「コンプライアンスの形式主義」から「能動的防御」へ

業界を問わず、アイデンティティ・ガバナンス・プログラムは、ある誤った前提の下で運用されています。それは、定期的なアクセス権限の見直し、文書化されたポリシー、そして問題のない監査報告書があれば、正当化できるセキュリティ体制が整うというものです。しかし、実際にはそうではありません。.

脅威の状況は根本的に変化しました。人間であれ非人間であれ、あらゆるアイデンティティが、わずか数ミリ秒のうちに付与され、変更され、悪用されています。 アクセス権限は、レビューサイクルの合間に絶えず変動し続けている。そして、侵害が発生した際、監査人、規制当局、検査官、保険会社、訴訟担当者は、ポリシーが存在していたかどうかを問うことはない。彼らが問うのは、インシデントが発生したその瞬間、そのポリシーがリアルタイムで確実に適用されていたかどうかである。.

本稿では、年次または四半期ごとのレビュー活動に依存する従来のアイデンティティ・ガバナンスおよび管理（IGA）モデルが、我々が「過失のギャップ」と呼ぶ現象を生み出していると論じる。これは、組織の静的なポリシー文書に記されている内容と、動的なシステムが実際に実行していることとの間に生じる、ますます広がる隔たりである。 このギャップに対処しなければ、それは単なるセキュリティリスクにとどまらない。それは法的責任となり、金融機関や政府機関にとっては、いずれ監査で指摘されることになる問題でもある。.

その代替案として挙げられるのが、「アクティブ・ディフェンス・ガバナンス（ADG）」への移行です。これは、ガバナンスを定期的な証明作業ではなく、継続的かつ自動化されたリスクベースの制御機能として機能させるモデルです。ADGを効果的に導入すれば、アイデンティティ・ガバナンスを単なるコンプライアンスのコストセンターから、運用上のセキュリティ機能へと転換させることができ、さらに重要な点として、訴訟に備えた正当性を立証できる根拠へと変えることができます。.

本ポジションペーパーは、実務者、プログラム責任者、および経営陣に対し、定期的なコンプライアンス活動にとどまらず、継続的かつ正当化可能なADGモデルへと自社のIGA体制を評価・進化させるための枠組みを提供することを目的としています。本ペーパーでは、以下の点について詳述します：

• 従来のIGA見直しサイクルが、今日のリスクに対応しきれない理由
• こうしたガバナンスの欠如が、どのように法的・規制上のリスクをもたらすか
• ADGを実装するためのフレームワーク：基礎的な機能から完全な防御能力まで
• 組織がADGの効果を測定するために活用できる指標
• ガバナンスの成熟度にかかわらず、あらゆる組織における導入上の留意点

「クリーン監査のパラドックス」

今日、多くの組織はSOC 2 Type II監査、GDPR対応評価、DORAコンプライアンス審査、CJISセキュリティ監査などで常に良好な結果を出しているにもかかわらず、その「問題なし」の判定を受けてからわずか数週間後に、IDを悪用した情報漏洩被害に遭っています。これは偶然ではありません。これは、従来のコンプライアンス・フレームワークの設計方法と、組織がそれに対してどのように対応しているかという構造的な結果なのです。.

コンプライアンスの枠組みは、その性質上、特定の時点における状況を評価するものです。SOC 2 監査では、所定の期間において統制措置が適切に整備され、効果的に運用されていたかどうかを評価します。CJIS 監査では、刑事司法情報を管理するアクセスポリシーが文書化され、遵守されていることを検証します。.

フレームワークはそれぞれ異なりますが、共通する制約があります。それは、特定の期間、つまり制御の「スナップショット」であり、 連続 執行。.

FFIECのガイダンス、NYDFS Part 500、またはPCI DSS v4.0の対象となる金融機関は、監査人から、特定の時点における証明ではなく、継続的な統制の証拠を求められるケースが増えています。 FISMA、FedRAMP、またはNIST SP 800-53の対象となる連邦機関は、承認時点での統制を文書化するガバナンスモデルに基づいて運営されていますが、その文書はレビューサイクル間の運用上の実施状況を反映していない可能性があります。いずれの場合も、監査フレームワークは特定の時点を捉えるものです。脅威環境は、レビューサイクルのために一時停止することはありません。.

