リスク状況に応じた対策と明確な戦略を

ところでデジタルアイデンティティを実際に使用する形態としては、PCのソフトウェアにインストールして使われるものや、マイナンバーカードのようにICカードで配布されるもの、機器に組み込まれているものなどさまざまであるが、読者の皆さまは、ご自分の組織においてこれらのデジタルアイデンティティがいくつぐらいあると思われるだろうか?

図1は自組織において用いられている暗号鍵やデジタル証明書の、おおよその数を尋ねたものである。5001〜5万という回答で全体の約6割を占め、全体での平均値は8万8750とのことである。ちなみに回答者の64%が5000人以上の大規模組織に所属していることから、前述の数字はそのような大規模組織における相場観と考えてよいであろう。

写真を拡大 図1. 組織内で用いられている暗号鍵やデジタル証明書の数(出典:Ponemon Institute / The Impact of Unsecured Digital Identities)

これだけ多数の暗号鍵やデジタル署名が組織内で使用されているということは、これらを適切に管理するのが困難であることは容易に想像できる。

また、このように暗号鍵やデジタル証明書が増える理由の一つとして、規制などへの対応が挙げられている。本報告書によると回答者の66%が、業界の基準やITポリシーに準拠させるために、暗号技術の層を追加していると回答しており、これによって暗号鍵やデジタル証明書の数が増えていると想像できる。また回答者の64%が、暗号鍵やデジタル証明書の管理のために運用コストが増え、作業効率が下がっていると指摘している。

デジタルアイデンティティに限らず一般論として、セキュリティー対策を強化することと、それによる運用管理コストの増加や作業効率の低下はおおむねトレードオフの関係にあるから、やみくもに対策を強化するのではなく、管理対象の重要性やリスクの状況に応じて適切な対策方法を選ぶ必要があるし、そのような対策方法の選び方について組織の中で一貫性を保つには、組織においてセキュリティーに関するポリシーや戦略を明確にする必要があるであろう。

管理・運用する人材育成も課題

図2は、自分の組織におけるデジタル・セキュリティー戦略の中で特に重要なものを尋ねた結果である(3つまで選択可)。最上位となったのは「IoTデバイスの認証と管理」である。これは近年のIoTデバイスの急増に伴い、それらの管理コストの増加をいかに抑制しつつセキュリティーを確保するかが特に重要になってきたということであろう。以下、証明書の有効期限を知ること、ITインフラの複雑さを減らすこと、職場において未知の証明書が使われるリスクを減らすこと、規制に準拠すること、などが続いている。

写真を拡大 図2. 自分の組織におけるデジタル・セキュリティー戦略の中で特に重要なものは何か?(複数回答)(出典:Ponemon Institute / The Impact of Unsecured Digital Identities)

しかしながら一方で、回答者の53%は ITセキュリティーに関する適切な資格を持つ人員を雇うことができないと回答している。いかにセキュリティー技術が進歩し、組織としてポリシーや戦略を決められたとしても、それを実際に適用し、運用管理する人員が足りなければ、必要十分なセキュリティーを確保することはできない。

日本においても情報セキュリティーに関する人材の育成が重要な課題の一つとして認識されているが(注2)、デジタルアイデンティティの管理運用に関するノウハウも含めて人材育成に投資し、そのようなノウハウを持つ技術者に適切な対価を支払う(そのために必要な予算を確保する)ことが、インターネットやITをより安心して活用していくために、今後ますます求められるであろう。

■ 報告書本文の入手先(PDF 40ページ/約3.2MB)
https://info.keyfactor.com/the-impact-of-unsecured-digital-identities-2020-report-critical-trust-index

注1)独立行政法人情報処理推進機構(IPA)「アイデンティティ管理技術解説」
https://www.ipa.go.jp/security/idm/

注2)一例として総務省が作成した次の資料に、日本における具体的なデータが掲載されている。
「我が国のサイバーセキュリティ人材の現状について」(平成30年12月)
https://www.soumu.go.jp/main_content/000591470.pdf