産業スパイからの保護を提供する IAM
IT 攻撃に関わらない
技術競争が激化している昨今、製造業者は、知的資産の絶え間ない革新と保護に取り組む必要があります。会社の資産を守るためには、産業スパイの攻撃からの保護が欠かせません。ドイツのリューネブルク大学の研究によると、産業スパイによる被害は、驚くべきことに、わずか 4 年の間に 250% も増加しています。この脅威にさらされているのは大企業だけでなく、技術革新を生み出している中小企業も狙われています。適切に設計および実装された IAM (アイデンティティ/アクセス管理) は、企業のシステムと機密データを外部の脅威から持続的に保護するうえで大いに役立ちます。アイデンティティの詳細な確認により、内部および外部からの不正アクセスを防止できます。
産業スパイの被害に遭うリスクは増加しています。経済成長率の低下はその傾向に拍車をかけます。産業スパイやその請負人は、ライバル企業から重要な情報を盗むことによって研究開発のコストを節約しようとします。その情報をライバル企業に売って利益を得る目的もあります。攻撃者は、オンラインで攻撃を仕掛ける場合もあれば、不誠実な従業員を金銭などの特典でそそのかして会社の秘密を盗ませる場合もあります。このような脅威を防ぐには、アイデンティティの確実な識別およびアクセス制御と、すべてのアクセスおよびアクセス試行の監査を組み合わせることが重要です。IAM は、アイデンティティ管理、アクセス管理、監査、レポートのソリューションを提供します。さらに、Evidian Identity & Access Manager には、単一認証 (シングル サインオン (SSO))、権限の自動プロビジョニングなど、その他のモジュールも用意されています。これらの認証方式を使用することで、特に機密性の高いデータを含むシステムやアプリケーションへの接続をさまざまなレベルで保護することができます。
情報システムへのアクセスを認可されているユーザーをそれぞれ個別に識別することをお勧めします。IAM システムでは、アイデンティティが集中管理されます。これは、各ユーザーに対して固有のアイデンティティを定義したり、それらを既存のユーザー アカウントに関連付けたりするうえで役に立ちます。その結果、アカウントの重複や孤立を防ぐことができます (退社した従業員のアカウントなど)。すべてのアクセス権限を持つ、更新されていないユーザー アカウントは、スパイの格好の餌食になります。
スパイからの保護の質を高めるには、アイデンティティのアクセス権限をよく考えて割り当てることが重要です。原則として、システムやアプリケーションへのアクセス権限は、必要なだけ与えるようにします。多すぎても少なすぎてもいけません。これにより、攻撃の可能性を抑えることができます。また、IAM で権限を集中管理すると、従業員の組織構造、タスク、または責任が変わったときに、個々の権限や権限のグループの割り当てが最新の状態に保たれます。
IAM の主要な役割
Predykot プロジェクトは、モジュール方式で開発されたアイデンティティ/アクセス管理の戦略的役割を明らかにしています。Predykot は、Evidian が主導するヨーロッパの公的研究プロジェクト (ITEA-2) で、ビジネス プロセスと関連データに必要なセキュリティ ポリシーの管理を制御して、ビジネス プロセスが変更されるたびにセキュリティ ポリシーが動的に調整されるようにすることを目的としています。したがって、ビジネスと組織が、ガバナンス、リスク管理、コンプライアンスの次の段階へ進むことができるようにする必要があります。この大きな目標を達成するために、ヨーロッパのいくつかの大手製造業者とセキュリティ分野の企業が、Evidian が主導する Predykot に集まっています。このプロジェクトで開発されたイノベーションを標準化プロセスに組み込む必要もあります。
経済スパイ
SSO と IAM を組み合わせると、産業スパイからの保護に役立ちます。認証手段 (通常は ID/ユーザー パスワード) がバックグラウンドでアクセス権限コラボレーターと組み合わされます。この自動化には、従業員が無数のパスワード (使用するシステムやアプリケーションごとに 1 つずつ) を覚える必要がなくなるというメリットがあります。(未だにデータ スパイが欲しがる) パスワードの覚え書きは不要になります。SSO には、企業のスパイ対策に関連するメリットがほかにもあります。この自動化を使用すると、定義済みのワークフローをトリガーして、たとえば、ユーザー アカウントにシステム権限や対応するアプリケーションをすばやく提供することができます。そのため、既存のアクセス権限の割り当てが迅速化され、権限の手動割り当てによる誤りがなくなります。これが実現されていない場合、この 2 つの要素 (権限の古い割り当てや間違った割り当て) をスパイに悪用される可能性があります。
