【特権ID管理のセキュリティリスク対策は万全？】特権IDの付与に対して、約6割が「抵抗感あり」80.8%が、特権IDの部分的権限付与に興味

• 調査サマリー

▼本調査のレポートダウンロードはこちら

https://www.bosco-tech.com/document/privileged-account-wrongness-2406/

• 調査概要

調査名称：特権ID管理に関する実態調査

調査方法：IDEATECHが提供するリサーチPR「リサピー®︎」の企画によるインターネット調査

調査期間：2024年6月10日〜同年6月11日

有効回答：特権IDを管理するセキュリティシステムを導入している企業の情報システム担当者109名

※構成比は小数点以下第2位を四捨五入しているため、合計しても必ずしも100とはなりません。

• 特権IDの管理ツールとして、約半数が「サードパーティ製品（クラウド型（SaaS））」を使用

　「Q1.あなたの会社で、特権ID管理に使用しているツール（セキュリティシステム）は何ですか。」（n=109）と質問したところ、「サードパーティ製品（クラウド型（SaaS））」が45.9%、「サードパーティ製品（オンプレミス型）」が20.2%、「自社開発」が17.4%という回答となりました。

Q1.あなたの会社で、特権ID管理に使用しているツール（セキュリティシステム）は何ですか。

・サードパーティ製品（クラウド型（SaaS））：45.9%

・サードパーティ製品（オンプレミス型）：20.2%

・自社開発：17.4%

・オープンソース：3.7%

・その他：1.8%

・わからない/答えられない：11.0%

• 特権ID管理においてもっとも重要な機能、「アクセス制御」が47.7%で最多

　「Q2.特権IDを管理するに伴い、どのような管理/機能がもっとも重要だと思いますか。」（n=109）と質問したところ、「アクセス制御」が47.7%、「ログ管理」が27.5%、「監査機能」が11.9%という回答となりました。

Q2.特権IDを管理するに伴い、どのような管理／機能がもっとも重要だと思いますか。

・アクセス制御：47.7%

・ログ管理：27.5%

・監査機能：11.9%

・セッション管理：7.3%

・レポーティング：0.9%

・その他：0.0%

・わからない/答えられない：4.6%

• 4人に1人が、現在使用している特権ID管理ツールの機能に「満足していない」という実態

　「Q3.あなたは、現在使用している特権ID管理ツールの機能に満足していますか。」（n=109）と質問したところ、「あまり満足していない」が22.9%、「全く満足していない」が0.9%という回答となりました。

Q3.あなたは、現在使用している特権ID管理ツールの機能に満足していますか。

・非常に満足している：13.8%

・やや満足している：54.1%

・あまり満足していない：22.9%

・全く満足していない：0.9%

・自分では使用していない：8.3%

• 特権ID管理ツールの機能に関する不満、「サポートが不足している」「カスタマイズが難しい」など

　Q3で「あまり満足していない」「全く満足していない」と回答した方に、「Q4.使用している特権ID管理ツールの機能の、どのような点に不満があるか教えてください。（複数回答）」（n=26）と質問したところ、「サポートが不足している」が53.8%、「カスタマイズが難しい」が38.5%という回答となりました。

Q4.使用している特権ID管理ツールの機能の、どのような点に不満があるか教えてください。（複数回答）

・サポートが不足している：53.8%

・カスタマイズが難しい：38.5%

・セッション数が少ない：30.8%

・クライアントごとに独自のソフトウェアを入れる必要がある：30.8%

・操作が難しい：30.8%

・専用ハードウェアが必要：23.1%

・パフォーマンス（例：同時接続数など）が低い：23.1%

・その他：0.0%

・わからない/答えられない：7.7%

• 約6割が、特権IDを付与することに対して「抵抗感を感じる」と回答

　「Q5.あなたは、特権IDを付与することに対して抵抗感を感じますか。」（n=109）と質問したところ、「非常に感じる」が13.7%、「やや感じる」が45.9%という回答となりました。

