オーストラリアのアイデンティティアクセス管理の専門家は、マシンアイデンティティを含む重大なリスクの管理が不十分なために多くの組織が危険にさらされていることから、組織のサイバーセキュリティ体制の基盤としてアイデンティティを確立するよう求められています。
ガートナー社の副社長アナリストであるフェリックス・ゲートゲンス氏は、シドニーで開催されたガートナー社のセキュリティ&リスク管理サミットで、IAM実践者は組織内のアイデンティティファブリックアプローチを中心とした成熟したIAMプログラムへの投資を推進すべきだと主張した。
ゲトゲンス氏は、IAM(アイデンティティ・アクセス・マネジメント)の衛生管理を改善することで、組織はレジリエンス(回復力)を高めることができると述べた。ゲトゲンス氏は、テクノロジーベンダーがデータをサイロ化させ、適切なデータを入手せずにAIを活用することを許すべきではないと警告した。様々なステークホルダーと連携するために、製品管理アプローチを採用することが一つの提案だった。
IAMは成熟したサイバーセキュリティ体制の中核を担う
ゲイトゲンス氏は、IAMリーダーはここ数年、アイデンティティ管理を取り巻く状況の根本的な変化に直面していると述べた。これは主に、サイバーセキュリティを守るために「完全に分散化された世界において、中央集権的な管理体制を構築することが求められるようになった」という現実によるものだ。
ゲトゲンス氏は、従業員がどこからでも働くようになったことで境界における従来のセキュリティ制御の価値が低下し、資産、データ、アプリケーションはさまざまなタイプのアクセス制御で保護されるようになったと述べた。その多くはクラウドベンダーなどのサードパーティによって実装されている。
プレミアム: クラウド セキュリティ ポリシーの作成を検討してください。
「取締役会はCISOに3つの主要な質問をします。『私たちは安全ですか?』『コンプライアンスは遵守されていますか?』『AIについてはどうですか?』です」とゲイトゲンス氏は述べた。「IAMはこれらすべての中核を成しています。その役割はますます重要になっています。なぜでしょうか?それは、IAMが新しい世界におけるセキュリティの中心だからです。」
機械アイデンティティの台頭
人間のアイデンティティに加えて、機械アイデンティティの増加が「大きな問題」になっているとゲトゲンス氏は述べた。現在、組織内には人間の10倍から45倍もの機械アイデンティティが存在し、その多くは高度な権限を与えられているため、管理されていない巨大なサイバーリスクとなっている。
組織は成熟したIAMプログラムでアイデンティティを最優先にすべき
アイデンティティをサイバーセキュリティの中心に据えることが重要だとゲートゲンス氏は述べた。
「多くの企業はツールは持っているものの、実際には機能的で優れたIAMプログラムを持っていません。今こそチャンスです」とゲートゲンス氏は述べた。「IAMはサイバーセキュリティの制御基盤であり、基盤です。ここに注力すべきです。」
IAM プログラムは、アイデンティティ管理を「一貫性があり、コンテキストに即し、継続的」にする必要があり、IT 部門外での関係構築に意欲的な IAM リーダーによって実現される必要があります。
一貫性のある
ゲトゲンス氏によると、世界的な規制は、データベース、非構造化ファイル、移動中、保存中など、個人データがどこにあっても保護されるように設計されています。ゲトゲンス氏は、これは組織が多数のツールを保有しているとしても、適用されるアクセスポリシーに一貫性が必要であることを意味すると述べています。
文脈的
ポリシーは動的かつコンテキストを認識する必要があります。
「誰かがフォルダーにアクセスできるからといって、1分間に30件もの文書をダウンロードしてよいというわけではありません。これは人間にとっては普通のことではなく、アカウントがボットに乗っ取られていることを示している可能性があります」とゲイトゲンス氏は述べた。
連続
将来的には、セッション全体を通して継続的に適応型の信頼が適用されるようになるでしょう。ゲイトゲンス氏は、シングルサインオフの実現が近づいていると述べました。これは、ユーザーイベントに基づいてシステム間の複数のセッションを終了できる機能であり、ユーザーにとって当たり前のものになるだろうと述べました。
リーダーシップ
