IBMのCIOオフィスが直面していた2つの課題を説明するとき、「板挟みになる」という表現が思い浮かびます。まず、高度にカスタマイズされた単一テナント・オンプレミス・プラットフォームで、全世界で50万人を超えるIBM従業員にIDサービスとアクセス認証サービスを提供する必要があることを想像してみてください。同時に、全世界で2600万を超えるIBMのお客様に対して、別の旧式の第1世代Identity as a Service(IDaaS)ソリューションを使用して、同様のIDサービスとアクセス・サービスを提供する必要もあります。
これで、IBM CIOオフィスが直面していた課題をおわかりいただけるでしょう。つまり、2つの個別のIDおよびアクセス管理(IAM)プラットフォームが、異なるテクノロジーおよび異なるレベルの成熟度、信頼性、機能を提供しているということです。
この課題の規模は想像を絶するものです。IBMのAssured Identity and Cybersecurity Operationsチームは、5,000個のアプリケーション、600社を超えるお客様企業とその従業員、および15万を超える認証グループをサポートしました。2021年のある四半期で、IBM認証サービスは3570万回のログインをサポートしました。
そして今日の競争環境において、その現場は常に変化していました。Assured Identity and Cybersecurity OperationsチームのディレクターであるDaniel Opoku-Frempongは、「IBM CIO組織は、IBMの全従業員、数百万のお客様、そして今ではKyndryl社にも、重要なIDサービスを提供しています」と述べています。
IBMの認証サービスを変革するには、大規模な信頼性とセキュリティーを効率的に提供するために、インフラストラクチャーを大幅にモダナイズして統合する必要があります。Opoku-Frempong はその難しさについて次のように説明しています。「私たちは、全世界で何百万人ものユーザーのIDとアクセスを把握し、関連付け、管理して運用する方法を、根本的に変える必要がありました。古いソリューションに影響されるワークフローに付きまとう投資収益率の低さと市場投入までの遅さをもはや擁護できませんでした。」
拡張性の向上
社内および社外のIDの2,700万以上に拡張可能
強化されたケイパビリティー
移行後、パスワードなしのQR/FIDO2機能を80万件以上の認証に提供
Assured Identity ArchitectであるEd Klenotizとその同僚たちは、この問題に取り組みました。「私たちは、B2EとB2Bの両方のIDサービスを強化するために主要ベンダーの競合分析を行いました」と彼は言います。「標準的なクラウド・ベースの認証プラットフォームを活用することは、IBM従業員とお客様の両者にとって、大規模にIDサービスをモダナイズするための重要な第一歩となります。」
そして、IBMが自社のお客様に勧めるのと同様に、Assured Identity and Cybersecurity OperationsチームはID要件とアクセス要件をすべて把握し、市場のさまざまなソリューションを比較しました。
Assured Identity and Cybersecurity Operationsチームは、要件を収集してすべてのオプションを検討した後で、社内と社外で合わせて数百万人に及ぶユーザーを対象にIBM™ Security Verify(SaaS)を選択しました。1番目の理由は、APIによってシームレスなアプリケーション移行が可能だったことでした。2番目の理由は、開発リソースを費やすことなく、要件を正確に満たすユーザー・インターフェースをカスタマイズできることでした。
IBMは、すべてのB2EとB2BのIDに標準的なクラウドIAM サービス・プラットフォームとしてIBM Security Verifyを採用することで、セキュリティー、スケール、ユーザー・エクスペリエンスにおいて強化された最新のID機能を導入する準備を整えていました。
「この新しいソリューションにより、社内ユーザーの認証の選択肢を広げることができました」とOpoku-Frempongは言います。「2要素認証(2FA)はパスワードの漏えいを大幅に防止しますが、ユーザーにとっては面倒なものです。そこで、2FAの適応機能を実装し、バックエンド分析を使用して、追加の認証を必要とするタイミングと場所を判別しました。IBM Security Verifyの2FA機能への移行により、IBM従業員は、TouchIDやWindows Hello用のQRコードやFIDO2といったパスワードなしの認証オプションを選択できるようになりました。それはそれだけで大きな変化でした。」
しかし、他にもプレッシャーがありました。IBMのCIOチームは、これまで国防や軍事関連技術の輸出を制限し管理する米国の規制制度であるInternational Traffic in Arms Regulations(ITAR)を遵守するために社内規則書の作成に投資してきました。古いIAMソリューションを全世界で一斉に廃止して置き換えることは不可能でした。IBM Security Verifyエンジニアは、この要件を予想していました。IBM CIOチームは、Security Verify BridgeとBridge for Directory Syncを組み合わせることで、従来の投資と関連プロセスを生かすことができるようになりました。また、副次的なメリットとして、影響を最小限に抑えながら慎重に段階的に移行計画を策定できるようにもなりました。
Opoku-Frempongは次のように続けます。「よりスムーズに移行するための機能は他にもありました。アプリケーション所有者は、IBM Security Verifyの強化されたAPIライブラリーを使用することで、他のワークロードに対する影響を最小限に抑えながら自分でアプリケーションを移行できるようになりました。さらに、特権APIアクセスを制御するレイヤーが強化されたことで、環境に対するセキュリティー制御を厳重なものにし、攻撃ベクトルをさらに抑えることができるようになりました。これは間違いなく私たちにとってWin-Winの出来事です。」
