Saviynt、アイデンティティー管理を高度化する新製品群を発表

　アイデンティティー管理のクラウドサービスを手掛けるSaviyntは、AIやインテリジェンスを活用してアイデンティティーの管理や保護を強化する新製品群を発表した。同社で、6月に戦略担当シニアバイスプレジデントに就任したHenrique Teixeria氏は、現在のセキュリティにおいて、「アイデンティティーがセキュリティの一番の課題だ」と話し、基本に忠実に取り組むことが課題解決の近道だと説く。同社の戦略や新製品などについてTeixeria氏に聞いた。

　Teixeria氏は、アイデンティティー管理分野で四半世紀近い経験を持つ。MicrosoftやIBM、Oracle、CA Technologies（現Broadcom）、BMC Softwareなどで要職を歴任し、直近ではGartnerのアイデンティティーセキュリティ分野のアナリストとして活躍。近年注目されるセキュリティキーワードの「クラウドインフラストラクチャーエンタイトルメント管理（CIEM）」と「アイデンティティー脅威検知および対応（ITDR）は、同氏がGartner時代に発案したという。

　「『だれが、どこに、アクセスをしているのか』というアイデンティティー管理は、古くから世界中に存在して解決がなされない、セキュリティの一番の課題だと考えている」とTeixeria氏。Saviyntへの参加は、この課題の解決に貢献したいことが大きな理由だとし、アイデンティティー管理市場の分析に携わる中で同社の技術と企業規模が同氏の目指す目的の実現にかなう状況であること、また、共同創業者で最高経営責任者（CEO）のSachin Nayyar氏が投資を拡大して業界中から優れた人材を多数していることも決め手だったという。

　Saviyntは、現在のOracleのアイデンティティー技術に携わったというNayyar氏が創業し、当初からアイデンティティーガバナンス管理（IGA）や特権アクセス管理（PAM）、アプリケーションアクセス管理、ガバナンス／コンプライアンス／リスク（GRC）をクラウドベースでプラットフォームとして提供する。

　Teixeria氏は、同社で事業戦略と製品ロードマップ、業界連携などの担当し、「この分野のリーダーとして直近1年で40％成長している。中堅から大規模組織にとって必要なアイデンティティー管理の機能を包括的に提供できることが強みであり、顧客ごとのシングルテナントで機能を提供している点が評価されている」と説明する。

　同氏が指摘するように、アイデンティティーセキュリティは企業や組織にとって重要なテーマの1つだ。Verizonの年次調査「データ漏えい／侵害調査報告書（DBIR）」の2024年版によると、漏えいデータの69％を認証情報が占め、攻撃者による初期侵入の要因の38％が窃取された認証情報の悪用だった。「現在は人が標的になっていると言える。また、サードパーティーのアクセスも68％増えており、つまりはサプライチェーンのセキュリティリスクにも関係する」（Teixeria氏）

　アイデンティティーセキュリティを推進する上でTeixeria氏は、（1）専門ベンダーとしての情報発信の強化、（2）人のサイバーセキュリティ意識醸成に向けた啓発、（3）サードパーティーのアイデンティティーの急増――がポイントになると指摘する。

　「アイデンティティーを守るには、IGAやPAMなどがフィッシング対策や脆弱（ぜいじゃく）性管理よりも重要なことがある。この点は、われわれからユーザーに提起するだけではなく、ユーザー組織の中でも経営層にまで理解が浸透していく必要がある。また、システムのハードニング（要塞化）よりも人間のハードニングの方が難しい。使われていないアカウントを放置せずきちんと是正するといった基本を確実に実施することがとても重要になる」（Teixeria氏）

　とりわけ（3）は、企業や組織のサプライチェーンが拡大し複雑化もしていることから、適切なアイデンティティー管理の実施が喫緊の課題になっているという。Teixeria氏は、「自社と取引先などとの関係性や複雑な条件を正しく理解してアイデンティティーを管理していく必要がある」と話す。

　こうした状況を踏まえSaviyntは、アイデンティティーセキュリティを高度化する新機能として、「Saviynt Intelligence」「Saviynt Copilot」「Saviynt Identity Security Posture Management」を新たに発表した。また、2025年にITDR製品の提供を開始することも明らかにした。

　Teixeria氏は、「AIを活用したインテリジェンスや、生成AIアシスタントによる業務支援を通じて、アイデンティティーセキュリティにまつわる意思決定や対応を迅速にする。また、アイデンティティーを狙う脅威への対応も図る」という。

　Saviynt Intelligenceでは、各種のインテリジェンス情報やAI活用して、アイデンティティーのリスク状態を分析、評価し、リスクを低減するための施策を管理者に助言する。Saviynt Copilotは、Saviynt Intelligenceして管理者のアイデンティティーにまつわる業務を支援するAIアシスタントになる。「管理者は、AIアシスタントのチャットボットに問いかけることにより、例えば、あるIDのリソースへのアクセス権限の許可を申請するといったワークフローベースでの承認までの処理を実行できる」（Teixeria氏）

　Saviynt Identity Security Posture Managementは、組織におけるアイデンティティーのセキュリティ状態の把握とリスク評価などを行い、アイデンティティーを保護する上での中核となる。またITDRは、現在のクラウド利用が拡大する中で、サイバー攻撃者が侵入に悪用するために正規の認証情報を窃取する攻撃を仕掛けていることから、自社のアイデンティティーを狙う脅威を迅速に検知して保護などの対応を行うために、大きな役割を果たすと期待されている。

　Teixeria氏は、企業や組織がアイデンティティーを狙うセキュリティの脅威へ能動的に対応していく必要があると提起する。「特に組織のセキュリティリーダーは、コストの削減やセキュリティ人材の育成、侵害への対応、イノベーションの推進など数多くの責務を抱えてあまりに多忙なため、われわれは新たな取り組みを通じてセキュリティリーダーたちを支援したいと考えている」

　また同氏は、ベンダーの垣根を越えて業界としてアイデンティティーの安全性を推進するための取り組みも進めていると述べる。ここでは具体的に、アイデンティティーに関する脅威情報を共有するための「OpenID Continuous Access Evaluation Profile」規格の標準化活動などに参加している。

　「われわれセキュリティベンダーは、こうした標準の草案作成においても協力し、相互運用性に関する取り組みを推進している。われわれ自身としても、例えば、シングルサインオンではOkta、多要素認証ではMicrosoftの『EntraID』とも連携しており、Saviyntは各社と協調することで、彼らにセキュリティレイヤーも提供している」