Q5.あなたは、特権IDを付与することに対して抵抗感を感じますか。

・非常に感じる：13.7%

・やや感じる：45.9%

・あまり感じない：32.1%

・全く感じない：8.3%

• 特権IDの付与に抵抗感がある理由、「セキュリティリスクが高く、情報漏洩の可能性があるから」「誤用や不正使用のリスクがあるから」が上位

　Q5で「非常に感じる」または「やや感じる」と回答した方に、「Q6.特権IDを付与することに対して抵抗感を感じる理由を教えてください。（複数回答）」（n=65）と質問したところ、「セキュリティリスクが高く、情報漏洩の可能性があるから」が50.8%、「誤用や不正使用のリスクがあるから」が47.7%、「特権IDの管理が複雑で手間がかかるから」が38.5%という回答となりました。

Q6.特権IDを付与することに対して抵抗感を感じる理由を教えてください。（複数回答）

・セキュリティリスクが高く、情報漏洩の可能性があるから：50.8%

・誤用や不正使用のリスクがあるから：47.7%

・特権IDの管理が複雑で手間がかかるから：38.5%

・特権IDの利用状況をリアルタイムで把握できないから：35.4%

・特権IDの使用履歴が十分に記録されないから：33.8%

・他の従業員の業務に支障をきたす可能性があるから：32.3%

・特権IDを持つユーザーの監視が難しいから：30.8%

・外部からの攻撃に対する脆弱性が増すから：24.6%

・他のシステムやツールとの統合が困難だから：23.1%

・セキュリティポリシーと整合性が取れないから：21.5%

・教育やトレーニングが不十分だから：20.0%

・コストが高くつくから：6.2%

・その他：0.0%

・わからない/答えられない：1.5%

• 「統一してシステム利用することができない」や「職場内の周知徹底がしっかり機能していくかが心配」などの理由も

　Q6で「わからない/答えられない」以外を回答した方に、「Q7.Q6で回答した以外に、特権IDを付与することに対して抵抗感を感じる理由があれば、自由に教えてください。（自由回答）」（n=64）と質問したところ、「統一してシステム利用することができない」や「職場内の周知徹底がしっかり機能していくかが心配」など32の回答を得ることができました。

Q7.Q6で回答した以外に、特権IDを付与することに対して抵抗感を感じる理由があれば、自由に教えてください。（自由回答）

＜自由回答・一部抜粋＞

・45歳：統一してシステム利用することができない。

・49歳：職場内の周知徹底がしっかり機能していくかが心配。

・49歳：信頼関係の構築。

・44歳：緊急時に困る。

・28歳：管理上、信頼に足り得るメンバーにしか決して付与する事はないが、人数が少なすぎると、運用に不便もあるが、人数を増やしすぎると、管理監視体制に不備が発生するから。

• 80.8%が、「特権IDを部分的に権限付与すること」に興味あり

　「Q8.あなたは、特権IDを部分的に権限付与することについて興味がありますか。」（n=109）と質問したところ、「非常に興味がある」が29.4%、「多少興味がある」が51.4%という回答となりました。

Q8.あなたは、特権IDを部分的に権限付与することについて興味がありますか。

・非常に興味がある：29.4%

・多少興味がある：51.4%

・あまり興味がない：12.8%

・全く興味がない：6.4%

• 特権IDの部分的権限付与により、「管理の簡素化」「セキュリティリスクの軽減」を期待する声

　Q8で「非常に興味がある」「多少興味がある」と回答した方に、「Q9.特権IDの部分的権限付与で、どのような改善や期待をしたいですか。（複数回答）」（n=88）と質問したところ、「管理の簡素化」が69.3%、「セキュリティリスクの軽減」が64.8%、「監査の効率化」が61.4%という回答となりました。

Q9.特権IDの部分的権限付与で、どのような改善や期待をしたいですか。（複数回答）

・管理の簡素化：69.3%

・セキュリティリスクの軽減：64.8%

・監査の効率化：61.4%

・ユーザーの利便性向上：50.0%

・パフォーマンスの向上：36.4%

・その他：0.0%

・わからない/答えられない：1.1%

• 「運用制限の改善」や「サポートを増やす」などの改善事項も

　Q9で「わからない/答えられない」以外を回答した方に、「Q10.Q9で回答した以外に、特権IDの部分的権限付与により期待できる改善事項があれば、自由に教えてください。（自由回答）」（n=87）と質問したところ、「運用制限の改善」や「サポートを増やす」など41の回答を得ることができました。

