SailPointテクノロジーズジャパン、アイデンティティに対する企業の取り組み状況調査レポート2024を発表

主な調査結果

・約7割の企業がアイデンティティ関連の侵害により「減収の要因」や「顧客離れ」など業績への直接的影響を経験

・強化すべきであった情報漏洩対策は、「特権アクセスのよりタイムリーなレビューとチェック」（44%）が最多

・役職間でアイデンティティ管理システムへの認識に顕著な差があり、経営者や取締役の楽観が懸念

・約9割の企業でマシン アイデンティティは人間のアイデンティティの数を超え、約半数の企業でその数は25倍

・ほぼ全ての企業がマシン アイデンティティの管理に難しさを実感、「追跡が困難」が事由の首位（40%）に

企業向けアイデンティティ セキュリティのリーダーであるSailPoint, Inc.（以下「SailPoint」）の日本法人SailPointテクノロジーズジャパン合同会社（東京都港区、社長 藤本 寛、以下「SailPointテクノロジーズジャパン」）は、株式会社アイ・ティ・アール（東京都新宿区、代表取締役 三浦 元裕、以下「ITR」）と企業でITに携わる役職者・役員ならびに経営者320名を対象とした「企業におけるセキュリティおよびアイデンティティ・ガバナンス実態調査2024」（以下「本調査」）を実施し、その結果をまとめた調査レポート「転換点を迎えるアイデンティティ・ガバナンス」を発表しました。

テクノロジーの活用拡大やマシン アイデンティティ（IoT、ボットなど人以外のアイデンティティ）が広く利用され、ほぼ全ての回答企業においてアイデンティティの数が増加していますが、アイデンティティ関連の侵害が「減収要因」や「顧客離れ」といった業績に深刻な影響を及ぼしたとする企業は前年と比較して約1.5倍に増加しており、増大するアイデンティティとその複雑性を企業が統制しきれていないことが浮き彫りとなりました。

さらに、アイデンティティ管理システムの機能や効果に関する認識において、役職間で齟齬が見られることが明らかになりました。マネジメント層（経営者、取締役・執行役員）では、アイデンティティ管理システムによりプロビジョニング／デプロビジョニングが100％実施されていると認識している割合が25%以上となり、課長や部長などの役職からの回答に比べて際立って高くなっています。この結果から、マネジメント層が、アイデンティティ管理ツールを導入すれば、一連の権限プロセスやガバナンスの品質が担保できると楽観的に考えている可能性が示唆されます。

また、企業の約9割が人間のアイデンティティを上回る数のマシン アイデンティティを保有しており、すでに約半数の企業では人間の25倍以上のマシン アイデンティティを保有していることが分かりました。さらに、3,000人以上の大企業ではマシン アイデンティティが増大する傾向にあり、特に、従業員数10,000人以上の企業では11%が、「100倍以上」のマシン アイデンティティを有していると回答しています。マシン アイデンティティは数の多さだけでなく、生成と終了のライフサイクルが速い特性があり、40%の企業が「追跡が困難」であることを理由に、マシン アイデンティティの管理を人間のアイデンティティの管理よりも難しいと感じていることが明らかになりました。

ITRでプリンシパル・アナリストを務め、本調査結果を分析した浅利 浩一氏は、次のように述べています。

「企業はこれまでもセキュリティへの投資を強化してきましたが、デジタル化の進展やテクノロジーの利用拡大に伴うアイデンティティやアカウントのスコープ拡大に、効果的な対応ができているとは言いがたい状況です。SaaS、IaaS、非構造化データ、非正規社員、マシン アイデンティティといった対象を問わず、全てのユーザーアクティビティとデータアクセスの可視性を確保することが、セキュリティとアイデンティティ ガバナンスの強化において不可欠です。企業が顧客満足度や企業価値向上に向けたデジタル施策を強化していくなかで、アイデンティティ関連の侵害による直接的なリスクを低減するために、包括的かつライフサイクル全体を通じてアクセス権限を管理できる新たなアイデンティティ セキュリティ基盤の整備が今後ますます重要となるでしょう」

SailPointテクノロジーズジャパン社長兼本社バイスプレジデントの藤本 寛は、次のように述べています。

「本調査から、クラウド活用やデジタルトランスフォーメーション（DX）推進により、アイデンティティの数が急増し続けている現状が明らかになりました。特にマシン アイデンティティの増加が顕著であり、調査対象企業の約9割が人間のアイデンティティを大幅に上回るマシン アイデンティティを保有していることが確認されています。今後AIエージェントの普及が進むことでマシン アイデンティティはさらに増加し、アイデンティティ管理の複雑性は一層高まると予測されます。こうした状況下では、包括的かつ自動化されたアイデンティティ セキュリティプログラムの導入が、企業のセキュリティと生産性向上の鍵となります。SailPointは、これからも多様化するアイデンティティ管理の課題に取り組み、企業が安心してテクノロジーを活用できるようにしてまいります」

＜調査レポートについて＞

本レポートでは、アイデンティティ ガバナンスのポリシーの複雑化や、セキュリティ管理者の負担増加に伴う情報漏洩やコンプライアンス違反リスクの増大といった課題に向けて企業がどう変化し、適応しようとしているのか、また、セキュリティやアイデンティティ管理の強化にどう取り組んでいるのかに焦点を当てています。「アイデンティティ セキュリティ全般」「アイデンティティ管理システム」「セキュリティインシデント」「非正規社員（*1）」の4つに大別した調査結果を元に解説しています。

*1 非正規社員とは、正社員以外の協力会社、パートナー、委託先の社員などを指す。

1.アイデンティティ セキュリティに関する主な調査結果

この数年、クラウドアプリケーションや非正規社員の増加に伴い、企業のアイデンティティ／アカウントの数は増え続けており、本年の調査においても、「アイデンティティの数は増えていない」と回答した企業は4%に過ぎず、ほとんどの企業で増加していることが確認されました。

