ニディ・ジェイン氏はCloudEagle.aiのCEO兼創業者で、20年以上の経験を持つ。
多くの企業が外部からの攻撃者を防ぐことに注力する一方、セキュリティに対する最も差し迫った脅威の一つは既に社内に存在しており、それは必ずしも悪意のあるものではない。「特権クリープ」、つまり従業員が不必要なアクセス権限を徐々に蓄積していく現象は、拡大しつつも多くの場合見過ごされているリスクだ。
私の会社CloudEagle.aiが実施した2025年のアイデンティティガバナンス調査によると、従業員の2人に1人が過剰な特権を保持しており、これは役割の変更、プロジェクトの移行、組織の成長により不要となったアクセス権限である。さらに懸念すべきは、厳格な最小権限ポリシーを実施している企業はわずか5%にすぎず、内部脅威、監査の失敗、高額なデータ侵害に対して大きな隙を作り出していることだ。
特権クリープが眠れる巨人である理由
特権クリープは隠れている。それは時間をかけて静かに構築される:従業員が役割を変更したり、一時的なプロジェクトに取り組んだり、あるいは単に長く在籍することでツールやシステム全体の権限を蓄積したりする。これらのアクセス権は滅多に削除されない。その結果は?攻撃対象領域の拡大と深刻な運用リスクだ。2024年、IBMはデータ侵害の世界平均コストが488万ドルであることを発表した。
なぜこれが重要なのか:
• 意図的か否かを問わない内部脅威:善意の従業員でさえ誤ってアクセス権を悪用する可能性があり、不満を持つ従業員はさらに悪いことをする可能性がある。
• 侵害の増加:2025年のベライゾンデータ侵害調査レポートによると:「侵害されたシステムの30%は企業ライセンスのデバイスと特定できる。しかし、侵害データに企業ログインが含まれていた侵害システムの46%は管理されておらず、個人と業務の両方の認証情報をホストしていた」。これは、1つの侵害されたログインが深刻かつ広範な被害を引き起こす可能性があることを意味する。従業員が必要以上のアクセス権を持っている場合、1つの侵害されたログインが指数関数的な被害をもたらす可能性がある。
• コンプライアンスの盲点:GDPR、HIPAA、SOXなどの規制はアクセス制御を要求している。過剰な特権は監査人が発見するまで、静かにコンプライアンスを侵食する。
• 監査と是正のコスト:監査中に発見された過剰なアクセスは、多くの場合、高額な調査、手動での修正、規制上の罰則につながる。
従来の方法:定期的なアクセスレビュー
従来、企業は四半期または年次レビューを通じてアクセスを管理しようとしてきた。管理者は権限を列挙したスプレッドシートを受け取り、アクセスを一つずつ検証することが期待されている。
このアプローチには欠陥がある。タイムラグにより、リスクはレビュー間で、時には数ヶ月にわたって静かに蓄積される。管理者がコンテキストを完全に理解していないため、レビューが急いで行われたり、形式的に承認されたりする可能性がある。予防的ではなく反応的であるため、過剰なアクセスは発見された後、多くの場合手遅れになってから対処される。
何百ものSaaSアプリと急速に変化する組織図を持つデジタル世界では、定期的なレビューだけでは単に不十分だ。
現代的な解決策:継続的なガバナンス
先進的な企業はスプレッドシートを超え、特権クリープをリアルタイムで可視化、測定、修正できる継続的なガバナンス戦略を採用している。AIを活用したガバナンスがどのようにゲームを変えるか:
• 継続的なモニタリング:AIベースのガバナンスは行動パターン、リアルタイムの使用状況、リスクスコアを分析し、過剰なアクセスを即座に検出し、実際のニーズとアクセスを同期させる。
• 即時リスクアラート:異常は発生時に警告される—3ヶ月後ではない。
• 自動化されたアクセス権限剥奪:非アクティブまたは役割の不一致に基づいて、アクセス権を取り消したりダウングレードしたりできる。従業員がチームやプロジェクトを変更すると、ロールベースのアクセス制御が動的に調整される。
• より賢い管理者の意思決定:AIによる提案が承認をガイドし、レビューをより迅速かつ正確にする。継続的なレビューは準備時間とコンプライアンスリスクを削減するのに役立つ。
これにより、ガバナンスはコンプライアンスのチェックボックスから動的で予防的な防御メカニズムへと変わる。今日のアイデンティティ環境は広大だ。企業はSaaS、クラウド、AIツール、シャドーアプリケーション全体で何千もの権限を管理している。従来のIAMツールは多くの場合、SSOまたはIDPの背後にあるアプリのみを管理する。一方、私たちの調査では、AIおよびSaaSツールの60%がIT部門の管理外で運用されていることがわかった。
積極的な戦略の構築
特権クリープに先手を打つために、企業は3つの重要なアクションに焦点を当てるべきだ:
1. リスクを認識する。特権クリープは珍しいものではない;それはあなたの従業員に影響を与えている。これを一時的な監査の驚きではなく、持続的なセキュリティとコンプライアンスの脅威として扱う。
2. 継続的なAI駆動のレビューを採用する。不定期な手動監査を、インテリジェントなモニタリングと自動化された実施に置き換える。
3. 最小権限の考え方を文化に組み込む。管理者と従業員にアクセスを「あると便利」ではなく「必要なもの」として考えるよう訓練する。アクセスの決定は、想定されたり忘れられたりするのではなく、意図的に追跡されるべきだ。
見えないものは保護できない
特権クリープは自ら名乗り出ることはない。それは警報を鳴らしたり、手遅れになるまでダッシュボードに表示されたりすることはない。定期的で反応的な制御から継続的でインテリジェントなアクセスガバナンスに移行する企業は、監査の準備態勢を強化し、コストを削減し、運用上の信頼を高めることができる。
なぜなら2025年において、セキュリティは脅威を排除するだけではないからだ。物事が悪化した場合に内部関係者とその認証情報ができることを最小限に抑える必要がある。
フォーブス・テクノロジー・カウンシルは、世界クラスのCIO、CTO、テクノロジーエグゼクティブのための招待制コミュニティです。私は資格がありますか?