Opoku-Frempongと彼のチームには、喜ぶべきことがたくさんありました。IBM Security Verifyを採用することで、ユーザー・エクスペリエンスを向上させると同時に、その同じユーザーと会社のネットワーク、データ、アプリケーションに対するセキュリティーを大規模に強化することもできました。IBMidプログラム・マネージャーであるLee Ann Rodgersは次のように述べています。「IBM Security Verifyの機能により、柔軟なMFA方式、パスワード管理の強化、ユーザーIDのライフサイクル管理とセルフケア、アプリケーション管理、変更についての柔軟なユーザー通知、イベント通知サービスなど、セキュリティー強化のための拡張可能な機能をクライアントに提供することができました。」
さらに、現在は将来に向けてのビジョンと、さらなる価値の展望があります。IBMのIDとアクセス認証におけるジャーニーが続く限り、IBM従業員とIBMのお客様はさらに多くのメリットを期待できます。
- パスワードを使用しないように変革されたユーザー・エクスペリエンス
- マルチクラウド環境全体で特権ユーザーの保護を強化
- 柔軟な多要素認証(MFA)方式、パスワード管理およびユーザーIDのセルフケアとライフサイクル管理の改善
- デバイスおよびモバイル・デバイスの管理ソリューションとの統合によるIBMのゼロトラスト戦略のサポート
- IBM Security Verifyマイクロサービス・アーキテクチャーによるソリューションの耐障害性と拡張性の向上
- 信頼性を強化するためのマルチサイト計画
- セキュリティーとプライバシーに対するコミットメントを強化し、ユーザー・エクスペリエンスとブランディング・エクスペリエンスに重点を置いた取り組みを継続
Assured Identityのシニア・マネージャーであるGary Schmaderは、次のようにまとめています。「私たちは、大規模でミッションクリティカルなニーズに対応する独自の商用ソリューションを信頼しています。IBM Security Verifyを使用して、IBMとやり取りするすべての人に対して、情報リソースへの最新かつスムーズで安全なアクセスを提供できるようになりました…そして私たちはまだ始まったばかりです。」
IBMは、ハイブリッドクラウドとAIにおける世界的リーダーであり、170カ国以上の国々でお客様にサービスを提供しています。3,500社以上のお客様が当社のハイブリッドクラウド・プラットフォームを使用してデジタル・トランスフォーメーションのジャーニーを加速させ、合計で30,000社を超えるお客様がIBMを利用してデータから価値を引き出しています。これらのお客様には世界最大級の銀行10行のうち9行が含まれています。このような経緯から、IBMではお客様のビジネス・ニーズに対応するための主要なプラットフォームとしてRed Hat OpenShiftを活用しています。これは、オープンで柔軟性がある安全なハイブリッドクラウド・プラットフォームです。IBMは、信頼、透明性、より包括的な社会への支援という理念に基づき、テクノロジーに対する責任ある立場であることを理解し、世界中の人々をサポートできるように尽力しています。
脚注
© Copyright IBM Corporation 2022. 日本アイ・ビー・エム株式会社 〒103-8510 東京都中央区日本橋箱崎町19-21
2022年1月、アメリカ合衆国で制作。
IBM、IBM LOGO、ibm.com、およびIBM Securityは、世界の多くの国々で法的に登録されているInternational Business Machines Corporationの登録商標です。その他の製品名およびサービス名はIBMまたは他社の商標である可能性があります。IBM商標の最新リストは、ウェブ上の「著作権および商標情報」https://www.ibm.com/jp-ja/legal/copytradeで入手できます。
Red Hat®およびOpenShift®は、米国およびその他の国におけるRed Hat社またはその関連会社の商標または登録商標です。
本書は最初の発行日時点における最新情報を記載しており、IBMにより予告なしに変更される場合があります。IBMが事業を展開している国であっても、特定の製品を利用できない場合があります。
記載されている性能データとお客様事例は、例として示す目的でのみ提供されています。実際の結果は特定の構成や稼働条件によって異なります。本資料の情報は「現状のまま」で提供されるものとし、明示または暗示を問わず、商品性、特定目的への適合性、および非侵害の保証または条件を含むいかなる保証もしないものとします。IBM製品は、IBM所定の契約書の条項に基づき保証されます。
適切なセキュリティー実践に関する声明:ITシステムのセキュリティーには、企業内外からの不適切なアクセスの防止、検出、対応を通じてシステムと情報を保護することが含まれます。不適切なアクセスは、情報の改ざん、破壊、悪用、誤用、システムの損傷、または他者への攻撃のための使用を含む誤用につながるおそれがあります。ITシステムや製品は完全に安全であると捉えるべきではなく、不適切な使用やアクセスを防止する上で完璧な効果のある、製品、サービス、セキュリティー対策は1つもありません。IBMのシステム、製品およびサービスは、合法的で包括的なセキュリティー・アプローチの一部として設計されているため、必然的に運用手順が追加されることになります。また、最も効果を発揮するために他のシステム、製品、またはサービスが必要となる場合があります。IBMでは、いずれの当事者による不正行為または違法行為により、いかなるシステム、製品もしくはサービス、またはお客様の企業に対して影響が及ぶことはないことを保証するものではありません。