その結果、実務家の間で「クリーン・オーディットのパラドックス」あるいは「コンプライアンスのパラドックス」と呼ばれる現象がますます注目を集めている。つまり、組織が監査結果を確信すればするほど、実際にはリスクにさらされている可能性が高まるというのだ。3ヶ月、6ヶ月、あるいは11ヶ月前のデータから生成された「グリーン」なダッシュボードは、内部統制が機能している証拠ではない。それはむしろ、 過去 制御、そして侵害が発生した場合、その区別こそがすべてを左右する。.

もし今日、貴社で大規模なID関連の情報漏洩が発生したとしても、調査官は「ガバナンス方針があったか」などとは尋ねないでしょう。彼らが問うのは、その方針が情報漏洩が発生した時点で有効であり、かつ確実に実施されていたかどうかです。もしその答えが「毎年見直している」というものであれば、貴社は単にセキュリティ対策が不十分というだけでなく、弁明の余地すらない状態にあると言えます。.

監査の陳腐化：あらゆるレビューに潜む「有効期限」

アクセス権限の認定キャンペーン、権限の見直し、役割の確認作業には、いずれも有効期限がありますが、それを記録する人は誰もいません。キャンペーンが終了した瞬間から、そこで認定されたデータは現実の状況から乖離し始めます。私たちはこれを「監査の劣化」と呼んでいます。.

現代の企業環境において、IDおよびそれに関連するアクセス権は静的なものではありません。サービスアカウントが作成され、設定ミスが発生します。契約社員が採用され、そのアクセス範囲が当初の意図を超えて拡大していきます。 従業員は役職が変わっても、一度付与された権限が取り消されることなく蓄積されていきます。APIキー、マシンアカウント、エージェント型AI、ロボティック・プロセス・オートメーション（RPA）ボットなどの非人間的なIDは、最小限の監視の下でインフラ全体に増殖していきます。.

このような環境下では、四半期ごとのレビューサイクルでは、アクセス権限の逸脱が検知されるまでに最大90日間も放置されることになり、その時点でようやく検知の対象となるのです。 年次レビューの場合、最大1年間にわたり監視されない状態が続くことになります。攻撃者たちはこの状況を熟知しています。IDを悪用した攻撃の潜伏期間は、数時間ではなく数週間から数ヶ月単位で測定されます。これはまさに、従来のガバナンスのサイクルが予測可能な攻撃の好機を生み出しているからです。.

監督者による審査：ガバナンスにおいて最も信頼性の低い手段

企業のIGAプログラムにおいて最も一般的なアクセス権限の見直し手法は、上司またはマネージャーによる認証です。これは、マネージャーに対し、直属の部下のアクセス権限を定期的に確認し、そのアクセス権限が依然として適切であることを確認するよう求めるものです。この慣行は、コンプライアンスの枠組みや監査の要件に深く根付いています。しかし、これはアイデンティティセキュリティの対策ツールの中でも、最も効果の低い統制手段の一つでもあります。.

こうした構造的な問題はよく知られている。管理者は膨大な量のアクセス権限データを提示されるが、それを有意義に評価するための技術的な知識が不足している。レビューには時間的制約があり、本業の業務と競合してしまう。そして、最も手っ取り早い方法である既存のアクセスプロファイルを無条件に承認しても、たとえリスクが継続することになっても、直ちに何らかの結果が生じるわけではない。.

その結果、監査主導型の無関心という状態が生じる。これは、審査担当者が認証取得活動を真のリスク管理活動ではなく、単なる事務的な義務として扱うようになる、組織内で定着した行動様式である。この動態は、自らを強化し続けるものである。 .

一方、役割権限のレビュー、ポリシー例外のレビュー、非構造化データへのアクセスレビュー、非人間IDの監査など、有意義なリスクを明らかにする可能性が最も高いレビューの種類は、実施頻度が最も低いものに含まれています。これらのレビューには、特定の分野に関する専門知識と責任の所在が求められますが、監督者中心のモデルではこうした要素を適切に捉えるようには設計されていません。.

ガバナンスが負債となる事例

過去20年の大半において、不十分なアイデンティティ・ガバナンスがもたらした主な影響は、運用面におけるもの――情報漏洩、データ損失、評判の失墜――でした。法的・規制上のリスクは確かに存在しましたが、多くの場合、是正措置の約束や和解契約によって対処されてきました。.