Q10.Q9で回答した以外に、特権IDの部分的権限付与により期待できる改善事項があれば、自由に教えてください。（自由回答）

＜自由回答・一部抜粋＞

・57歳：管理者の想定外の利用を防ぐこと。

・52歳：運用制限の改善。

・37歳：サポートを増やす。

・28歳：特権IDの中でも、ランク、権限分けが細かく設定できると、よりセキュリティー的には安心感が得られる。

• まとめ

　今回は、特権IDを管理するセキュリティシステムを導入している企業の情報システム担当者109名を対象に、特権ID管理に関する実態調査を実施しました。

　まず、特権IDの管理ツールとして、約半数が「サードパーティ製品（クラウド型（SaaS））」を使用しており、特権ID管理において重要な機能では、「アクセス制御」が47.7%で最も多く、次いで「ログ管理」（27.5%）が続きました。また、4人に1人（23.8%）が、現在使用している特権ID管理ツールに「満足していない」と回答しており、不満点として、「サポートが不足している」（53.8%）、「カスタマイズが難しい」（38.5%）などを挙げています。さらに、約6割が、特権IDの付与に対して「抵抗感」を持っており、その理由に関しては、「セキュリティリスクが高く、情報漏洩の可能性があるから」（50.8%）、「誤用や不正使用のリスクがあるから」（47.7%）が上位になりました。最後に、特権IDの部分的権限付与に興味を示す担当者は80.8%に上り、「管理の簡素化」（69.3%）や「セキュリティリスクの軽減」（64.8%）を期待する声が多く寄せられました。

　今回の調査では、特権ID管理の重要性が高まっている実態が明らかになりました。多くの企業が特権ID管理に課題を抱えており、その対策として、ユーザごとに利用範囲を制御できる特権IDの部分的権限付与が注目されています。DXやテレワークの推進を背景に、さまざまなシステムが社内に導入されています。それに伴い、特権IDの数も増加しており、個人情報の漏えいやランサムウェア被害に繋がる恐れもあり、セキュリティリスクが高まっています。被害を最小限に抑えるためにも、必要最低限の権限のみを付与してアクセスコントロールが可能な、シンプルに統制の取れる特権ID管理とセキュリティ強化を実現できるツールを導入することが、課題解決の鍵となるのではないでしょうか。

▼本調査のレポートダウンロードはこちら

https://www.bosco-tech.com/document/privileged-account-wrongness-2406/

• シンプルに統制の取れる特権ID管理のツール「SMART Gateway」とは

＜手元端末・管理対象機器に特別なアプリケーション等の導入が不要のため、スピーディな導入を実現！＞

　SMART Gatewayは、「組織内部のセキュリティリスク軽減に貢献するツール」です。各組織・企業において、情報漏洩などのインシデントリスクがあり、その原因として、「不正操作や誤操作・うっかりミス」など "組織内部" に起因するものがあります。SMART Gateway はそういったリスクの軽減に貢献します。これまで大手通信事業会社や官公庁、自治体、金融機関と言った厳しいセキュリティレベルを求められる先での導入実績を積み上げてきました。1台のSMART Gatewayサーバで数十万台を管理可能で、同時に1,000セッションの録画が可能など、一般的なシステムの数十倍のコストパフォーマンスを実現しています。

▼詳しくはこちら

リンク：https://www.bosco-tech.com/smart-gw/

• 株式会社ボスコ・テクノロジーズについて

　自動化・仮想化・セキュリティの技術開発を強みに、国内最大手通信事業会社の基幹システム開発、官公庁のネットワークシステム開発に従事し、情報社会インフラ、交通社会インフラを支えてきました。また、ソフトウェア製品 SMART Gateway を開発し、官公庁、自治体、国内大手企業を始め多数の組織に展開しています。

URL　　：https://www.bosco-tech.com/

所在地　：東京都港区西新橋一丁目 6 番 13 号　虎ノ門吉荒ビル 4F

設立　　：2012年2月29日

代表　　：林 經正

事業内容：社会インフラ・サービス開発事業、技術コンサルティング事業