#35 もう一度考えたいID管理／アイデンティティ・セキュリティの重要性 ～昨年のランサムウェア事案からの示唆～

2025年、当レポートの過去掲載記事でも取り上げましたが、ランサムウェア被害が大きな話題となりました。その報告書なども一部公開され、企業のサイバー防御において、境界型防御だけでは多様化・クラウド化した業務アプリを守り切れず、「誰が・どこから・何にアクセスできるのか」を常時検証し、必要最小限に統制するゼロトラストの考え方に基づいた対策は、優先して取り組むべき課題として触れられています。

そこで、本レポートでは昨今の事案から示唆されるリスクも踏まえ、不正アクセスの出発点である“アイデンティティ（ID）”に関する施策＝“アイデンティティ・セキュリティ” の重要性について解説します。

1.事例が示す「IDがカギ」—ASKULランサムウェア調査報告

 出典： [ASKULランサムウェア調査報告書 | PDF] 

2025年10月、ASKUL社はランサムウェア攻撃により物流システム等が暗号化され、サービス停止と情報流出の重大な被害を受けました。調査では例外的に多要素認証を適用していなかった、業務委託先に対して付与していた“管理者アカウントの認証情報”が不正利用された可能性が指摘され、初期侵入後に攻撃者が権限を横展開し、EDRを無効化しつつ複数サーバーへ移動、バックアップまで削除して暗号化を一斉展開したと分析されています。
この過程は、一つのIDに過剰権限が集中し、MFA適用や継続監視が不十分な環境では、攻撃者にとって“最短経路”になることを示しています。報告書でも、全リモートアクセスへのMFA徹底、管理者権限の厳格運用、24/365監視、EDR導入・多層検知の構築が再発防止として明示されています。 

報告書内に記載されている対策のうちIDに関連する内容として、以下２点が挙げられています。

    1.MFAの“全面適用”と例外排除

     ・全てのリモートアクセスにMFAを徹底。

            -例外運用は攻撃者の抜け道になる可能性があります。
　2.管理者権限の最小化・分割統治

     ・特権の集中は横展開の燃料になり得ます。権限の棚卸とSoD（職務分掌）適用などで、最小権限の原則を維持することが重要です。

2.「ID管理」と「アイデンティティ・セキュリティ」の違い

 IDがカギと前項で記載しましたが、“ID管理”と“アイデンティティ・セキュリティ”の違いはご存じでしょうか？
“ID管理（IAM/SSO/MFA）”は認証の統合と利便性向上が中心で、ログインの「入り口」を守る仕組みです。
これに対し“アイデンティティ・セキュリティ（IGA）”は、ログイン後の「何にアクセスでき、何ができて、何をしているか」を管理し、入退社、異動などのイベントも含めた“権限のライフサイクル”を統治します。全てのアプリケーション・データ・環境にわたり、誰が何にアクセスできるかを可視化・相関し、最小権限を継続的に強制するのがアイデンティティ・セキュリティの本質です。 

 3.なぜ今、アイデンティティ・セキュリティが“必須”なのか    

 事例でも触れられている内容にはなりますが、改めて、アイデンティティ・セキュリティが“必須”と言われる理由としては（一般論にはなりますが）下記が挙げられます。 

1.攻撃起点の大半が「認証情報の乗っ取り」 

      フィッシングや情報窃取型マルウェアは、最終的に有効なIDと過剰権限を狙います。

         過剰権限の可視化と是正（クリーンアップ）、 最小権限の継続適用を自動で回し続ける仕組みがなければ、

         防御は穴だらけになります。

2.クラウド・SaaSの普及による権限の爆発    

       IaaS/SaaS/ERP/ファイル共有などにSSOでログインする場合、ID＝複数のアプリ権限の束となり、

         共有フォルダのグループ権限や、アクセス権限の間接付与が見落とされがちです。

         権限の可視化、ビジュアライズ（グラフ化など）で直接・間接の権限の関連を可視化し、

         SoD違反や特権の集中を瞬時に把握することが重要です。

3.ゼロトラストを“運用で”成立させる制御点 

       ネットワークの位置ではなく“ロール（職務）”に基づきアクセス許可を出す発想に転換するには、

         職務ロールと権限のモデル化、承認・棚卸の証跡が必要です。

         これを全社で維持する中枢がアイデンティティ・セキュリティです。 

4.契約社員、協力会社、マシンID、AIエージェントなど様々なアイデンティティタイプの管理の必要性 

       契約社員、協力会社などの外部人材のIDだけでなく、昨今利用が増えているAIエージェントや、Botなどが利用する

　    マシンIDについても管理が必要です。これらは様々な社内のリソースにアクセスし情報を収集するため、

         人間と同等レベルで適切な管理が為されなければインシデントのリスクになり得ます。その権限が過剰でないか、

         誰が管理者として運用しているかの棚卸が必要です。 

5.監査・コンプライアンス対応の効率化 

       誰が、いつ、どの情報にアクセスしたかを統合的に監視・証跡化し、棚卸（レビュー）と是正を

         ワークフローで回すことで、SOX等の監査要求に“平時運用の延長”で応えられます。 

ここまで事例を交えながら、アイデンティティ・セキュリティの重要性について記してきました。
ゼロトラスト・セキュリティが提唱されて久しい昨今ですが、まだまだお客様とお話する実感として、ID、特にアイデンティティ・セキュリティに関わる領域の整備、対策には余地があります。（もちろん皆様お考えなのですが、どうしてもPJの推進、運用を検討される際にご苦労されている印象です・・）

とはいえ、攻撃者は待ってはくれませんので、ランサムウェアによるIDの搾取など、インシデントが全社レベルの事業停止に直結する、“ID＝最も攻撃される標的”であることを前提としていただき、アイデンティティ・セキュリティを恒常運用として根付かせることが、ゼロトラストの実装、ひいては事業継続を守る最短ルートであることを引き続き弊社としてもお伝えしていく所存です。 

アイデンティティ・セキュリティはもはや“あればいい”技術ではなく、企業戦略に不可欠な要素です。是非、ご検討の際は弊社にもお声掛けいただき、アイデンティティ・セキュリティの実装に向けて議論の機会をいただけますと幸いです。