その状況は変わりつつある。SEC（米国証券取引委員会）の開示要件では、現在、重大なサイバーセキュリティインシデントについて適時かつ正確な報告が義務付けられており、規制当局は、組織がチェックリストを遵守したかどうかだけでなく、セキュリティ対策において合理的な注意義務を果たしていたかどうかを積極的に評価している。 EU域内の金融機関に適用されるDORAは、情報通信技術（ICT）のリスク管理およびインシデント対応に関する明確な要件を定めており、その範囲はサードパーティへのアクセスやID管理にまで及ぶ。刑事司法情報へのアクセスに関するCJISセキュリティポリシーの要件は厳格かつ妥協の余地がなく、アクセス制御の不備は連邦レベルで深刻な結果を招く。 金融機関や政府機関において、監査人は、前回の監査時に統制が整備されていたかどうかに留まらず、統制が継続的に機能しているかどうかにますます注目しています。.

このような状況下では、情報漏洩後の訴訟や規制当局による手続きにおいて、組織にガバナンス体制があったかどうかは問われません。その代わりに、インシデント発生時にその体制が機能しており、適切に運用されていたかどうかが焦点となります。 証拠開示手続きでは、アクセスログ、認証記録、例外承認、およびポリシー実施の証拠が求められます。問われるのは哲学的な問題ではなく、証拠に基づく事実関係です。.

年次認証記録しか提示できず、継続的な監視の証拠を提示できない組織は、コンプライアンスを遵守していることを実証できていない。その組織は、文書化されたポリシーと実際のセキュリティ態勢との間に乖離があることを示しており、しかもそれは最も深刻な状況下で明らかになったのである。.

過失のギャップの定義

「ネグリジェンス・ギャップ」とは、組織の静的なポリシー文書に記されている内容と、レビューサイクルの合間に動的なアイデンティティシステムが実際に行っていることとの間に生じる、ますます広がる溝を指します。これは単なる理論上のリスクではありません。ガバナンス措置の実施間隔が空くにつれて、日々拡大していく、実証済みのリスクなのです。.

この格差には、いくつかの要因が絡み合っています：

まず、アクセスドリフトについて：レビュー期間の間に、ガバナンス上の措置が講じられることなく発生する、権限の蓄積、役割の割り当て（時代遅れの役割定義を含む）、および権限の付与のこと。.

第二に、検知遅延：アクセス異常が発生してから、組織がそのガバナンスプロセスを通じてそれを認識するまでの経過時間。.

第三に、是正措置の遅延：ポリシー違反のアクセスが検出されてから、実際にアクセス権の取り消しや是正措置が講じられるまでの時間。.

情報漏洩が発生した場合、「過失のギャップ」こそが責任の所在となる領域です。原告側弁護士や規制当局は、これを時間軸で評価します。具体的には、不正アクセスがどのくらいの期間存在していたか、いつ検知されるべきだったか、そして適切なガバナンス体制があればどのような対応が取られていたか、といった点を検証するのです。.

人間以外のアイデンティティ：検証されていない攻撃対象領域

アイデンティティの範囲は、人間のユーザーをはるかに超えて劇的に拡大しています。現在、ほとんどの企業環境において、サービスアカウント、APIトークン、マシンアイデンティティ、RPAボット、AIエージェントが、全アイデンティティの大部分を占めています。こうした非人間的なアイデンティティは、多くの場合、高い権限で動作し、管理者のレビュー対象となることはほとんどなく、システムや連携環境の変化に伴い、アクセス範囲が有機的に変化していきます。.

攻撃者の視点から見れば、非人的なIDは極めて魅力的な標的となります。なぜなら、高い権限を持ち、目立ちにくく、検知されるまでの潜伏期間が長いからです。法的観点からは、横方向の移動経路として悪用された侵害されたサービスアカウントは、組織が組織図上に記載されているIDだけでなく、あらゆる種類のIDに対して効果的な監視体制を維持していたのかという、鋭い疑問を投げかけます。.

非人間的なアイデンティティに対する積極的な監視やポリシーの適用を実証できないガバナンス・プログラムには、構造的な盲点があり、規制当局、訴訟関係者、そして攻撃者たちがその存在をますます認識しつつある。.