増加している理由として、「テクノロジーを活用する従業員の増加」および「セキュリティポリシーの

変更」が前年比5ポイント、「マシン アイデンティティ」は前年比8ポイントと顕著に伸びており、DXを推進する企業が、「セキュリティポリシーの変更」により従業員およびマシン アイデンティティへと管理対象範囲を拡大し、積極的にテクノロジー活用を進めていることがうかがえます。（図1）。

出典：ITR『企業におけるセキュリティおよびアイデンティティ・ガバナンス実態調査2024』（2024年9月調査、以下同）

また、約7割の企業が過去1年間のアイデンティティ関連の侵害により業績への直接的な影響を受けていることが分かりました。特に「減収要因」や「顧客離れ」といった業績に深刻な影響を受けた企業は、前年に対して、約1.5倍に増えています。

さらには、強化すべきだった情報漏洩対策としては「特権アクセスのよりタイムリーなレビューとチェック」が、2022年度（31%）および2023年度（36%）の調査から大きく上昇して、2024年の調査では首位（44%）となり、これと関連性が高い「特権ユーザーのログインにMFAを導入」「最小権限原則に基づく権限の付与」「全ての特権アクセス権限を継続的に検出」といった対策も2022年度以降増加傾向にあります。昨今注目されているランサムウェア侵害への対策として、特権アクセスや特権ユーザーを適切に管理する重要性が改めて浮き彫りになりました（図2）。

2.アイデンティティ管理システムに関する主な調査結果

アイデンティティ管理システムの導入状況や機能活用に関する認識は、役職ごとに大きなばらつきが見られました。経営者や取締役・執行役員は、自社のアイデンティティ管理システムで管理されているアイデンティティやデータ、アプリケーション、インフラストラクチャのプロビジョニング／デプロビジョニングを「100%」実施できていると回答した割合が、本部長以下の役職と比べて際立って高い結果となりました。（図3）。

アイデンティティ ガバナンス機能の自動化やAI／機械学習の利用状況においても同様の傾向がみられており、アイデンティティ管理や関連機能に対する経営層の理解不足や過度な楽観が懸念されます。

3.セキュリティインシデントに関する主な調査結果

セキュリティインシデントへの対策として今後1年間で最も強化するセキュリティ投資としては、「全ユーザーのアクセス権の継続的な検知」が前年の32％から39％へと大きくポイントを伸ばして首位となりました。また、「全ユーザーにMFAを導入」や、強化すべきであった情報漏洩対策（図2）の１位である「特権アクセスのよりタイムリーなレビュー」も前年に引き続きポイントを伸ばす結果となりました。このことから、テクノロジーを活用する従業員やマシン アイデンティティの増加に伴い、企業は全ユーザーのアクセス権検知や多要素認証の強化に向けた投資を重視し、セキュリティリスクへの対応を図っていることがうかがえます（図4）。

4.非正規社員と人以外（*2）に関する主な調査結果

企業のマシン アイデンティティの状況では、企業の約9割が人間のアイデンティティを上回る数のマシン アイデンティティを保有していることが明らかになりました。さらに、人間のアイデンティティの「25倍以上」のマシン アイデンティティを保有している企業は約5割に達しています。マシン アイデンティティが急増している背景には、DXの進展やIoTの普及に加えてクラウドの利用増加が挙げられ、多様なサービスやコンポーネント間での通信やアクセス制御、APIなどの識別のためのアイデンティティが増加していると考えられます。

*2 人以外とは、IoT、ボットなどのマシン アイデンティティを総称している。

さらに、マシン アイデンティティの管理の難しさとして、約4割の企業が「追跡が困難」を指摘しました。マシン アイデンティティは数が多いだけでなく、生成と終了のライフサイクルが速く、特にクラウド環境では、サービスやコンポーネント間の通信で非常に速いサイクルで動的に生成・削除するため、従来のIT管理手法やアイデンティティ管理では追跡が困難です。システム構成の変更が発生するたびにマシン アイデンティティも絶え間なく変化します。このようなマシン アイデンティティ特有の管理の難しさは、2位以下の回答結果にも反映されています。（図5）

＜調査概要＞

調査名：企業におけるセキュリティおよびアイデンティティ・ガバナンス実態調査2024

実施期間：2024年9月17日～9月19日

調査方法：ITRの独自パネルを対象としたインターネット調査

調査対象：国内企業（ITベンダーとシステムインテグレータ、また官公庁・公共を除く）において、自社のIT戦略またはアイデンティティ／セキュリティ／アクセス管理に関与している課長以上の役職者・役員ならびに経営者

有効回答数：320件

＜調査レポートの全文詳細＞

ダウンロードはこちら： http://www.sailpoint.com/ja/identity-library/identity-governance-research-report-2024/ 

■SailPointについて

SailPointは、現代の先進的な企業が、アプリケーションやデータの安全な利用を、アイデンティティの観点から、スピードと拡張性を持って、継ぎ目のない一枚岩のプラットフォーム上で管理・保護することを支援しています。アイデンティティ セキュリティのカテゴリー リーダーであるSailPointは、企業のシステム環境の安全性を確保する基盤としてのアイデンティティ セキュリティを、これからも進化させ続けていきます。SailPointが提供するインテリジェントで拡張性が高い包括的なユニファイド プラットフォームは、アイデンティティを標的にしたダイナミックなサイバー脅威から組織を保護するとともに、企業の生産性と効率性を向上させます。企業が、ビジネス変革を牽引する安全なテクノロジー エコシステムを先進的で高度に作り上げる支援を提供していきます。