DORA、NIS2、GDPR などの規制により、アイデンティティ・ガバナンスが脚光を浴びている。しかし、まだ多くの組織がガバナンスをセキュリティの戦略的イネーブラとしてではなく、コンプライアンスの義務として扱っている。
監査に合格しても、IDベースの攻撃に対して脆弱である可能性があります。それは、コンプライアンスが往々にして後ろ向きであるのに対し、攻撃者は前方を見ているからだ。
組織を真に保護するためには、アイデンティティ・ガバナンスを進化させる必要がある。それは継続的であり、文脈的であり、そして何よりもリスクを認識する必要がある。
従来のガバナンス・プログラムは、誰がアクセス権を持つかを追跡し、定期的なレビューを実施し、監査人のために記録を残すなど、統制を実証することに重点を置いていた。
しかし、こうした管理は多くの場合手作業であり、セキュリティ・システムから切り離され、リアルタイムのリスクには無頓着である。これでは脅威を見逃すことになる。
ある従業員が役割を変更し、重要なシステムにアクセスできるようになり、そのアクセス権を使ってデータを流出させたとします。ガバナンス・プログラムが四半期に一度しかアクセス・レビューを行っていない場合、その不正使用を数カ月間発見できない可能性があります。
俊敏な脅威の世界では、静的な管理ではもはや十分ではない。
アイデンティティセキュリティポスチャーマネジメント(ISPM) は、組織がこのようなリスクを考慮できるように設計された新しいサイバーセキュリティフレームワークである。
- ISPMは、クラウドアプリケーション、インフラストラクチャー、レガシー環境など、すべてのシステムにわたるすべてのアクセスをリアルタイムで可視化することから始まります。また、次のようなメリットもあります:ユーザーのリスクプロファイルに基づくアクセスレビューの優先順位付け
- 有害な組み合わせや職務分掌違反を即座にプロアクティブにフラグします。
- 行動シグナルとコンテキスト(場所、デバイス、アクセス時間など)を利用して、ガバナンスの意思決定に情報を提供する。
そこで RSAガバナンスとライフサイクル が輝く。
RSAは、コンプライアンスの要件を満たすだけでなく、ISPMの原則を活用することもできます:
- アクセス認証までの時間を最大60%短縮
- 監査人より先にポリシー違反を検知する
- 四半期ごとのレビューを待たずに、リスクの高いアクセスを自動的に取り消す
デジタル・オペレーショナル・レジリエンス法(DORA)やNIS2のような新しい規制は、チェックボックス・コンプライアンスを超えている。これらの規制は、業務の継続性、リスクの軽減、事前のインシデント防止を重視している。
これは、現代のガバナンスが進むべき方向と完全に一致している。
例えばDORAの下では、金融機関はセキュリティだけでなくレジリエンスを実証しなければならない。これには、適切なアクセス・コントロールの実施や、ガバナンス・ポリシーとオペレーショナル・リスクとの整合性の確保などが含まれる。
RSAを使用することで、組織は次のことが可能になります:
- 監査人や規制当局への報告書の自動化
- ハイブリッド環境における最小権限アクセスの強制
- ガバナンスのワークフローをより広範なリスク管理の目的に合わせる
アイデンティティ・ガバナンスが正しく行われれば、監査人を満足させるだけではありません。それは、安全なビジネスの成長を可能にすることである。
ガバナンスをセキュリティとリスクに整合させることで、組織は次のことが可能になる:
- 攻撃対象の最小化
- 内部脅威への迅速な対応
- 利害関係者、規制当局、顧客との信頼関係構築
要するに、コンプライアンスはスタートラインであってゴールではない。リスクを認識したアイデンティティ・ガバナンスこそが、レースに勝つ方法なのだ。
かつてないほどの危機が迫っている。アイデンティティに基づく攻撃は増加の一途をたどっており、規制当局もこれに注目している。今こそ、ガバナンスをよりスマートに、より迅速に、そして今日の脅威の実態に即したものにする時である。
RSAを利用すれば、コンプライアンスを超えて、真のIDレジリエンスを実現できます。