IAMプログラムを導入するには、IAMリーダーはIT部門以外の関係者との関係を強化する必要があります。ゲートゲンス氏は、IAMリーダーに対し、ビジネス価値やリスクといった観点からIAMを測定し、伝えることができるよう、財務や法務を含むビジネス用語を学ぶよう強く求めました。
参照: トップレベルの IAM ソリューションは、サイバー セキュリティの取り組みを強化するのに役立ちます。
プロダクトマネジメントのアプローチを導入すれば、成功はより容易になる可能性があります。ゲイトゲンス氏は、IAMプログラムにおいてプロダクトマネジメントのアプローチが採用される傾向があり、「高度なクロスファンクショナル」スタイルを通じてビジネス価値とデリバリーの加速につながっていると述べています。
IAMツールではなくアイデンティティファブリックに重点を置く
将来的には、IAM を管理するための、より統一された、アーキテクチャ的に健全な方法が必要だと Gaehtgens 氏は述べた。
「ほとんどの組織は、何年も投資して取り組んできたにもかかわらず、人間とマシン向けの基本的なIAM機能の提供に苦労しています」とゲートゲンス氏は語った。
アイデンティティファブリックアーキテクチャアプローチを採用
ゲイトゲンス氏は、「アイデンティティファブリック」アプローチは、IAMプロフェッショナルが既存のビジネスチャンスを活用し、ベンダーロックインの束縛から解放されるのに役立つ可能性があると述べた。同氏は、ガートナーが顧客をアイデンティティファブリックモデルへと導くために用いる10の原則からなるフレームワークを提示した(図A)。
これらには、次の範囲への拡張が含まれます。
- 多くの「資格情報漏洩乗っ取り」の原因となっているマシン ID。
- 静的なバッチ分析ではなく、イベントベースの接続
- 変化に合わせて柔軟に対応できる、構成可能で「長期的には堆肥化可能な」アーキテクチャ。
トポロジーを活用することで、組織はツールから抽象化レイヤーを用いて機能を分離し、分散環境における集中管理を実現できます。これにより、基盤となるツールの機能がより高いレベルで接続され、様々なユースケースに合わせてオーケストレーションされます。
AI機能はIAMチームの生産性を向上させる可能性がある
AIは、アカウント乗っ取りの検出やユーザーエンティティの行動分析といったIAMの側面を担うようになるでしょう。また、権限データに基づいて適切な規模のアクセスポリシーを推奨したり、コーディングや設定の更新を含むアプリケーションとIAMサービスの統合を支援したりすることも可能です。
Gaehtgens 氏は、データが正確である必要があり、データ管理とエンジニアリングが IAM プログラムの正式な機能になる可能性があると警告しました。
「必要なデータ管理とデータエンジニアリングの依存関係にも取り組む限り、AIは一定の価値をもたらすことができます」とゲートゲンス氏は述べた。
アイデンティティ衛生はサイバーセキュリティ防御の最前線
IAMは「セキュリティオペレーションセンターに届くアラートの数を減らすための最前線の防御線です」とゲイトゲンス氏は述べた。つまり、IAM担当者は、マシンIDを含むIDの衛生管理に重点を置き、防御と検知を強化する必要があるということだ。
参照: IAM ソリューションと PAM ソリューションの違いを探る
IAMチームは、アカウントの登録といった労力の少ない活動から始めることができます(図B)。しかし、ゲトゲンス氏は、オーストラリアのEssential Eightフレームワークでは成熟度レベル3でマシンIDへの取り組みを推奨しているものの、組織はそれ以前に検討すべき事項であると述べています。
彼は IAM 構成の監視を推奨しました。
「テストのために特権アクセスが設定された稼働中のIAMシステムを見たことがありますが、その特権アクセスは一度も削除されていませんでした」とゲイトゲンス氏は述べた。「もし誰かがそれを知ったら、そのIAMシステムを乗っ取り、役割を好きなように変更できてしまうのです。」
IAM チームは、アダプティブ アクセスや MFA の展開など、中程度の労力を要するアクティビティを追求することもできます。
「重要なのは、衛生管理への投資と脅威の検知・対応のバランスです」とゲートゲンス氏は述べた。「予防が強化されればされるほど、検知漏れは少なくなります。」
