バーチャルファーストが求めるアイデンティティを理解する【条件1】

「ID」と略されるアイデンティティは識別子や身元証明ではない

　デジタルを前提にしたバーチャルファーストの時代に、より重要になるのが「アイデンティティ」である。システム上に構築されるバーチャルの世界で働く従業員と、リアルな世界に暮らす従業員を一致させる必要があるからだ。その結束点になるのがアイデンティティである。アイデンティティは今後、ますます重要になり厳格な管理が必要になる。そのためにはまず、アイデンティティについて正しく理解することが重要だ。

　アイデンティティは「ID」と略される。そのため「Identifier（識別子）」や「Identification（身元証明）」と混同されやすい。だが、これらは根本的に異なるものである。

　アイデンティティは「1人の人間の個性」を語源とする言葉だ。名前やメールアドレスのような静的な情報だけではなく、システムにアクセスした日付、承認者、承認日といったコンテクスト（文脈）やアクセス権限などの動的な情報も包含する（図2）。

図2：アイデンティティの概念

　例えば、システムへのログインを考えてみよう。この時にIDというとログイン時に入力するIDとパスワードを連想すると思う。だがアイデンティティでは、ログイン後のファイルやアプリケーションへのアクセス権限が適切に設定されているか確認する。その権限は業務によって変わるため、アイデンティティには、認証だけでなく業務上の責務と権利も含まれているといえる。

　正しく定義されたアイデンティティは、例えば無駄な業務をしていたり、普段はアクセスしない情報に頻繁にアクセスしたりしているといった異常な行動を検知するための判断基準にもなる。

　バーチャルファーストの時代では働く人が境界になる。これは、「何ものも信用せず常に検証する」とする昨今のゼロトラストセキュリティと同じ考え方であり、アイデンティティこそが安全性を有効にする基礎になる。新しいワークフォースモデルの基礎として、ビジネスの安定性と生産性向上の起点になるともいえる。

アイデンティティの軽視が情報漏えいを引き起こす

　このアイデンティティを正しく理解していなかったり重視していなかったりすればどうなるだろうか。最も分かりやすく、かつ重大な影響を受ける例が情報漏えいである。COVID-19のパンデミック以来、フィッシング詐欺が急増した。IDとパスワード（ログイン情報）を盗み出す攻撃だ。

　フィッシング詐欺では、入手したログイン情報を使って本人になりすましてシステムにログインし、その権限を使って様々な情報を入手する。たとえ重要なデータにアクセスできなくても、なりすました本人のメール内容は参照できる。ビジネス上のやり取りといった情報だけでも、サイバー攻撃者にとっては重要な情報になる。

　複数のサービスでIDとパスワードを使い回しているユーザーも多い。入手したログイン情報を使って他のサービスにもログインできる可能性が高い。そのためフィッシング詐欺によって入手されたログイン情報は、ネット上で数多く流通している。結果、94％というほとんどの企業がID関連の侵害を経験している（『Identity Security a Work in Progress』、米IDSA,2020。図3）。

図3：アイデンティティを重視しないことによるリスク

　情報漏えいは外部からの攻撃だけとは限らない。72％の企業が退職した従業員によるデータ盗難を検知している。その数は、2019年から2020年の1年間だけで230％と倍増した。管理上の問題から従業員に過剰な権限を与えてしまうケースもある。75％の企業が、本来の業務の範囲を超えて重要なデータにアクセスされ侵害を受けた経験を持つ。

　実際、企業の技術開発部門の社員が、機密情報に該当する技術情報を社内サーバーから私物のUSBメモリーにコピーし、私用PCとフリーメールにより中国の企業に送信した犯罪などがニュースになっている。

　アイデンティティ管理は非常に重要である。企業も時間とコスト、労力をかけている。にもかかわらず、約7割の企業が全システムの権限を棚卸できていない実態が明らかになっている。アクセス権と具体的な権限を全システムで棚卸している企業は32％にとどまる（『アイデンティティ動向調査』、ITR、2021年10月）。

　一方で、情報漏えいが発生してしまった場合のコストは年々増加する一方だ。情報漏えい1件当たりの平均総コストは、2006年の約3億8000万円が2020年には約9億3000万円に増加した（図4）。

図4：情報漏えいに伴う総コストは増加する一方

　特に内部関係者による情報漏えいでは、30日以内に復旧した場合でも約5億円、90日以上かかると約13億円かかるとされている。再委託企業の従業員が外部記憶媒体を経由して顧客情報を持ち出したケースでは、約2900万件の個人情報が漏えいし約260億円の損失が発生した。

　さらに、内部関係者による脅威により業務が中断または停止した企業が54％、重要なデータの損失を経験した企業が50％もある。ブランドへのダメージを経験した企業（38％）や、ダメージの修復のためにコストが発生した企業（28％）、競争力の低下を経験した企業（26％）など、内部関係者による情報漏えいは大きな問題になっている。

　こうした問題は、アイデンティティを厳格に管理することで大きく削減できる。バーチャルファーストや新たなワークフォースモデル、メタバースなどは企業を大きく成長させるチャンスであると同時に、大きなデジタルリスクにもなる。アイデンティティ管理に対しても、セキュリティ対策同様に重視し、その仕組みや体制を確立しておくことが重要になる。