哲学的転換

アクティブ・ディフェンス・ガバナンス（ADG）は、アイデンティティ・ガバナンスの概念と運用方法における根本的な転換を表しています。従来のモデルが問うのは「誰がアクセス権を持っているか」という点です。一方、ADGモデルが問うのは「なぜこのアイデンティティが、今この瞬間にこのアクセス権を持っているのか、そしてそのアクセスは現在のポリシーやリスク態勢と整合しているのか」という点です。

これは単なる哲学的な区別ではありません。これは、セキュリティ運用環境におけるガバナンスの機能の在り方における構造的な変化を反映しているのです。 従来のモデルでは、ガバナンスは周期的な機能であり、実行、終了、そして再開を待つという一連のプロセスでした。一方、ADGモデルでは、ガバナンスは継続的なテレメトリストリームとなります。すべてのアクセスイベント、プロビジョニング操作、および権限の変更は、ポリシーに対してリアルタイムで評価され、人間のレビューサイクルを必要とせずに即座に発動する自動対応機能が備わっています。.

このモデルにおいて、正式なアクセス認証キャンペーンがなくなるわけではありません。その役割が再定義されるのです。定期的な認証は、主要な管理メカニズムとして機能するのではなく、継続的な監視によってすでに検出、管理、記録された事項を確認・証明する役割を担います。このキャンペーンは、システムとポリシーを検証するものであり、もはやシステムそのものではありません。.

ADGプログラムの中核となる機能

効果的なアクティブ・ディフェンス・ガバナンス・プログラムは、相互に密接に関連するいくつかの機能に基づいて構築されています：

• リアルタイムのポリシー評価による継続的なアクセス監視。静的なレビューサイクルを、イベント駆動型のガバナンストリガーに置き換える
• リスクに基づく認証の優先順位付けを行い、すべてのアクセス権限に均等にリソースを配分するのではなく、リスクが最も高いアクセス権限やIDに対して人的な審査リソースを集中的に投入する
• ジャスト・イン・タイム（JIT）アクセス権付与とは、リスクの観点から必要性が認められる特定の期間に限りアクセス権を付与する方式であり、その付与は恒久的な権限ではなく、実証された必要性に基づいて行われるものである
• 非人間アイデンティティのガバナンス。人間ユーザーに対して適用されているのと同じ継続的な監視とポリシー適用を、サービスアカウント、API認証情報、AI、RPAボット、およびマシンアイデンティティにも適用する
• 「失効までの時間（TTR）」の測定。これは、ID変更イベントが発生してから、影響を受けるアクセス権限が失効するまでの経過時間を追跡する主要なセキュリティ指標である。

アクセス決定、ポリシー評価、ガバナンス措置に関する改ざん防止機能を備えた記録を継続的に生成する、監査対応レベルの自動ロギング機能。これらの記録は、規制当局や法的な審査のために即座に利用可能です。

ジャスト・イン・タイム・ガバナンスとゼロトラストの連携

ジャスト・イン・タイム（JIT）アクセスガバナンスは、従来のIGA（アイデンティティ・ガバナンス・アーキテクチャ）における最も根深い構造的弱点の一つである「常時有効な権限」に対処するものです。多くの企業環境では、アクセス権は一度付与されると、明示的に取り消されるまで有効であり続けます。これは実際には、アクセス権が無期限に存続することを意味することが多々あります。常時有効な権限は、IDベースの攻撃における横方向の移動や権限昇格を可能にする主要な要因となっています。.

JITガバナンスは、電子メールなどの日常的なリソースではなく、リスクの高いアクセス要求に対してこのモデルを逆転させます。すべての権限を、取り消されるまで永続的なものとみなすのではなく、常時アクセスが最大のリスクをもたらす場面において、時間制限を設け、ポリシーに基づいて評価されたアクセス許可を適用します。 特権的または機密性の高いアクセスイベントはすべて、従来の慣習ではなく、ガバナンス上の決定事項となります。その目的は、すべてのアクセス要求に摩擦を生じさせることではなく、リスクが正当化する場合には、単に過去に許可されたという理由だけで存続する常時アクセスではなく、意図的かつ期間限定で、かつ検証済みのニーズに紐づいたアクセスを確保することにあります。.

このアプローチは、ゼロトラスト・アーキテクチャの原則、特に継続的な検証と最小権限のアクセス制御の徹底という要件と完全に合致しています。 また、このアプローチは、規制や訴訟の文脈において最も説得力のあるガバナンス成果物も生み出します。これらの成果物は、タイムスタンプが記録され、ポリシーとリンクされ、自動化されており、組織のガバナンス機能が理論上目指すものではなく、実際に何を行っているかを示しています。 調査担当者が、特定のIDが特定の瞬間に特定のリソースにアクセスできた理由を尋ねた場合、JITガバナンスモデルは、正確かつ文書化された回答を提示します。.

