*これはCerbyのブログ記事の日本語要約です。
近年、企業はシングルサインオン(SSO)や多要素認証(MFA)、パスワード管理、ゼロトラスト導入などに巨額の投資を行い、表面的には高度なIDセキュリティ体制を整えてきました。しかし実際には、約96%の企業が依然として手動のワークフローに依存しており、完全自動化を実現しているのはわずか4%に過ぎません。
研究によれば、資格情報共有やパスワード更新の41%、MFAやパスキー強制の89%、ユーザーのプロビジョニングやオフボーディングの59%、権限データ配布の72%が手動で行われています。これにより可視性の断片化や統制の不一致が生じ、人的エラーを温存する結果となっているのです。
この背景には「分断されたアプリケーション」の存在があります。IAMツールはSAMLやSCIMなど標準プロトコル準拠を前提に設計されてきましたが、実際の企業環境はSaaSやモバイル、クラウドネイティブ、オンプレの旧来システムが混在し、標準非対応アプリが多数存在します。これらはしばしば機密データを扱い、中央管理の枠外に置かれているため、カスタム統合もスケールせず、結局は手作業に頼らざるを得ません。結果として、退職者アカウントの残存(58%)やアクセス可視性の欠如(23%)など深刻なリスクが発生し、実際に企業の52%が手動処理に起因する侵害を経験しています。
この現状を打破するには、まずアプリケーション利用状況の可視化とシャドーITの把握が必要であり、次にリスクの高い手動プロセスを特定・優先的に自動化することが有効です。また既存環境を破壊するのではなく、標準非対応アプリにもポリシーを拡張できるソリューションを導入し、統一的かつ自動化された制御を実現すべきでしょう。さらに、AIを補助的に活用する「人間参加型」のアイデンティティ自動化が検討されています。結論として、アイデンティティ自動化は「最後の一歩」で欠落しており、拡張的な自動化こそがリスク低減と運用効率化の鍵なのです。