アクセス管理プラットフォームを評価するための5つの質問：Gartner Insights Pickup（333）

企業は、従来のアクセス管理ソフトウェアよりも堅牢（けんろう）で機能豊富なソリューションを求めている。本稿では、アクセス管理プラットフォームを評価する方法を紹介する。

[Philip Booth, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Insights」などのグローバルコンテンツから、＠IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

適切なアクセス管理ソリューションを選択し、脅威を防ぐ

　企業は、従来のアクセス管理ソフトウェアよりも堅牢（けんろう）で機能豊富なアクセス管理ソリューションを求めている。現在の環境下で多くの企業では、アイデンティティー脅威検知／対応（ITDR）、アイデンティティーアクセス管理（IAM）の統合、レジリエンス（回復力）の優先順位が高まっている。

アクセス管理プラットフォームを評価するのに役立つ5つの質問

（出所：Gartner）

1．なぜ今、アクセス管理ソフトウェアを購入するのか

• 企業はサイバー脅威の増大と経済的制約に直面し、強力で費用対効果の高いアクセス管理プラットフォームがIAM戦略を支え、ますます重要になっていることを認識しつつある
• アクセス管理プラットフォームは、SAML（Security Assertion Markup Language）、OAuth（Open Authorization）、その他のIDプロトコルをサポートしており、ゼロトラストアプローチに欠かせない
• 現在、アクセス管理ツールを使用している企業は20％に満たない。アクセス管理をいち早く導入することで、未導入の競合他社に差をつけられる

　Gartnerは、2026年までに企業の10社に9社が、アイデンティティー攻撃に対する防御の第一線として、アクセス管理ソフトウェアに組み込まれたアイデンティティー脅威検知／対応（ITDR）機能を使用するようになると予測している。

2．どんなトレンドがアクセス管理プラットフォーム市場に影響を与えているか

• アクセス管理ツールは、隣接するIAM機能、特にアイデンティティーガバナンス／管理（IGA）機能の追加が進められている。統合プラットフォームとしての地位強化が狙いだ
• 社内アクセス管理のユースケースが普及し、一般化する中、アクセス管理ベンダーの成長の大部分は、社外からのアクセスを管理するユースケース、特にB2C（企業／消費者間取引）、B2B（企業間取引）、G2C（政府の市民サービス）における顧客要件への対応から生まれている
• 認証と認可のフローをオーケストレーションする、より効率的なローコード／ノーコードアプローチへの関心が高まっている。そのため、この機能を追加するベンダーが増えている

3．アクセス管理ソフトウェアに必須の機能は何か

・ディレクトリサービス

　SCIM（System for Cross-Domain Identity Management）を利用して、社内外のIDを管理し、ディレクトリとIDの同期サービスを提供する。

・社内アクセス管理

　アプリケーション起動パッドを提供し、社内IDの基本的なライフサイクル管理とユーザー管理をする。

・認可とアダプティブアクセス

　認可を決定、実施するとともに、ポリシーを作成し、保存データとコンテキストデータを用いてリスクを評価し、アクセスの決定を動的に行う。

4．セキュリティとリスク管理のリーダーが留意すべき主要課題は何か

• アクセス管理の取り組みは、さまざまなステークホルダーが多様な社外／社内ユーザーについての目標を持って進めることが多い。ある特定の層の意向に偏った取り組みは、別の層に拡張すると、コストが高くついたり、必要な機能がなかったりする可能性がある
• アクセス管理の機能は拡充が進んでおり、ユーザー認証、アイデンティティーガバナンス／管理（IGA）、APIセキュリティなど、隣接するIAMやセキュリティの分野との重複や融合が見られる。そのため、自社のアクセス管理に関連するIAMのビジネス要件とユースケースのマッピングが複雑化している
• RFPプロセスにおけるベンダーの絞り込みも複雑になっている。ベンダーの数が非常に多く、ベンダーによって、提供する機能の数や種類が異なるからだ

5．セキュリティとリスク管理のリーダーは、評価プロセスをどのように支援すべきか

• 社内外のユースケースに不可欠なツールの機能を評価し、シングルベンダー戦略を後押しする
• SaaS（Software-as-a-Service）で提供されるアクセス管理ツールについて、隣接のIAM機能の統合に関するロードマップを注意深く評価する
• サービスの中断を最小限に抑えられるように、レジリエンスと継続性に定評のあるアクセス管理ツールを選ぶようにする

背景

　Gartnerのシニア ディレクター アナリストのエンリケ・テシェイラ（Henrique Teixeira）氏はこう話す。

　「アクセス管理は組織のIAM戦略を支え、ますます重要になっており、今や攻撃者の最大の標的となっている。現代の脅威と経済的制約を考慮すると、レジリエンスと費用対効果の高いアクセス管理が必要になる。アイデンティティー脅威検知／対応（ITDR）、IAMの統合、レジリエンスは今後、重要性が高まる一方だろう」

同僚に伝えるべき3つのこと

1. IAM戦略を効果的に実行するには、堅牢なアクセス管理ソリューションが欠かせない
2. アクセス管理プラットフォームは、社内のさまざまなグループを満足させる必要がある。グループによって、社外ユーザーと社内ユーザーの目標が異なる場合も含めてだ
3. ディレクトリサービス、社内アクセス管理と社外からのアクセスの管理、認可とアダプティブアクセス、SSO（シングルサインオン）とセッション管理、ユーザー認証は、アクセス管理ソフトウェアに必須の機能だ

---

要約

• さまざまなステークホルダーのそれぞれ異なる目標を考慮する
• レジリエンス（回復力）を持ち、継続性を提供する技術を選ぶようにする

出典：How to Evaluate an Access Management Platform（Insights）

筆者　Philip Booth

Senior Writer／Editor at Gartner