SimeioのCEOとして、Nick Roweは全体的なビジョンと戦略の推進を担っている。
サイバーセキュリティの世界で25年を過ごしてきた私は、数え切れないほどのセキュリティ評価レポートを精査してきた。ペネトレーションテスト、監査での指摘、フォーチュン500企業のインシデント対応。そこにあるパターンは驚くほど一貫している。侵害された認証情報、過剰なアクセス、撤回されるべきだった権限である。
アイデンティティは数あるセキュリティ課題のひとつではない。多くの問題の根底にある「課題」そのものだ。それにもかかわらず、取締役会が十分に理解していないことが多いのも、たいていこの領域である。
侵害の後、毎年のように同じ問いを耳にする。「予見できたのではないか?」。大半のケースで答えはイエスだ。攻撃者が高度でないからではない。警告サインは見えるところにあった。企業が見ている場所が違っていただけだ。
苛立たしいのは、この可視性のギャップが新しい問題ではないことだ。10年以上にわたり語られてきた。変わったのは、その結果の規模である。
繰り返されるパターン
2000年代初頭、取締役会はパスワード管理ツールに投資し、アイデンティティリスクは解決したと考えた。だが解決していなかった。攻撃者は脆弱な認証情報を突き、容易に横展開(ラテラルムーブメント)した。
2010年代、取締役会は特権アクセス管理(PAM)やアイデンティティガバナンスのプラットフォームに投資した。効果はあったが、なお不十分だった。ツールが孤立して機能し、つなぎ目に盲点が生まれたからだ。
そして2026年のいま、取締役会はマルチクラウドのアイデンティティプラットフォーム、ゼロトラストアーキテクチャ、AIを用いた脅威検知に投資している。それでも、ほとんどの侵害は同じ形で始まる。侵害された認証情報である。
パターンは変わっていない。取締役会はツールに投資し、それがセキュリティと同義だと考えがちだ。実際に得られるのは分断である。互いに切り離されたシステムは独立して動くが、組織全体としてどこが露出しているのかを示せない。
AIが問題をより難しくする理由
AIは方程式の両側を加速させている。
攻撃側では、クレデンシャルスタッフィング(認証情報の大量試行攻撃)がより高速になる。フィッシングはより説得力を増す。かつて数週間を要した偵察は、いまや数時間で自動化できる。
企業内部では、組織がAIエージェント、コパイロット、LLM(大規模言語モデル)を活用したツールを迅速に展開している。いずれもアイデンティティとアクセスを必要とする。データを照会し、システムにアクセスし、従業員に代わって行動できるAIアシスタントは、管理とガバナンスの対象となる「もう1つのアイデンティティ」になる。
いま存在するアイデンティティの可視性ギャップは、増幅していく可能性が高い。
なぜ同じことが起き続けるのか
組織はアイデンティティをセキュリティ態勢ではなく「プロジェクト」として扱っている。
ツールを導入する。監査を実施する。コンプライアンスのチェックボックスを埋める。そして次の評価や次の侵害が起きるまで、問題は解決したと思い込む。
だがアイデンティティリスクは止まらない。アクセスは積み上がる。権限はドリフト(逸脱)する。プロジェクト終了後も協力会社がアクセスを保持し続ける。従業員が役割を変えても不要になった権限を持ち続ける。連携のためにサービスアカウントが作られ、忘れ去られる。
個別に見れば些細に思える。だが積み重なれば、多くの組織が把握すらできない攻撃対象領域(アタックサーフェス)を生み出す。
私が確認してきた侵害事例の多くで、根本原因はゼロデイ攻撃ではなかった。単純な話である。誰かが持つべきでないアクセスを持っていた。そしてその存在を誰も知らなかった。
ツール自体はたいてい、設計どおりに機能している。ガバナンスプラットフォームは申請を管理する。特権アクセスツールは管理者の認証情報を保護する。アイデンティティプロバイダーはユーザーを認証する。しかし、環境全体にわたるアイデンティティリスクの統合ビューを提供するわけではない。
取締役会が見落とすアイデンティティリスク
取締役会が「アイデンティティセキュリティ」と聞くと、多くの場合はIT部門の管轄として分類される。予算承認。ツール購入。問題解決。
少なくとも、それが前提になりがちだ。だがアイデンティティリスクは技術課題ではない。技術システムに存在する「事業リスク」である。そしてそれは、多くの組織が管理できるスピードを上回って蓄積している。
新しいアプリケーション、協力会社、クラウド移行のたびに複雑性は増す。多くの企業は、10年前には考えられなかった速度でアイデンティティとアクセス権付与を追加しているにもかかわらず、統制が追いついているかを評価する明確な方法を持たない。
私は、長期にわたるIAM(アイデンティティおよびアクセス管理)変革プログラムに数百万ドルを投じ、部分的な実装にとどまった結果、同じ可視性ギャップを残したままの取締役会を見てきた。侵害が続くと、フォレンジックレポートには、数カ月前に無効化されるべきだった認証情報が攻撃に使われたと記されることが少なくない。
プロジェクトは完了した。ツールは導入された。だが、単純な問いに誰も答えられなかった。「いま、どこが露出しているのか?」
取締役会が問うべき質問
取締役会がアイデンティティの専門家になる必要はない。だが、よりよい質問をする必要はある。
「適切なツールを持っているか?」と問うのをやめ、「あらゆるアイデンティティシステム全体で何が起きているのかを把握できているか?」と問うべきだ。
「コンプライアンスに準拠しているか?」と問うのをやめ、「アクセスが当初の意図を超えてドリフトしている場所を把握しているか?」と問うべきだ。
「セキュリティ予算はいくらか?」と問うのをやめ、「侵害された認証情報をどれだけ迅速に検知し、封じ込められるか?」と問うべきだ。
そしてますます重要になるのが、「AIツールは何にアクセスできるのか。そしてそのガバナンスに責任を負うのは誰か?」である。
これらの問いは、私が参加してきたすべての侵害後の検証(ポストモーテム)で浮上する。そして答えはたいてい、同じ真実を明らかにする。ツールへの投資は巨額だが、リスクが実際に低減しているかを示す可視性はほとんどない。
待つことのコスト
取締役会が早い段階でアイデンティティリスクを理解していれば優位に立てる。後追いで反応する必要がない。取り除かれるべきだったアクセスを使って攻撃者が横展開した理由を説明する羽目にもならない。
多くの取締役会は、強いられるまでアイデンティティの可視性を優先しない。侵害が起きるまで。フォレンジックレポートが盲点を痛いほど明らかにするまで。
私はそうした場に居合わせてきた。必ず出てくる質問がある。「防げたのか?」
答えはイエスだ。ただし、誰かが正しいものを見ていた場合に限る。
何を変えるべきか
機能しないのは、予算を使えばセキュリティが得られると思い込むことだ。コンプライアンスが保護と同義だと思い込むことだ。IAMプログラムに資金を投じれば可視性が担保されると考えることだ。
機能するのは、アイデンティティリスクを財務リスクのように扱うことである。測定、透明性、説明責任を伴って。
取締役会は、自社のセキュリティチームに対し、いつでも、どこにアイデンティティリスクが存在し、それに対して何が行われているのかを示すことを求めるべきだ。次の監査の後ではない。いま示すのである。
これを正しく実行する組織は、侵害が議論を強制するのを待たない。ツールだけでなく可視性に投資する。アイデンティティセキュリティとは、完了させるプロジェクトではなく、維持し続ける姿勢であることを理解している。
問うべきは、自社がアイデンティティ起点の攻撃に直面するかどうかではない。手遅れになる前に、それを察知できるかどうかである。
