ヘルスケアデータ二次利用による企業価値向上を支える「デジタルコンプライアンス」の在り方(小野薬品)
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
近年、あらゆる業務でデジタル化が加速しています。それに伴い、アイデンティティ(ID)管理の重要性も高まっています。しかし、ID管理のソリューションを適切に導入し、正しく運用するには専門的な知見が必要です。本セッションではID管理を手掛ける3社の専門家に、ソリューションが求められる背景や導入の要点、やってしまいがちな失敗とその対策などについて伺いました。(本文敬称略)
登壇者
SailPointテクノロジーズジャパン合同会社
パートナー事業本部長 兼 ビジネス開発本部長
盛口 泰孝氏
Okta Japan株式会社
ソリューションエンジニアリング本部
本部長
三船 亜由美氏
CyberArk Software株式会社
ソリューションズ・エンジニアリング本部 第一 SE 部 部長
斎藤 俊介氏
モデレーター
PwCコンサルティング合同会社
パートナー
小林 公樹
※法人名、役職、インタビューの内容などは掲載当時のものです。
左から小林、盛口氏、三船氏、斎藤氏
左から小林、盛口氏
ID管理の現状と課題
小林:
最初に本セッションが取り上げる範囲を説明します。アクセス管理には「顧客のアクセス管理(Customer identity access management:CIAM)」と「従業員・パートナー社員のアクセス特権管理(Enterprise Identity and Access Management:EIAM)」の2つの領域がありますが、今回はEIAMに焦点を当てます。では、最初に皆さんの自己紹介をお願いします。
盛口:
SailPointテクノロジーズジャパン(以下、SailPoint)の盛口です。日本国内でのビジネス開発およびパートナーアライアンス全般を統括しています。
三船:
Okta Japan(以下、Okta)の三船です。ソリューションエンジニアリング本部で技術営業のプリセールスチームを統括しています。
斎藤:
CyberArk Software(以下、CyberArk)の斎藤です。CyberArkへは2017年の日本法人設立時から参画しています。
小林:
皆さんのお話を伺う前に、私からID管理の現状を説明します。デジタル化の進展やクラウドの導入、リモートワークの増加などに伴い、ビジネス環境は急速に変化しています。それに伴いIT環境も変化し、サイバーリスクも拡大しています。
その結果、課題となっているのがID管理のあり方です。デジタルサービスの増加によりID管理は複雑になりました。その結果、ユーザーの利便性は低下し、管理者の負担は増加しています。また、雇用形態が多様化したことで、ID漏えいのリスクが増大しています。実際にダークウェブでは、流出したID情報が売買されています。もはやID管理は限界を迎えていると言っても過言ではありません。
ID管理は「効率的かつセキュア」であることが重要です。そのために必要なのが以下の要素です。
- 人事システムなどと連携してユーザー情報を自動で更新する「ライフサイクル管理統制の自動化・効率化」
- 認証基盤管理による「シングルサインオン(SSO)の実現」
- 複数のID情報から権限を設定して動的に権限を変更する「IDを利用した認証・認可」
- 申請に基づく特権IDの払い出しやログ管理による「特権アクセス管理の最適化」
これらを実現するアプローチとして注目されているのが、以下の4つです。
- Identity and Access Management(IAM):IDとアクセス管理
- Privileged Access Management(PAM):特権アクセス管理
- Identity Governance and Administration(IGA):IDガバナンスと管理
PwCが2023年に実施した調査では、69%の企業がIGAツールやIAMツールを導入し、高い満足度を得ていることが判明しています。一方、こうしたツールの導入にあたっての課題として「社内メンバーとの調整不足」「既存関係の複雑さ」「知見不足」「製品とのミスマッチ」が挙げられています。
ID管理の最新トレンド―各社の見解は―
小林:
では早速ですが、ID管理をどのように捉えているか皆さんにお伺いします。盛口さん、いかがでしょうか。
盛口:
IGA(IDガバナンスと管理)の分野についてお話しします。小林さんのご指摘のとおり、近年のマーケット変化とそれに伴うIT環境の変化によって、管理すべきIDの数と種類は指数関数的に増加しています。もはやマニュアルでの管理は不可能になりつつあります。
こうした状況では、ユーザー側と管理者側の双方が問題を抱えることになります。ユーザーはIDとパスワードの管理が煩雑となり、システムを効率的に活用できない環境となってしまいます。さらに、管理者側はパスワードリセットや権限付与への対応負荷が増大しています。
この課題に対応すべく、企業はSSOなどを導入し、利便性の向上を図っています。しかし、それだけでは不十分で“落とし穴”もあります。企業がSSOや多要素認証を導入してユーザーの利便性を高めても、IDの権限設定が適切でない場合は、サイバーセキュリティリスクが高まってしまうのです。
これを防止するには、認証だけでなくIDのアクセス権限設定と利用状況を統合的に管理する仕組みが必要だと考えています。具体的にはアイデンティティ(ID)管理システムと連携する複数の業務システムを双方向で連携し、アクセス権限情報をアイデンティティ管理システムで統合的に管理するのです。これにより“不正なアカウント”を含めたリスクが可視化できます。