セキュリティの実態を反映した指標

ガバナンス・プログラムの成果は、従来、キャンペーン完了率、すなわち所定の期間内に認定されたレビューの割合によって測定されてきました。しかし、この指標はセキュリティ上の成果とはほぼ無関係です。形式的な承認によって達成された100％のキャンペーン完了率は、リスク管理の成果ではなく、単なる事務的なコンプライアンスの証に過ぎません。.

ADGプログラムには、実際のセキュリティ態勢と法的正当性を重視した、独自の指標セットが必要です。考慮すべき主な指標には、以下のものが挙げられます：

• ポリシー実施率（継続的）を、主要な管理指標としてキャンペーン完了率に代えて採用する
• 定義されたSLAウィンドウ内で検出されたアクセス異常の割合を示す、リアルタイム異常検知率
• 失効までの時間（TTR）：IDイベントの発生からアクセス権の失効までの経過時間を追跡する
• 非人間アイデンティティのカバー率：現在ガバナンスの対象となっている非人間アイデンティティの割合
• JITアクセスの導入率（JITメカニズムを通じて付与された特権アクセスと、常時有効な特権アクセスの割合を追跡したもの）
• 監査証拠の完全性：特定の期間における継続的なガバナンスログの可用性および完全性を測定する

取締役会レベルの指標としての失効までの期間

「失効までの時間（TTR）」は、契約終了、役割の変更、異常の検知、ポリシー違反など、特定のID関連イベントが発生した後に攻撃者が利用できる攻撃の好機となる期間を直接測定する指標であるため、特に重視すべきである。.

成熟した継続的ガバナンス体制を備えた組織では、TTR（平均検知時間）を分単位で測定しています。一方、定期的なレビューサイクルに依存している組織では、TTRを日単位や週単位で測定しており、標準的なキャンペーンの対象外となるアクセス権限については、（そもそも測定しているとしても）測定に無期限を要する可能性があります。 この差は些細な違いではありません。これは、封じ込められたアイデンティティ攻撃と、重大な情報漏洩事件へと発展した攻撃との違いに他なりません。金融機関や政府機関にとって、この差はセキュリティオペレーションセンター（SOC）の枠を超えて重要な意味を持ちます。監査担当者は、次の認証サイクルへの言及ではなく、トリガーとなる事象発生後にアクセス権がどれほど迅速に無効化されたかについて、正確かつ文書化された回答をますます求めています。.

TTRは、技術的なガバナンス能力を具体的なリスク低減成果へと結びつけるため、経営陣への報告において最も効果的な指標の一つでもあります。攻撃の遮断後、平均TTRが15分未満であることを実証できる組織は、自社のセキュリティ態勢について、攻撃キャンペーンの完了率では伝えきれないような重要なメッセージを発信していることになります。.

成熟度の連続体

コンプライアンス重視のIGAからADGへの移行は、一足飛びに実現できるものではありません。これは成熟度の段階的な進展であり、多くの組織では、リスクが最も高いIDカテゴリから着手し、時間をかけて対象範囲を拡大していくという段階的なアプローチをとることになります。.

ADG導入のための実用的な成熟度モデルは、以下の4つの段階を経て進展します：

• ステージ1 | 基礎段階：一元化されたIDインベントリ、一貫性のあるプロビジョニングおよびデプロビジョニングのワークフロー、およびアクセス権限の基準確認キャンペーン。この段階は、その後のすべてのプロセスの前提条件となります。.
• フェーズ2 | リスク対応：IDおよび権限に対するリスクスコアリングの導入、リスクウェイトに基づく審査作業の優先順位付け、および異常検知機能の初期導入。.
• ステージ3 | 継続的：リアルタイムのポリシー評価、イベント駆動型のガバナンストリガー、TTR（平均復旧時間）の測定、およびセキュリティ運用ツールとの連携。これがADGの基準となります。.
• ステージ4 | 防御態勢：常時アクセス権が最大のリスクとなる領域にJITアクセスガバナンスを適用し、非人間IDを完全に網羅し、監査対応レベルの継続的なログ記録と規制報告の自動化を実現する。このステージは、訴訟に備えた態勢を意味する。.

継続的なガバナンスにおけるAIの相乗効果

現代の企業において、アクセスイベント、権限の変更、およびID関連のやり取りの量は膨大であり、手動による継続的なガバナンスは運用上、現実的ではありません。AIを活用した分析は、ADGプログラムにおける単なるオプションの機能強化ではありません。それはアーキテクチャ上の必須要件なのです。.

