コラム 2022.06.08

DXがもたらした特権ID管理の3つの変化 ~システム数の増加編~

column_011_thumbnail.png

DX(デジタルトランスフォーメーション)時代に突入した今、特権ID管理に求められる要件はどうなるのでしょうか?数回に分けて解説してまいります。

今回のテーマは、「クラウド編」「セキュリティ脅威編」に続く3つ目のポイントである「ITシステムの役割の拡大・システム数の増加編」です。

これまでのコラムはこちらから⇒ 「DXがもたらした特権ID管理の3つの変化 ~クラウド編~」
                「DXがもたらした特権ID管理の3つの変化 ~セキュリティ脅威編~」


ITシステムの適用範囲の拡大に伴う新たな課題

ITシステムは、近年その適用範囲が拡大し続けています。

これまでは、基幹系システムを中心に情報系・コミュニケーションツールなど、社員が利用する範囲にとどまっていました。
しかし近年ではECサイトやB2B、クラウドサービス・ASP、個人向けサービスなど、顧客や取引先に対して直接サービスを提供するためのシステムに適用範囲が拡大しています。IoT/AI・ビッグデータをはじめとする情報解析やM2Mなど、人を介さずにモノとモノが連携するシステムなども例外ではありません。

それに伴い、システム運用には大きく2つの課題が突き付けられています。

(1)継続的な安定稼働が求められるシステムの絶対量の増加

column_011_image01.pngITシステムの適用範囲が増加することにより、企業が抱えるシステムの絶対的な量は増加します。

他のシステムを拡充したからといって、以前から存在している基幹系システムが不要になるわけではないため、基本的にはシステムの数が増加することになります。

一方、システムの増加に伴ってリニアに運用管理体制が増強されることは残念ながらあまり考えられないため、より効率的な運用管理が求められるようになります。

(2)より柔軟にビジネスの変化に対応するための高頻度なシステム変更

サービス提供に直結するシステムなどは、顧客の要求にスピーディーに対応したり競合との差別化を打ち出すために、より高頻度なシステム変更が求められる傾向が強くなっています。

これまでのシステムは、どちらかというと一度決めた仕様で長く使用することが想定されており、変更には一定の理由とプロセスを経る傾向がありましたが、求められる要求に対応しようとするとスピード感に欠ける側面がありました。


発達するシステム変更管理やインフラ管理などの自動化

上記のような変化に合わせて、運用管理面に新たな考え方や仕組みが生み出されています。

column_011_image02.jpg

システムの変更は、CI(Continuous Integration、継続的インテグレーション)やDevOpsという考え方とそれを実現する仕組みが普及してきました。かつての変更管理プロセスや手作業での変更作業では、求められる要求にスピーディーに対応できないためです。
CIやDevOpsにおけるシステム変更は、ソースコードのコミットに合わせて自動でデプロイすることが可能なため、人の手作業によって変更することはありません。

インフラ・プラットフォームの設定や変更も、仮想化・クラウドなどプラットフォームそのものがソフトウェアとして定義可能になった(Software-Defined Infrastructure-SDI)ことで、自動で構築・変更可能な仕組みになりました。

これまで人による手作業が一般的だったその他の運用業務も、RPA(Robotic Process Automation)などの自動化技術が発達し、人の手作業を代替することが可能になってきています。


時代の要請によって変わる特権ID管理の要件

このような変化により、特権IDが利用されるシーンが徐々に変化し、管理要件も変わってきています。

(1)人が利用するだけの想定では要件を満たせない

従来のシステムにおける特権IDの管理要件は、主に「人」に対して貸与する範囲での対策に限定されている傾向がありました。不正使用や権限濫用は「人」が行ってしまうことが前提にあるためです。

しかし、前述の通り、管理対象システムの増大や高頻度な変更要求に対応するため、システム管理の更なる自動化が想定されます。

今やシステムに特権IDを使用してアクセスするのは、人だけではなく、連携対象のシステムやRPAロボットも想定しておく必要があるということです。

(2)システム連携やロボットによる特権ID利用に伴うリスクは?

では、特権IDを連携システムやロボットが使用するケースにおいて何がリスクになるのでしょうか?

それは、人以外が特権IDを使用する際には、システムに予め特権IDとパスワードを埋め込んでおく必要があるということです。

例えば、RPAに定型的なシステム管理業務を行わせる場合、システムにアクセスするための資格情報を実行手順の中に組み込んでおく必要があります。
すると、RPAの編集ツールで実行手順の中身を確認すると、重要システムにアクセスするためのID・パスワードの情報を簡単に取得できてしまうリスクが生じてしまうわけです。

また、誤って連携システムやRPAの手順に埋め込まれたパスワードを変更してしまうと、処理が正常に実行できなくなり、運用業務に大きな支障をきたします。

つまり、システム管理の自動化が進むことで、重要システムの資格情報が不正アクセスやシステム管理業務の継続性に関わるリスク要因が大きくなってきてしまうのです。


次回は、第1回から第3回までで解説した環境の変化を受けて、DX時代における特権IDを適切に管理するための具体的な要件について解説してまいります。


お役立ち資料のご案内

エンカレッジ・テクノロジでは、情報システム担当の方にお役立ていただける、特権アクセス管理に関するホワイトペーパーを無料でご案内しています。ぜひご参考ください。

特権ID管理のすべてが分かる指南書「特権ID管理のAtoZ」
こんな資料があります!
  • 特権ID管理のすべてが分かる指南書「特権ID管理のAtoZ」
  • 5分でできる特権ID管理のセルフチェックシート