小林:
三船さんはいかがでしょうか。
三船:
ID管理がビジネス環境においてキーとなるのは、大きく以下のような背景があると考えます。
- M&Aや拠点の統合など、「人が所属する組織の変化」
- SaaS(Software as a Service)の利用促進など、「人が使うシステムやアプリケーションの変化」
- 転職の増加に伴う「人の流動化」
Oktaで毎年行っている「Businesses at Work*1 」という調査レポートでは、2023年時点で大企業では1社員当たり200以上のアプリケーションを使用していることが明らかになりました。こうした過去にないような変化が起きているビジネス環境において、従業員の生産性を担保しつつ、セキュリティを確保するためにも、ID管理の重要性は高まっています。
ただし、ID管理の仕組みそのものはあくまでも手段であり、最終目的はビジネス環境の変化への対応です。ですので以下のポイントに留意してID管理を運用する必要があると考えています。
- 柔軟性:人や組織の流動性に対応できること
- 機能拡張性:ビジネス要件の変化に応じて機能を拡張できること
- 安全性・安定性:ビジネスを止めないために安全かつ安定的に動作すること
- 運用性:自動化で属人的な問題を解消すること
ID管理でよくある課題の1つは、プロセスの属人化によるトラブルや、手動対応によるセキュリティリスクなどです。新入社員、異動社員がアプリへアクセスできるまでに時間がかかるとか、辞めた人のアクセス権限が残ってしまっているなどです。そういった課題は、運用の自動化で解決できる部分が大きいのです。自動化とセルフサービスによる運用性の向上は、直接的な運用コストの削減効果もあります。
例えば、パスワードトラブルに関するIT部門への問い合わせを減らすことで、1人当たりの削減効果が年間数万円に上った事例もあります。統合的なID管理を実現するためには、運用しやすいアクセス管理とガバナンスの機能拡張が重要です。
斎藤:
CyberArkは毎年「アイデンティティ セキュリティThreat Landscapeレポート*2」という調査を行っています。それによると、現在は人のIDとマシンIDの増加が顕著であり、多くの企業で「2023年にIDを中心とした問題が発生する」と予測していたことが明らかになりました。
このことから、セキュリティの中心としてIDの保護が重要になると考えています。サイバー攻撃の大半は特権IDを狙った不正アクセスであることから、管理とセキュリティの両面が重要であると捉え、PAM(特権アクセス管理)に注目しています。
サイバーキルチェーン*3では特権奪取と特権昇格のタイミングで被害額が大きくなります。つまり特権を守ることで、侵入や不正アクセス被害にあってもダメージを少なくできるのです。
PAMのアプローチは、オンプレミスでもクラウドでも大差がありません。攻撃側は社内外を問わず不正侵入し、IDと特権を盗取します。目的のIDを盗取できない場合は、システム内で水平移動を行い、重要なデータにアクセスできるクレデンシャルを見つけて特権アクセスを盗取します。ですから特権を守ることはサイバー攻撃対策としても重要なのです。
これはクラウド環境においても同様です。ただし、クラウドネイティブの時代においては、保護すべき特権IDが多様化しています。従来は一般ユーザーIDと特権IDの2種類だけでした。しかし、現在は以下の5種類があり、それぞれの特性に応じた管理が必要だと考えています。
- ルートやAdministratorなど、常に存在して消せない「システムアカウント」
- システムやクラウド連携で利用するマシン用の「アプリケーションアカウント」
- メンテナンス作業の際に用いる「オペレーショナルアカウント」
- 経営層や部門長が経営に関する情報にアクセスする「ビジネス管理者アカウント」
- 一般ユーザーが利用する「一般アカウント」
例えば、システムアカウントは通常は使用できないようにしたり、オペレーショナルアカウントは必要な権限のみ付与して、不要時は使用不可にしたりするといった対策が有効です。また、ビジネス管理者アカウントは悪用された場合の影響が大きいため、SSOと作業証跡を取得し、状況によって特権IDとして保護するなどの対策が必要です。
また、仮想マシンで利用するIDは必要時のみ作成し、作業が終わったら削除するといった「ジャストインタイム(JIT)アクセス管理」なども選択肢に入れる必要があります。
左から盛口氏、三船氏
左から三船氏、斎藤氏
デジタルID管理推進で起きがちな失敗とその対策
小林:
次にデジタルID管理を推進するうえでの留意点を伺います。新たなID管理を実施する際に起きがちな失敗があれば教えてください
三船:
新たなID管理の導入に向けて投資対効果を考える際には、初期投資だけに目が行きがちです。これからのビジネス環境は変化し続けていくことを前提に考えるべきであり、運用フェーズにおいていかに追加コストなしに変化に追随できそうかもあらかじめ念頭に入れておく必要があります。
また、繰り返しになりますがID管理は手段であって目的ではないということは忘れてはなりません。例えば、グループ会社や拠点ごとにバラバラのID管理を統合するような一大プロジェクトがありますが、統合そのものが目的のようになってしまうケースがまれにあります。目的をあくまでビジネス環境変化への対応と位置付ければ、場合によっては無理に統合するのではなく、既存はそのままにオントップで柔軟なID管理の仕組みを導入することで、ビジネス変化にも十分対応できうるID管理の実現も可能です。