IGAプラットフォーム内のAI機能を効果的に活用すれば、人間によるレビュープロセスでは現実的に対応しきれない複数の機能を実現できます。行動分析により、各IDの標準的なアクセスパターンを確立し、ポリシーの見直しが必要な逸脱を検知することができます。また、機械学習モデルを用いて個々の権限やアクセス権の組み合わせに対するリスク重みを評価することで、標準的なロールレビューでは見落とされがちな、悪用されやすい権限の組み合わせを特定することが可能です。 自然言語処理により、ポリシー文書を解釈し、権限をポリシーの意図に照らし合わせることで、手動による解釈ではなく、自動化されたコンプライアンス評価が可能になります。.

重要なのは、AIによるアクセス判断は、単なるモデルの出力結果だけでなく、検証可能なリスクスコアと文書化されたポリシーとの関連性によって裏付けられなければならないという点である。 法的または規制上の文脈において重要なガバナンス上の要素は、AIが意思決定を行ったということではない。重要なのは、その意思決定が、文書化され監査可能なポリシー評価プロセスに従って行われ、意思決定の時点でリスク根拠が記録されていたということである。.

ガバナンスをセキュリティ機能として位置づける

ADGへの移行において、おそらく最も大きな導入上の課題は、技術的なものというよりは組織的なものである。従来のIGAプログラムは、コンプライアンス、人事テクノロジー、あるいはIT運用部門に所属していることが多くある。ADGでは、アイデンティティ・ガバナンスを中核的なセキュリティ機能として位置づけ、セキュリティ運用、インシデント対応、脅威インテリジェンスと統合することが求められる。.

こうした文脈においてADGの位置づけを見直すことは、実務上の意義を持つ。ガバナンス指標は、コンプライアンス・ダッシュボードだけでなく、セキュリティ運用のレポートにも反映される必要がある。ガバナンス上の異常は、SIEMやSOARのワークフローに組み込まれる必要がある。また、ガバナンス部門の責任者は、コンプライアンスや監査部門を介した報告関係ではなく、セキュリティ部門の責任者と直接連携できる体制を整える必要がある。.

この変化に伴い、ガバナンスへの投資の評価方法も見直す必要があります。継続的なガバナンス基盤への支出は、単なるコンプライアンスコストではありません。これは、リスク低減という測定可能な成果をもたらすセキュリティ投資であり、サイバー保険の保険料、規制当局からの評価、および訴訟対応に直接的な影響を及ぼすものです。.

本論文の中心的な主張は、コンプライアンスが重要ではないということではない。 SOC 2、DORA、CJISセキュリティポリシーといった枠組みは、重要な役割を果たしている。すなわち、基準となる期待値を確立し、監査の枠組みを提供し、説明責任のメカニズムを構築するものである。本論の主張は、現在ほとんどの組織で実践されているコンプライアンスは不十分であり、その不十分さはもはや単なるセキュリティリスクにとどまらないという点にある。それは法的リスクであり、評判リスクでもある。.

ID関連の脅威の状況は、継続的かつポリシーに基づいたリアルタイムのアクセス制御を実証できないガバナンスプログラムは、構造的な脆弱性を抱えたまま運用されていると言えるほどに進化しています。 定期的なレビューは、継続的な制御の証明や確認、ポリシーの改善メカニズム、および規制当局への報告資料として、依然として一定の役割を果たすことができます。しかし、それらが主要な制御手段となることはできません。リスクはレビューのサイクルを待ってはくれないからです。.

ADGへの移行を進める組織は、単なるセキュリティ対策の強化にとどまらないものを構築しています。それらは、規制当局の調査、取締役会での議論、情報漏洩後の調査、そして万が一の法廷での争いといった、最も重要な局面において正当性を主張できるガバナンス体制を構築しているのです。.

重要なのは、組織にガバナンス方針があるかどうかではありません。重要なのは、肝心な時にその方針が機能していたことを証明できるか、そして現在も機能し続けているかということです。.

本論文について

本ポジションペーパーは、RSAのアイデンティティ・ガバナンスおよび管理の専門家によって作成されました。本資料は、実務担当者、プログラム責任者、および経営陣に対し、定期的なコンプライアンス活動にとどまらず、継続的かつ正当性のある「アクティブ・ディフェンス・ガバナンス」モデルへと、自社のアイデンティティ・ガバナンス体制を評価・進化させるための枠組みを提供することを目的としています。.