IT意思決定者の85%が、他のセキュリティソリューションよりもアイデンティティ管理とアクセス管理への投資を優先しています。これは、シスコのスタートアップ部門であるCisco Investmentsが、サイバーセキュリティベンチャーキャピタルのForgepoint Capital、NightDragon、Team8と共同で作成した「CISOサバイバルガイド」によるものです。
このガイドは、アイデンティティ管理、データ保護、ソフトウェアサプライチェーンの整合性、クラウド移行をめぐるサイバーセキュリティ市場を調査したもので、シスコの顧客、最高情報セキュリティ責任者、イノベーター、スタートアップの創設者、その他の専門家へのインタビューから生まれました。
30,000 フィートの視点: インタビュー対象者は、何よりも相互運用性の向上と摩擦の低減、そして意思決定者にとって実際に役立ち理解しやすいデータが必要であると述べました。
レポートで明らかになった主要な支出優先事項はほぼ均等に分かれており、最も多くの CISO がユーザーとデバイスの ID を挙げ、次いでクラウド ID、ガバナンス、リモート アクセスが続いています。
クラウド セキュリティは最大の懸念事項であり、クラウド インフラストラクチャの権限管理という新たな分野が特に注目されています。
ジャンプ先:
- CISOが求めるもの: 使いやすさ、包括的なプラットフォーム、CIEM
- アイデンティティ管理ソリューションの主な動機
- 選択肢、選択肢:爆発的な選択肢と複雑さの増大が障害となっている
- 恐怖そのもの以外に恐れるものは何もない?
- その他の調査結果: 情報にアクセスできる者がセキュリティの鍵を握っている
- ITをコストセンターからイノベーションセンターへ
CISOが求めるもの: 使いやすさ、包括的なプラットフォーム、CIEM
CISO が ID アクセス管理、クラウド、データに関して最も懸念していると考える主な領域は次のとおりです。
- セキュリティ サイロの世界が断片化されているのは、IAM、アイデンティティ ガバナンスと管理、特権アクセス管理をカバーする統合プラットフォームが不足しているためです。
- クラウド インフラストラクチャの権限管理が普及し、企業顧客はクラウド サービス プロバイダーが提供する権限管理を採用し始めています。
- 頭字語はやめてもらえませんか? CISO は CIEM のような頭字語の蔓延に苛立っています。
この最後の点について、シスコ投資調査の著者は、「この傾向により、CISO はこれらの新しいカテゴリーを精査して分析するというサイクルを繰り返すことになりますが、結局は既存のソリューションの焼き直しであることが発覚することになります」と述べています。
アイデンティティ管理ソリューションの主な動機
CISO が ID 管理ソリューションへの投資の最大の動機として挙げているのは、ユーザー アクセス権限の管理、ID コンプライアンス、組織の脅威対象領域の急速な拡大です (図 A )。
図A
調査によると、IT 意思決定者が次世代 ID プラットフォームに求めているものは次のとおりです。
- 統合の容易さ(回答者の 21%)。
- プラットフォーム ベースのソリューションと、シングル ポイントまたはエンドポイント オファリングの比較 (15%)。
- 独立アナリストによる評価(15%)。
- 価格(11%)
- 市場での採用率(11%)
- 導入と運用のシンプルさ(10%)。
- 大規模に簡単に展開できる能力 (9%)。
- 機能を簡単に追加できる機能 (8%)。
選択肢、選択肢:爆発的な選択肢と複雑さの増大が障害となっている
利用可能なツールの膨大な数と自身の業務の複雑化により、CISO の大多数がアクセスと管理の目標達成に行き詰まっているのも不思議ではありません。
調査では、IT セキュリティの意思決定者の 3 分の 1 以上が、多様な ID およびアクセス ソリューションと、関連するデバイスおよびユーザーの数の増加により、アクセス管理ツールの導入が困難になっていると述べています。レポートのアンケート調査対象となった CISO の 53% が、「進化する ID ニーズ」に課題を感じていると回答しています (図 B )。
図B
恐怖そのもの以外に恐れるものは何もない?
