプライアンスは、IAMへの投資を促す最も説得力のあるビジネス要因です。しかし、投資効果の定量化は難しい場合があります。一般的に、リスクと業務効率の指標として以下が挙げられます。

  • 危険性の高いアカウントの削除件数と、回避した潜在的な攻撃の数
  • アカウント管理に関するヘルプデスクへの問い合わせ件数
  • アクセス件数と、その処理時間

変化の激しい昨今、IDガバナンスはより高い価値を示すことが重要です。つまり、グローバル経済のデジタル化が加速する中、IAMとガバナンスのソリューションもこれに追随する必要があります。たとえば、手作業で確認していたアクセスレビューを、四半期ごとに実施するオンラインでのアクセスレビューへ移行するだけでは、もはや不十分です。より高度な技術(異常検知、機械学習、教師あり学習等)を有するデータアナリティクス機能を活用できるデータ駆動型IDモデルは、ビジネスに対して価値を示す鍵を握ることになるでしょう。

データアナリティクスで劇的に変わるID・アクセス管理

データアナリティクスによって、多くの企業がビジネスデータから適時に貴重な洞察を得ることができるようになりました。こうした洞察は、より効率的にビジネスを運営する方法を特定し、より多くの情報に基づいた意思決定を可能にします。そして最終的には、サービスの向上やコスト削減、顧客満足度の向上につながります。IDガバナンスとIAMのリスク管理についても、データアナリティクスを用いることができます。たとえば、リスクの高い事象を迅速に検知し、起こり得る違反行為を予防し、業務効率を高めてコストを削減する機会を提供することを可能にします。IDガバナンスにおけるデータアナリティクスの適用例には、次のようなものがあります。

  • ID関連データの異常検出
    ID関連データ(アクセス要求、アクセス権変更、ユーザーの雇用形態など)を用いた分析結果を、危険な行動の評価・特定に使用することができます。教師あり、教師なしの両方の機械学習アプローチも活用できます。たとえば、教師ありの機械学習は、ユーザーのアクセス履歴を分析し、異なる認証モードの使用や予期しないIPアドレスからのログインなどの異常な行動を検出することができます。
    一方、教師なしの機械学習は、一般的な挙動と照らし合わせることで異常な挙動を見つけ出します。一度リスクのある事象が特定されると、ユーザーから過剰で不適切な権限を削除したり、異常値を調査したりすることで、リスクを軽減することができます。異常値を特定する他の技術としては、ネットワーク分析、ネットワークグラフ、ピアグループ分析、共通の役割分析などを用いたクラスタリングがあります。
  • アカウント監視とポリシー違反の検出
    アカウント監視機能を用いることで、所有者不在のアカウントや、利用されていないアカウント、過剰または未使用の権限を持つアカウントなど、従来のID管理で見過ごされていた箇所やポリシー違反をチェックすることもできます。さらに、IAMソリューションで生成する新しい行動データをAIに学習させると、動的な変化に対応できる強化モデルが構築され、新たな異常値をより適切に予測・特定できるようになります。
  • コンプライアンス対応等におけるアナリティクス
    ID分析ソリューションは、企業が義務付けられている定期的なコンプライアンス対応(監査など)のサポートも行えるほどに進化しました。さらに、IDライフサイクルのワークフロー(アクセス要求、承認、資格情報のレビューなど)に分析機能を組み込むことで、関係するアプリケーションやデバイスの種類、リスクスコア計算に関する洞察を得ることができます。これにより、企業の調査担当者や承認担当者が、情報に基づいて、正確かつ迅速に意思決定できるようになります。
  • アクセス権および役割の自動提供
    eコマース・プラットフォームが購入履歴や閲覧した商品に基づいて、別の商品やサービスを顧客に「おすすめ」できる仕組みのように、AI主導の分析でユーザーのアクセス権や役割を自動的に推奨するようになることも期待されています。たとえば、現在の役割に付与されたすべての権限を必要としないパターンをあるユーザーが示した場合、不要なアクセス権限の剥奪を自動的に推奨します。これにより、本来アクセスできないはずのシステムやデータにユーザーがアクセスするリスクを最小化できます。

AIを活用したIDガバナンスがもたらす業務効率の向上

「データアナリティクスとAIによって自動化されたIDガバナンスの世界が到来する」と断言できる、説得力のある根拠があります。セキュリティ領域における専門家の不足に加えて、コスト削減の圧力も高まる中、情報セキュリティ責任者(CISO)には、より少人数でより多量の業務を遂行することが求められています。アクセス要求や認証などのID管理・IDライフサイクルに関する業務には、繰り返しが多く、作業ミスが発生しがちです。そのため、信頼性が高く、かつリスクが低い決定を自動化できるAIソリューションは、企業にとって有効な解決策となり得るでしょう。ただ、導入が成功するかどうかは、企業全体におけるユーザーのアクセスパターンを低リスク、中リスク、高リスクに分類し、検出できるか否かにかかっています。

リスクの削減、業務効率の向上、コスト削減のいずれかを目的とする場合でも、これらの技術は非常に有効です。自動化と分析により、IDガバナンスチームは、複雑な意思決定と活動を管理するための時間とリソースを増やすことができ、日常的なIAM業務におけるエラーと疲労を軽減することができます。同時に、データ漏洩のリスクも軽減されるでしょう。企業は、リスクにさらされていないという確信を持って、コンプライアンス対応にあたることができるはずです。
次世代のデータアナリティクスは、企業データへのアクセスによって予測分析機能の自律性を更に高め、リスクが顕在化する前に決定を下すことができるようになるでしょう。

データアナリティクスは、ID管理ソリューションが直面するすべての課題を解決できるわけではありませんが、多くの問題を効率的に、また、確実に処理できる強力なツールであることは間違いありません。在宅勤務の従業員をサポートする必要性の高まりや、ITエコシステムの拡大、ITインフラのクラウドへの絶え間ない移行の中で、企業ITの境界は複雑になりつつあります。ID管理は、安全なワークスペースを維持するための基盤となり、IDのライフサイクルと関連するリスクを効果的に管理するためには、自動化とデータが不可欠な要素となっています。

ID管理のプロジェクトは、長期的なスケジュールを伴う大きな投資になる可能性がありますが、IAMに関するセキュリティリスクを迅速に管理し、早期に投資対効果を得るためには、データアナリティクスを活用することが必要です。

本レポートは、KPMGインターナショナルが、2022年6月に発表した「Taking identity governance to the next level」を翻訳したものです。翻訳と英語原文間に齟齬がある場合には、当該英語原文が優先するものとします。

原文はこちらから(英語)
Taking identity governance to the next level

関連サービス

Powered Enterprise Cyber

デジタル化を推進する上でサイバーセキュリティは必要不可欠であり、特にアイデンティティ&アクセス管理(IAM)、セキュリティインシデントレスポンス、脆弱性管理の整備は非常に重要な要素となっています。
KPMGは、独自のソリューションであるPowered Enterprise Cyberを活用し、デジタル化を推進するためのさまざまな課題解決を支援します。

サービスの詳細はこちら

お問合せ