セキュリティ対策の基本「特権ID管理」を見直し、 ASEAN拠点の経営を強化 日本国内シェアNo.1のPAMツールiDoperation、インドネシアでも導入可能に

セキュリティ対策の基本である特権ID管理（PAM*）はサイバーセキュリティ対策に含まれる重要な領域でありながら、海外拠点では見過ごされがちな盲点でもある。特に東南アジアでは、PAM領域に国産製品が存在せず、多くの企業が外資系ツールに頼っているのが実情だ。本稿では、特権ID管理の基本と日本製ツール 「iDoperation (アイディーオペレーション)」の運用メリット、実際の導入事例を紹介する。
*PAM Privileged Access Management=特権ID管理

特権ID管理とは?

システムやネットワーク、アプリケーションに対して高度な権限を持つアカウントが「特権ID」だ。システム設定の変更や重要データへのアクセスなど、企業のITインフラ全体をコントロールする。不正利用されると重要なセキュリティインシデントになり得る。経営に深刻なダメージを及ぼすだけでなく法的制裁や多額の刑罰が課されるリスクもあるため、特権IDの利用には厳格な統制が求められる。この統制を行うのがPAMと呼ばれる仕組みである。アクセス権限を最小限に制限し、 利用状況を詳細に監視・記録することで「誰が、いつ、何をしたか」を把握できる状態を保つ。

しかし、実態としては属人的な運用が常態化しているケースや膨大な特権ID管理作業に起因するミスが多発している事例が少なくない。ASEAN各国の拠点では、こうした “見えない運用”が経営に深刻な異境を及ぼすリスクが高まっている。

東南アジア拠点に潜むセキュリティリスク

東南アジア拠点では、IT化やクラウド利用が進む一方で、アクセス管理やデータ保護が手動かつ属人的な運用が残っていることが多い。
さらに、社員のセキュリティ対策に対する意識の低さや教育不足により、内部不正が発生しやすい課題を抱えている。加えて、タイは週平均3.180件と世界平均の1.7倍のサイバー攻撃を受けており*、アジアでも有数の外部攻撃の高リスク地域に数えられる。特に内部侵入が目立ち、PAMが機能していない環境では、異常の検知が遅れ、深刻なリスクにつながる可能性が高い。特権IDの管理体制は、単なるセキュリティ対策ではなく、ガバナンス強化の起点として見直すべき要素だ。
*2024年、チェック・ポイント社調べ

なぜ日本製特権ID管理ツール 「iDoperation」か

こうした課題に対し、NTTテクノクロスが開発した「iDoperation」は、日本市場において12年連続シェアNo.1 (富士キメラ総研調査)を誇る特権ID管理ツールだ。特権ID管理に必要な「管理」→「利用」→「点検」までの全プロセスを自動化。可視化し属人化を排除した効率的かつ効果的なPAM環境を実現する。

また、 SOX、ISMS、FISCといった日本の厳格な監査およびセキュリティ基準に対応していることは、企業が安心して利用できる大きな理由の一つである。 iDoperationを導入することでASEANの拠点においても同等レベルのセキュリティを担保できるほか、日本と海外拠点間の内部統制を容易に統一することが可能だ。この点においても、日本製品を採用する意義は非常に大きいと言える。

現在タイの他、インドネシア、香港でもサービスを展開しており、シンガポールやマレーシアでもサービス開始が予定されている。企業のPAMに対する意識とニーズの高まりに伴い、iDoperationは今後さらにサービスエリアを拡大していく見込みだ。

ヤマハ発動機の導入事例

ここからは、導入で実際にどんな効果が得られるかなどをヤマハ発電機の例を挙げて紹介する。

背景：ビジネス環境が変化する中、「IT全般統制」の維持が喫緊の課題

二輪車、ボート、電動アシスト自転車や各種産業用ロボットまで多様な製品を開発・生産・販売するヤマハ発動機。成長を続けている同社では、日本版SOX法 (J-SOX法)が定める内部統制の一つ「IT全般統制」の監査のため、2009年より特権ID管理ソリューションを導入、運用してきた。

選定：クライアント型で、既存環境を阻害しない拡張性の高さが導入の決め手

採用の決め手として和田氏は「内部統制、J-SOX監査などの統制強化に対する実績はもちろん、本番サーバへのアクセスを1つのゲートウェイに集中せず、クライアント型(クライアントから直接サーバへのアクセスを制御する方式)で利用できる点が決め手となった」と説明する。

グローバルに展開する企業なので、必ずしも国内製品にこだわってはいないものの、J-SOXは海外の子会社も監査対象に含まれます。そのため、必要であれば海外へ速やかに展開して国内のノウハウを活用でき、かつ国内製ソリューションならではの手厚いサポートが期待できるという点もポイントでした。

効果：IT全般統制の強化とインフラ運用の負荷軽減、セキュリティレベルの向上を実現

すでに現れ始めた効果として吉田氏は、「ツール切り替え後も、従前の統制行為が行える体制が維持できている点を最も評価している」という。そしてIDoperationでは、特権IDの利用申請と、サーバに対するユーザーのアクセスログを自動的に突き合わせ、不正なアクセスがないかを自動的に点検する機能がある。これにより、監査の際の実務上のメリットが得られるとともに、運用チームの不正アクセス対策という観点からも「セキュリティ面の向上につながっている」と織田氏は説明する。

今後の展開：個人情報保護要件やセキュリティ要件への対応なども見据え、導入対象サーバを拡大していく

iDoperationの導入によって、特権ID管理の透明化、可視化の体制は強化された。今後の展望について、和田氏は「今後は導入対象サーバを拡大し、個人情報保護要件への対応も視野に入れていく」と述べる。

まとめ｜拠点主導で始められる統制の一手

PAMを導入している企業でも、実際の運用がブラックボックス化している場合、経営や監査に対する説明責任を果たせず、リスクを抱えることになる。「iDoperation」は、日本での豊富な実績を背景に、「誰が、いつ、何をしたか」を明確に把握できる体制を構築し、東南アジア拠点における統制と経営の両立を支援するツールである。今、特権ID管理という基本に立ち返ることが、将来のリスクに備える第一歩となる。まずは、導入の可否を含めた情報収集から始めてみてはいかがだろうか。

問い合わせ先

5000人！｜友だち登録はこちら