さらに、SSO では形式上、機密データを含むシステムやアプリケーションにアクセスするための認証が、トークン、証明書を含むスマート カード、バイオメトリクス情報などの厳格な手順によって保護される傾向があります。このような保護がない場合は、ユーザーのユーザー名とパスワードの組み合わせさえわかれば、その従業員が認可されているすべてのシステムとアプリケーションに自動的にアクセスできるようになります。内部と外部を接続するプロセスが強固な認証によって保護されていれば、従業員のアイデンティティと権限によってアクセスを強行されて機密データを入手される可能性はありません。
しかし、これらは、システムやアプリケーションに保管されている戦略情報や競合情報にアクセスできる従業員が産業スパイの手先として働く場合には役に立ちません。この場合は、データをコピーしたり、他人に送信したりするユーザーに、正当な権限があるからです。そこで重要となるのが、IAM に統合されている Audit and Reporting ツールです。これにより、すべての従業員のアクセスを 1 か所で記録、評価、参照できます。さらに、一部のターゲット アプリケーションで変則的なコピーのプロセス変更を記録、分析、防止することもできます。アプリケーションへのアクセスが、特定のコンテンツやドキュメントなどの属性によって区別されれば、従業員に機密情報をコピーされて送信される可能性が低下します。Audit and Reporting がコンテンツやドキュメントのレベルに拡張されれば、不正アクセスの試みを自動的に記録および保存して、関与した従業員に説明を求めることもできます。
Auditing and Reporting が特に重要となるのが管理者の管理です。管理者は、その活動領域から、システムとアプリケーションに対する広範なアクセス権限を持つため、産業スパイに狙われやすくなります。そのため、管理者のすべての行動を完全に記録、評価、参照することが欠かせません。これは、アクセスと異常な行動を追跡してスパイ攻撃を検出するための条件となります。さらに、管理権限やアクセス権限を割り当てる前に、システムやアプリケーションの管理に必要な権限はどれで必要ない権限はどれかを正確に確認する必要があります。
多くの企業は、IT 管理者のために多かれ少なかれ明白な階層を作成しています。これにより、認可と相互制御が制限されて、一定のセキュリティが確保されます。この構成では、階層の最上位に位置するのはスーパー管理者であるため、IAM の Auditing and Reporting 機能でスーパー管理者を詳細にチェックする必要があります。
産業スパイに対する防御では、権限の自動プロビジョニングを軽視すべきではありません。IAM モジュールにより、ワークフローによって制御される権限の要求と認可のプロセスを設計および実装することができます。権限の要求と認可のプロセスを使用すると、アクセス権限や特別な管理権限を要求したユーザーや、それらの要求を認可したユーザーを、簡単に把握できます。社内のすべての権限の割り当てが中央のレベルで明らかになるため、従業員による攻撃の可能性を直ちに検出できます。機密データが攻撃の対象になる可能性がある場合は、認可を保護して、権限の付与が複数の人間によって検証されるようにすることをお勧めします。これにより、他の人に知られずに権限を付与することができなくなります。
市場および技術の専門家にとっては、IAM とその統合モジュールのサービスが産業スパイ対策にきわめて有効であることに疑問の余地はありません。よく考えられて適切に実装された IAM は、従業員がセキュリティ ポリシーに従って自由に調整できる防御システムになります。同時に、企業で戦略レベルのアクセス制御が確保され、簡単なガバナンスも実現されるため、IT セキュリティ、ガバナンス、コンプライアンスの観点からの透明性も強化されます。
この記事は、www.datakontext.com(ドイツ語)に掲載されている、ドイツで行われた Erwin Schöndlinger (Evidian Germany のディレクター) のインタビューを編集したものです。