DXの進展でアイデンティティの保護が最優先課題に【第1回】

　DX（デジタルトランスフォーメーション）は、スウェーデンのウメオ大学のErik Stolterman（エリック・ストルターマン）教授が2004年に「ITの浸透が、人々の生活をあらゆる面でより良い方向に変化させる」と提唱したことに端を発している。

　この「社会の変化」を表した概念から生まれたDXは、その後の20年間で、社会に深く浸透してきた。特に2020年の新型コロナウイルス感染症（COVID-19）によるパンデミック以降、オフィスに出社できないという制約も相まって、企業におけるDXへの取り組みが一段と活性化した。それに伴って企業・組織体は、業務効率化や自動化、テレワークなどを実現するために各種のアプリケーションやサービス、クラウドの採用を進めている。

　こうした企業システムの多様化において、私たちの働き方に大きな変化をもとらしたのがテレワークの導入促進であろう。ただ昨今のテレワーク環境では、UX（User eXperience：ユーザー体験）を維持し生産性を担保するため、VPN（Virtual Private Network：仮想私設網）を利用しないアクセスを許容している企業・組織体が多いと考えられる。

　以前は、リモート環境から業務に従事し、クラウドサービスを利用する際には、VPNを使って社内ネットワークに一度アクセスしてから利用するのが主流だった。それがコロナ禍で爆発的に増加したリモートアクセスにより、VPN装置の能力不足やインターネット回線の帯域不足といったハードウェア面での問題から、需要を満たす設備構成を整えられず、結果としてVPNを利用しないテレワークが増加したと推察される。

テレワークとクラウドの採用増が防御境界線を変えた

　このようなIT（Information Technology：情報技術）の発展に伴って、企業・組織体の業務環境の変化に合わせる形で、サイバー攻撃も高度化してきている。サイバー攻撃のほとんどは、ユーザーやデバイスアプリケーションに埋め込まれた資格情報が起点になっている。

　その資格情報を狙う手段としては、ソーシャルエンジニアリング、キー操作記録、パスワードクラッキングなどに加えて最近は、MFA（Multi-Factor Authentication ：多要素認証）疲弊、サプライチェーン、ディープフェイク、セッションハイジャック、生成AI（人工知能）技術などを利用した新たな攻撃手法が出現してきている。

　企業・組織体はこれまで、その内部に存在している貴重な資産を守るために、内部ネットワークと外部（インターネット）との間に設置した境界ネットワークを防御するだけで良かった。

　なぜなら、業務従事者は基本的に企業・組織体の専有スペース（オフィス）にあって、内部ネットワークと共通のセキュリティ対策が実装された専用デバイスを利用して業務に従事しており、インターネット接続時には境界ネットワークを必ず経由するからだ。境界ネットワークにおいて、外部から内部への不審アクセスの防御や、内部から外部への通信の監視などを実施すれば、安全性を担保できる。

　しかし、テレワークの台頭によりリモート環境から業務に従事する機会が増え、クラウドの導入促進に伴い、クラウド上にも企業・組織体の貴重な資産が存在するようになった。そこでは、境界ネットワーク型の防御だけでは貴重な資産を守るのが困難になってきている。そこで注目されているのが「アイデンティティ」である。

　働き方や利用するIT環境が大きく変わっても、企業・組織体の貴重な情報資産にアクセスするための最初のステップはシステムへのログインだ。それには個人を識別するアイデンティティが不可欠である。

　つまり、アイデンティティは重要な役割を持っており、そのアイデンティティを守ることが、貴重な情報資産を脅威から防御する上で最も優先して検討すべき事柄なのだ。現代の複雑なITシステム環境においては、アイデンティティこそが新たなセキュリティの境界線であると言える。