展示会場でお客様と話しているときでも、RSA製品チームから話を聞いているときでも、私はいつもこの言葉を耳にします。組織は、可視性があるため、アイデンティティ ガバナンスを管理していると言います。ダッシュボード、レポート、メトリクスがあり、誰が環境全体で何にアクセスできるかがわかります。.
そして、公正を期すために、彼らは間違っていない。視界はかなり改善された。.
しかし、もし視認性が十分であれば、同じようなリスクに対処することはなかっただろう。.
私たちは以前よりも多くのことを見ることができるようになったが、それでも過剰なアクセスは続き、ポリシー違反は残り、監査結果は何度も戻ってくる。ある時点で、問題は問題が見えるかどうかではない。問題は、その問題に対して実際に何かしているかどうかということなのだ。.
多くのガバナンス戦略には、可視性が向上すれば自然と良い結果につながるという思い込みがある。私が目にするのはそうではない。.
私が目にするのは、自分たちの環境のリスクを十分に認識していながら、それに優先順位をつけて対処する明確な方法を持たないチームである。過剰なアクセスは特定されているが、削除されていない。違反は指摘されるが、緊急性をもって対処されない。レビュアーは、さまざまなチームやロールにまたがって、何百、何千ものアクセス判断を求められるが、多くの場合、自信を持って判断するために必要なコンテキストがない。そのため、レビュアーは、過負荷になったときに人がやりがちなこと、つまり目の前のタスクをこなすことになる。時間の経過とともに、ガバナンスはリスクの削減から作業負荷の管理へとシフトしていく。.
課題はデータの量だけではない。優先順位付けの欠如である。すべての権限、役割、ポリシー違反が同じように表面化すると、実際に何が重要なのかを判断するのが難しくなる。すべてが同じレベルのリスクを持っているわけではないが、それらを区別する方法がないと、すべてが同じように重要に感じられるようになる。.
ここでガバナンスが停滞し始める。レビューが完了し、発見事項が文書化されても、根本的なリスクは意味のある変化をもたらさない。.
このギャップを埋めるには、別のアプローチが必要だ。査読者にあらゆるものを平等に評価するよう求めるのではなく、実際に注意を払う必要があるものに集中できるよう手助けする必要がある。より多くのデータを提示するのではなく、ノイズを減らす必要がある。また、すべて手作業による解釈に頼るのではなく、意思決定を導くインテリジェンスを導入する必要がある。アナリティクスとAIが方程式を変え始め、チームがリスクの高いアクセスを強調し、最も重要なものを浮き彫りにし、自信を持って行動を起こせるようにする。.
これこそが、組織が真の進歩を遂げ始めているところであり、私たちがお客様をサポートするために多額の投資を行っているところです。私たちは何年も前からアイデンティティ・ガバナンスに機械学習とアナリティクスを適用してきましたが、最近変わったのは、技術革新のペースと、それらの機能を日常のワークフローにどれだけ直接組み込むことができるかということです。.
私たちは、単にAIを追加しているわけではありません。私たちは、チームがリスクに優先順位をつけ、意思決定のための明確なコンテキストを提供し、ガバナンス・ワークフロー内で直接アクションを導けるよう支援する機能を導入しています。レビュアーに大量のアクセス・データをふるいにかけるよう求めるのではなく、実際に重要なことに焦点を当て、最もインパクトのあるところでアクションを起こせるよう支援します。可視化から行動指針へのシフトは、ガバナンスが真の価値を提供し始めるところです。.
このような状況に心当たりがあるのは、あなただけではない。多くの組織は、可視化に多額の投資を行ってきたが、それが意味のあるリスク削減につながっていないことに気づいている。.
リスク削減の実際をご覧になりたいですか?ウェビナーにご参加ください、, アイデンティティ・ガバナンスはなぜ破綻するのか?, ここでは、アイデンティティ・データをどのように切り分け、リスクに優先順位をつけ、自信を持って行動を起こすかについて説明する。.
