コラム

SmartCloud コラム

IDC Japanコラム【第1回】アイデンティティ／アクセス（IAM）管理市場概況と展望

2021.03.05IAM

IT調査会社　IDC Japan ソフトウェア＆セキュリティのリサーチマネージャーである登坂恒夫氏により、全5回を通して、IAM市場の市場予測から、ゼロトラストにおけるIAMの変化、また近年特に問われるIDのガバナンスと管理を担うIGA(Identity Governance & Administration )というトピックについて、提言していただきます。

連載第1回目は、「アイデンティティ／アクセス（IAM）管理市場概況と展望」について、ご紹介いたします。

IDC Japan

ソフトウェア&セキュリティ

リサーチマネージャー

登坂　恒夫氏

アイデンティティ／アクセス（IAM）管理市場概況と展望

アイデンティティ／アクセス管理（IAM：Identity and Access Management）は、IT 環境内の多くのユーザーやデバイス（従業員、顧客、請負業者など）を識別し、ユーザーおよびデバイスの権利と制限を関連付けることによって、その環境内のリソースに対するアクセスを制御するためのIDを確立し、ユーザー／デバイスのアカウントの割り当てを行う包括的なソリューションです。

IAM市場には、ID管理や特権アクセス管理（PAM：Privileged Access Management）、シングルサインオン（SSO：Sigle Sign On）、高度な認証（ソフトウェアトークンおよび、ハードウェアトークンや生体認証のようなハードウェア認証ソリューションのために設計されたソフトウェアで公開鍵基盤［PKI：Public Key Infrastructure］が組み込まれている認証ソフトウェア）、リソースアクセス制御機能（RACF：Resource Access Control Facility）やアクセス制御機能（ACF2：Access Control Facility 2）などのレガシー認証が含まれます。

IAM市場は、仮想化技術の普及によるサーバー統合／システム統合による大規模な業務システム更改に伴うID管理の統合化やSSOなどのアクセス管理の統合化の需要拡大とマイクロソフトのMicrosoft 365など、クラウドサービスとの連携認証ソリューションへのニーズの高まりで拡大してきました。

企業コンプライアンスとIAM

2005年4月に施行された「個人情報保護法」、2006年のコーポレートガバナンス強化に向けた「新会社法（商法改正）」、そして2008年には米国のSOX法（Sarbanes-Oxley Act：米国企業改革法）に倣った日本版SOX法などの法規制によって、企業でのコンプライアンス対策を強化する必要がでてきました。そして、2018年5月に施行されたEU 一般データ保護規則（General Data Protection Regulation：GDPR）や、米国カリフォルニア州で2020年1月に施行された、カリフォルニア消費者プライバシー法（CCPA：the California consumer Privacy Act of 2018）など、データ主権に基づいたプライバシー法によって、厳格なプライバシーデータの保護が求められてきています。

国内においては、2020年6月に改正個人情報保護法が成立、2022年6月までに施行される予定です。この改正によって、一定以上の個人情報を流出させた場合においての個人情報保護委員会と本人への報告義務、法人への罰金上限が30万円から1億円に引き上げられるなど強化されました。また、米国政府調達における、管理すべき重要情報（CUI：Controlled Unclassified Information）の保護に対する政府以外の企業や組織に適用される、セキュリティ対策基準NIST SP800-171は、サプライチェーンに対する適用も求められているため、米国政府調達関連企業と取引のある日本企業においても基準に沿った対応が求められます。プライバシーデータなどへのデータ保護規制強化が進む世界においては、企業はコンプライアンス対応強化が求められ、データおよびシステムへのアクセスコントロールが今まで以上に重要な対策となります。

DXで高まるSaaS型IAMの重要性

デジタルトランスフォーメーション（DX）では、企業内外のあらゆる情報（人、プロセス、モノ、コンテンツを含む情報など）と連携、統合し、分析することによって改善、改革するためのアクションを導き出すことが必要です。企業がDXを推進していくことで、すべての資産や従業員、業務プロセスなどが情報によって接続されます。これらの情報はデジタル化されたデータとして、クラウド上でAIなどの活用によって目的に応じたデータに変換され、企業内のプロセスと外部のプロセスに循環されて活用が拡大します。そしてデータは、企業の迅速な意思決定や運用の最適化に役立つだけではなく、製品やサービスとして収益を生み出すことができ、データ価値はさらに向上します。

これを実現するITシステムがデジタル化されたワークスペースです。デジタル化されたワークスペースは、クラウド上で社内外に向けたIT資産の共有場所として、企業の内部／外部のプロセス変革にITシステム側からの支援を可能にします。一方で、このワークスペースでセキュリティ侵害が発生すると、ワークスペース内でのラテラルムーブメントによって被害が深刻化します。ワークスペース内のデータとアプリケーションを防御するには、まずデータおよびアプリケーションへのアクセス権を付与するユーザーのID管理と、生体認証やコンテキスト情報を活用したリスクベース認証などのセキュアなアクセスコントロールによるIAMが必要となります。

DXを促進させるためには、企業のセキュリティポリシーに基づいた一元的な管理が可能で、オンプレミス環境とクラウド環境が混在するハイブリッド環境にも対応できるSaaS（Software as a Service）型IAMが重要なセキュリティ対策となります。

IAM市場の展望

2020年は、COVID-19の感染拡大によって大規模なリモートワークへの移行が行われ、自宅からインターネット回線経由で企業ネットワークにVPN（Virtual Private Network）接続したことで、VPNの可用性や脆弱性の問題が顕在化しました。VPNの問題が顕在化したことでインターネットブレイクアウトによるクラウドサービスの利用は今後増加すると思われます。インターネットブレイクアウト環境では、企業ネットワーク上に構築している境界防御は機能しなくなるため、クラウドサービスへのアクセスコントロールの強化が求められます。

また、EU GDPRやCCPAといった海外のプライバシー法や2020年6月に改正法案が可決、成立した個人情報保護法、米国政府調達におけるセキュリティ対策基準「NIST SP800-171」などプライバシーデータを含めデータ保護規制が厳しくなっており、データやアプリケーションへのアクセス権を付与するユーザーのID管理のガバナンス、コンテキスト情報などを活用したリスクベース認証や生体認証などを活用した多要素認証、SSOによるアクセスコントロールの統合などアクセスコントロールの強化が求められます。IDCではIAM市場をアイデンティティ／デジタルトラスト市場と呼んでいます。国内アイデンティティ／デジタルトラスト市場の2019年～2024年におけるCAGRは10.0％で、市場規模は2019年の561億2,200万円から2024年には905億6,300万円に拡大するとIDCは予測します。

また、SaaS型アイデンティティ／デジタルトラスト市場は、2019年～2024年におけるCAGRは30.4％で、市場規模は2019年の112億5,700万円から2024年には424億5,900万円に拡大するとIDCはみています。

国内アイデンティティ／デジタルトラスト市場
製品セグメント別売上額予測、2017年～2024年

　著者：登坂恒夫
　
　IDC Japan　ソフトウェア＆セキュリティ　リサーチマネージャー。　情報セキュリティ市場（セキュリティソフトウェア市場、セキュリティアプライアンス市場、セキュリティサービス市場）を専門分野とし、市場予測、市場シェア、ユーザー調査など同市場に関するさまざまな調査を実施。調査レポート執筆の他、データベース製品の制作に携わるとともに、ITサプライヤーおよびユーザーに向けてインサイトの提供や提言を行う。