クラウド活用やゼロトラストの推進、さらには生成AIの利用拡大により、企業のセキュリティ対策はこれまで以上に複雑化しています。そうした中で、重要性を増しているのが、ユーザーIDやアクセス権限を適切に管理する「ID&アクセス管理(Identity and Access Management、以下IAM)」です。
IAMは、単にログインを管理する仕組みではありません。
「誰が」「どのシステムに」「どの権限でアクセスできるか」を適切に制御し、企業全体のセキュリティとガバナンスを支える重要な基盤です。
一方で、多くの企業が「IAMはある程度整備できている」と考えているにもかかわらず、実際には見えないリスクや運用課題を抱えているケースが少なくありません。
“成熟しているはず”のIAMに潜むギャップ
OpenTextがスポンサーとなって実施した調査では、多くの企業が自社のIAM成熟度を「Managed(管理済み)」あるいは「Optimized(最適化済み)」と評価していました。
しかし実態を見ると、必ずしも十分な統制が実現できているわけではありません。
実際には、
- 最小権限アクセス(必要最小限の権限付与)を徹底できている企業は限定的(36%)
- Just-In-Time(必要なときだけ権限を付与する仕組み)の導入率はまだ低い(28%)
- クラウドとオンプレミスをまたぐ一貫したアクセス管理に課題を抱える企業が多い
といった状況が明らかになっています。
つまり、「IAM製品を導入していること」と、「適切に管理・統制できていること」は必ずしも同じではない、ということです。
“できているつもり”が招くリスク
IAMの運用が不十分な場合、企業はさまざまなリスクにさらされます。
代表的な課題としては、
- 異動や退職後も不要な権限が残る
- 長期間使われていないアカウントが放置される
- 権限が徐々に増え続ける“権限肥大化”が発生する
- 職務分掌(SoD)の違反が見逃される
- クラウド環境ごとにアクセスルールがバラバラになる
など、アクセス管理の形骸化を招くケースも少なくありません。
特に近年は、人間のユーザーだけではなく、API、Bot、サービスアカウントなどの「非人間ID(Non-Human Identity)」が急増しています。こうしたIDは数も多く、管理の見落としが発生しやすいため、攻撃者に悪用されるリスクも高まっています。
実際、ランサムウェアや内部不正などの多くのインシデントで、“不適切な権限”や“放置された認証情報”が攻撃の起点となっています。
なぜIAMは成熟しづらいのか
IAMが思うように成熟しない背景には、単なるツール不足だけではなく、組織や運用上の課題があります。
例えば、
- IT部門とセキュリティ部門で優先順位が異なる
- クラウドとオンプレミスが混在し、管理が複雑化している
- IAMを理解し運用できる人材が不足している
- 導入プロジェクトが“認証基盤構築”で止まってしまう
といったケースです。
また、「IAM製品を導入すれば終わり」という考え方も、成熟を妨げる要因のひとつです。
本来IAMは、導入して終わりではなく、継続的に見直し・改善していく“運用型のセキュリティ”です。組織変更やシステム追加、クラウド利用拡大など、企業環境の変化に合わせてアクセス権限も継続的に最適化していく必要があります。
これからのIAMに求められるもの
これからのIAMでは、「定期的な棚卸し」だけでは十分とは言えません。
重要なのは、アクセス権の状態を継続的に監視し、リスクベースで制御することです。
これからのIAMでは、次のような考え方が重要になります。
- 不要な権限の自動検出
- 異常な権限変更の可視化
- 最小権限アクセスの徹底
- 非人間IDを含めた統合管理
- ハイブリッド環境全体でのポリシー統一
生成AIの活用やサプライチェーン連携が進む今、アイデンティティはあらゆるアクセス制御の起点となります。
だからこそ、今改めて問うべきなのは、「自社のIAMは、本当に成熟しているのか?」という視点なのかもしれません。
IAMを単なる認証基盤としてではなく、企業全体のセキュリティとガバナンスを支える重要なコントロール基盤として捉え直すことが、これからのゼロトラスト時代に求められています。
参考
ITmedia Security Week 2026春 Day2 で「AI時代のアイデンティティ戦略 ― ゼロトラストからIDガバナンス、そしてエージェントAIへ」と題して講演を行います
https://members05.live.itmedia.co.jp/library/MTAxNTUz?group=2605_SEC#Day2b