シスコは、選択に困惑し、新しいプロトコルを統合する仕組みによって生じるダウンタイムなど、複雑な組織にゼロ トラストを適用することの影響を懸念している企業に対して、いくつかの提案を行いました。「落ち着いてください。思っているほど悪くはありません。」
「新しいテクノロジーについて私が見てきたのは、誰もがそれを恐れているということです。しかし、実際に導入してみると、CISOが当初考えていたよりもはるかに恐れる必要は少なくなります」と、シスコのクラウドCISOであるラリー・リズ氏はレポートの中で述べています。「つまり、導入に対する不安は、導入をめぐる実際の騒ぎよりもはるかに大きいのだと思います。」
その他の調査結果: 情報にアクセスできる者がセキュリティの鍵を握っている
Forgepointのアナリストは、この調査で、情報へのアクセス制御は依然としてサイバーセキュリティの核心であり、データアイデンティティと特権アクセス管理はCISOにとって最優先事項であると述べています。また、データセキュリティは、データアクセス制御やデータ損失防止など、多くの分野を網羅する新たなハブカテゴリーであると指摘しています。
参照:クラウド セキュリティのベスト プラクティスを確認してください。
NightDragon はソフトウェア サプライ チェーンを調査しました。回答者の 55% が、コンプライアンスはソフトウェア サプライ チェーンに関する上位 3 つの懸念事項の 1 つであると回答しました。
「企業は負荷を管理するために、包括的なソフトウェアサプライチェーン戦略を策定する必要がある」とNightDragonのレポートは述べている。「最終的には、OSコード、デリバリーパイプライン、サードパーティ製ソフトウェアを、これもまた統一されたアプローチで管理する必要がある。」
ITをコストセンターからイノベーションセンターへ
Forgepoint は、組織がセキュリティをビジネス目標に統合するにつれて、CISO の役割は IT 投資の正当化ではなく、これらの取り組みを「単なる」サイバーセキュリティの枠を超えた戦略目標の推進力にすることに重点が置かれるようになると指摘しました。
そこでシスコは先週、ライフサイクル サービス プログラムを立ち上げました。これは、組織の最高レベルの意思決定者が、IT が単なるコスト項目以上のものであることを理解できるようにすることを目的としています。
シスコによると、このサービスは機械学習と人工知能(AI)テレメトリを活用し、CISOが投資収益率(ROI)データをITのビジネス価値の伝達方法に活用できるよう設計されている。これにより、議論はテクノロジーのコストの正当性に関する議論から、組織の目標達成に向けたイノベーションにテクノロジーが不可欠である理由に関する議論へと移行すると同社は指摘している。
参照: CISO セキュリティ脅威の状況に関するガイドをダウンロードしてください。
「IT 部門は、ビジネス目標、メリット、成果よりも、新しいテクノロジーやプラットフォームの提供に重点を置きすぎることが多すぎる」とシスコは述べています。
シスコによると、ライフサイクル サービスは、IT リーダーがシスコの専門家、独自のデジタル インサイト、ML/AI ツール、測定のベスト プラクティスにアクセスして、組織全体のビジネス ミッションと目標をサポートする KPI をレポートできるようにすることで、組織全体の最優先事項をサポートするテクノロジー戦略を拡大するのに役立つとのことです。
IDCのネットワークライフサイクルサービスおよびインフラストラクチャサービス担当バイスプレジデント、レスリー・ローゼンバーグ氏は次のように述べています。「組織は、顧客により高い価値と優れたエクスペリエンスを提供するために、オンデマンドサービスを利用できる柔軟性をますます必要としています。シスコのライフサイクルサービスは、企業が優先事項と明確かつ測定可能な成果を整合させ、テクノロジー投資がビジネス、テクノロジー、そして運用目標を確実に達成できるよう支援します。」
