(出典:Ponemon Institute / The Impact of Unsecured Digital Identities 表紙)

米国のPonemon Instituteは 2020年2月に、「The Impact of Unsecured Digital Identities」(以下「本報告書」と略記)という調査報告書を発表した。

本報告書のタイトルにある「digital identities」とは、インターネット上で通信を行う人や組織、コンピューターや周辺機器、ソフトウェアを正しく識別するための技術の総称であり、特に本報告書では暗号鍵(cryptographic keys)とデジタル証明書(digital certificates)とを主な検討対象としている。日本でも情報セキュリティーの分野では「デジタルアイデンティティ」という用語が使われているので(注1)、本稿でも「デジタルアイデンティティ」と表記する。

本報告書は北米地域において、ITおよび情報セキュリティーに関する専門家および実務者を対象として、所属している組織におけるデジタルアイデンティティの管理状況などに関して調査した結果をまとめたものである。調査対象は1万6825人であり、そのうち3.6%に当たる603人から有効回答を得ている。

一般ユーザーの方々の多くはこのような技術にはあまり関心を持っておられないかもしれないが、これらは取り扱いが適切に行われなければ重大なトラブルを招きかねない、情報セキュリティーにおける重要な要素として認識する必要がある。本報告書の回答者が所属する組織のうち73%が、デジタルアイデンティティの管理不備によるシステム停止(unplanned downtime and outages)を経験しており、中でも55%の組織では過去2年間に4回以上、デジタルアイデンティティによる認証に起因するシステム停止を経験している。日本でもデジタル証明書の有効期限切れが原因とみられる大規模な携帯電話網のトラブルが発生した例などがあるので、ご記憶されている方も少なくないであろう。