斎藤:
特権アクセス管理の導入・運営で失敗するパターンは3つ挙げられます。
1つ目は特権アクセス管理導入の目的が明確でないケースです。「なぜ導入するのか」が曖昧で場当たり的に運用設計をしてしまうと"穴"ができてしまいます。
2つ目は1回のプロジェクトですべてを管理しようとすることです。IDセキュリティは外部環境の変化に応じて柔軟に運用を見直し、継続的に実施するものです。「1回やったら終わり」ではありません。
3つ目は導入・展開時に明確な旗振り役がいないケースです。IDの導入には各システムの管理者やマネジメント層との交渉が不可欠です。これを主導する人物が不在だったり、各部門とのコミュニケーションが取れていなかったりすると、導入作業はストップしてしまいます。
小林:
そうした失敗を回避するにはどうすればよいでしょうか。
斎藤:
まずは特権アクセス管理導入の目的を明確化することです。例えば、セキュリティ対策やガバナンス・コンプライアンスの強化、運用の利便性向上、運用コストの削減などの「ゴール」を確認したうえで、運用方法を事前に決定することです。
特権アクセス管理やID管理の導入は単一のプロジェクトではなく、複数の部門が当事者になる企業全体を通した継続的なプログラムです。「何をどのように守るのか」を決めるには情報資産の重要度を決定したり、保護対象のIDを定義したりする必要があります。その際にはIDの権限の“幅”や導入の“容易性”をスコアリングするといった作業も必要です。
導入・展開の旗振り役は、情報システム部の責任者が担うケースが多いと思います。導入で重要なのは、現場の声を聞くことです。既存のID管理に対する不満を吸い上げ、新たなID管理をどのように既存環境に適用していくのかを考える必要があります。その際には現場のリーダーとの勉強会やヒアリングを通じてナレッジを共有するといったことも重要です。
小林:
ソリューションによる解決だけでなく、部門間のコミュニケーションや進捗管理といった、人やプロセスも重要になります。
プロジェクトの立ち上げや人的な面での支援が必要な場合は、ソリューションベンダーやコンサルティングの活用も強力な推進力になります。PwCは導入や継続的な運用、ID管理を取り巻くトレンド情報の提供といった領域でご支援できると考えています。本日はありがとうございました。
*1 Businesses at Work
https://www.okta.com/jp/businesses-at-work/
*2 CyberArk 2023アイデンティティ セキュリティThreat Landscapeレポート
https://www.cyberark.com/ja/resources/white-papers/executive-summary-cyberark-2023-identity-security-threat-landscape-report-jp
*3 サイバーキルチェーン
サイバー攻撃が行われる一連のプロセスを7段階の行動にモデル化した枠組み。「キルチェーン」は軍事用語で敵の攻撃の構造を破壊・切断して自軍を防御するアプローチを指す。
特別対談:デジタルトラストの構築に向けたPwCのアクション
20 results
Loading...
デジタルアイデンティティを支える技術―ソリューション導入の失敗事例と成功事例―(SailPoint/Okta/CyberArk)
アイデンティティ(ID)管理のソリューションが求められる背景や導入の要点、やってしまいがちな失敗とその対策などについて、ID管理を手掛ける企業の専門家3名にお話を伺いました。
プライバシーガバナンス最前線―データ利活用を促進していくために、いま企業に求められていること―(リクルート/TMI)
膨大な量の個人情報を扱うリクルートのデータ保護・プライバシー保護専門部署の責任者と、プライバシー&セキュリティコンサルティングを専門とする弁護士を招き、今必要とされている取り組みと今後の展望を議論します。
デジタルプラットフォーム取引透明化法の「モニタリング・レビュー」にみる、新しい時代のトラストとは(経済産業省)
2021年2月に施行されたデジタルプラットフォーム取引透明化法の中で注目されている「モニタリング・レビュー」。同法に携わる経済産業省の担当者をお招きし、モニタリング・レビューの果たす意義と新しい時代におけるトラストのあり方を伺いました。
Loading...
インサイト/ニュース
20 results
Loading...
中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
Digital Trust Insights 2025:CxOとCISOの連携が、複雑化するデジタル法規制によって生じるギャップを埋める
PwCが世界77カ国・7地域のビジネス・テクノロジー・セキュリティなどの分野の経営層4,042名を対象に実施した調査結果をもとに、本レポートではセキュリティ強化の上で日本企業が抱える課題と課題解決のためのアプローチ、その有効性について解説します。
ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
「サイバー攻撃被害に係る公表」に関する国内組織実態調査 第2回―インシデント検知から1週間以内に公表する企業は半数を超える―
PwC独自のインシデントデータベースをもとに国内組織のインシデント公表事例を分析し、傾向および組織への推奨事項をまとめました。前年調査よりも「今後の対応」を記載する組織が大幅に増え、政府ガイダンスの記載項目に即したインシデント公表の広がりが明らかになりました。
Loading...
