アイデンティティ・ガバナンスに関するすべてのセキュリティ・チームの質問 - RSA

サイバーセキュリティにおいて、アイデンティティは非常に重要である。そしてアイデンティティによって、最も重要な質問、つまり誰がシステムにアクセスしているのか、何にアクセスできるのか、そのアクセスは適切なのか、に絶対に、絶対に答えられなければならない。.

セキュリティ・チームは何十年もの間、信頼できる答えを得るために努力してきた。誰もが同じサイト、あるいは少なくとも同じファイアウォールの内側で作業していた頃は、それは簡単だった。しかし今日では、ユーザーはほとんどどこからでも仕事をすることができ、クラウド、複数のクラウド、またはデータセンター内のアプリケーションやリソースにアクセスする必要があるかもしれない。.

このような環境全体でユーザを保護、管理、統制しようとすると、複雑になることがあります。この後のセクションでは、セキュリティ・チームが問いかけるべきアイデンティティとアクセスに関する質問を取り上げ、アイデンティティ・ガバナンスがこれらの回答をより強力な管理、リスクの低減、および明確なコンプライアンス証拠に変えるのにどのように役立つかを説明する。.

アイデンティティ・ガバナンス というのも、誰が何にアクセスできるのか、なぜアクセスできるのか、そしてそのアクセスが時間とともにどのように変化するのかを管理し、証明するのに役立つからです。ハイブリッド環境では、最小特権を仮定することと、実際にそれを実施することの違いです。.

ガバナンスがなければ、ユーザーが役割を変えたり、新しいアプリが登場したり、例外が恒久化したりするにつれて、アクセス・スプロールが静かに拡大する。その結果、侵害の影響が増大し、調査が遅れ、監査が困難になる。.

アイデンティティ・リスクを低減する前に、サインインの信頼性とアクセスの可視性に関する信頼できる回答が必要である。ID の検証を、システムや環境全体にわたって存在するアクセスの把握から切り離すことから始める。.

ユーザーは、彼らが言うとおりの人物なのか？

アイデンティティおよびアクセス管理（IAM）は、サインイン時にユーザーのアイデンティティを検証し、そのユーザーがシステムに入ることを許可すべきかどうかを決定する。実際には、ユーザーを認証し、適切なリソースへのアクセスを許可することを意味し、多くの場合、多要素認証（MFA）を使用する。.

IAMは不可欠だが、それは最初のステップに過ぎない。ユーザがログインした後も、セキュリティ・チームは、そのユーザがSaaSアプリ、マルチクラウド・インフラストラクチャ、IoTデバイス、サードパーティ・システムにわたって何にアクセスできるかを可視化する必要がある。この可視性がなければ、リスクの高いアクセスを発見し、アイデンティティの脅威に優先順位をつけ、セキュリティとプライバシーの要件をサポートすることは難しくなる。.

誰がシステムにいて、何にアクセスできるのか？

アイデンティティ・ガバナンスと管理（IGA）は、クラウドとオンプレミスの環境で、誰が何にアクセスできるかを可視化し、管理する。どのようなアクセスが存在し、それが適切かどうか、そして時間とともにどのように変更されるべきかをチームが判断するのに役立ちます。.

ほとんどのIGAプログラムは、4つの中核能力に焦点を当てている：

• アイデンティティ・ガバナンス： リスクの高いユーザー、役割、アプリケーションを含め、誰が何にアクセスできるかを理解し、見直す。.
• アイデンティティのライフサイクル： リクエスト、承認、プロビジョニング、ポリシーの適用など、加入、移動、離脱のプロセスを自動化します。.
• データアクセスガバナンス 誰が非構造化データにアクセスできるかを特定し、問題のあるアクセスを検出し、迅速に修復します。.
• ビジネスの役割管理： ロールとポリシーを定義し、ロールの乱立を抑え、ロールの認証を自動化します。.

アイデンティティが悪用されたり侵害されたりした場合、過剰なアクセスや不明確なアクセスは影響を増大させます。アクセスを一元管理することで、チームは問題を早期に発見し、コンプライアンス・ニーズ（SOX、HIPAA、GDPRなど）をサポートし、認証、リクエスト、プロビジョニングに関連する手作業を減らすことができます。.

誰がアクセスできるかを知ることは、問題の一部に過ぎない。次のステップは、アクセスが正当化され、役割に適切で、ポリシーとリスクによって制約されていることを確認することです。.

なぜユーザーは特定のリソースへのアクセスが必要なのか？

ユーザーがリソースにアクセスする必要があるのは、アカウントを持っているからとか、部署に所属しているからとかいう理由ではなく、定義された職責を果たすためです。アイデンティティ・ガバナンスは、アクセスを明確なビジネス上の正当性、役割、所有者が承認したポリシーに結びつけるのに役立ちます。.

戦術的には、これは通常、ロールベースまたはポリシーベースのアクセスモデルを設定すること、例外に対して明確な目的を要求すること、リスクと必要性に基づいてアクセスを承認できるアプリケーションおよびデータの所有者を割り当てることを意味する。時間をかけて、ガバナンスは、ユーザーが役割やプロジェクトを変更してもアクセスが必要かどうかを再検証することで、「アクセスドリフト」を低減する。.

ユーザーはあるアクセス権を使って何をするのか？

アクセスは、単にイエスかノーかの決定ではない。ユーザーがどのようなアクションを取れるか、どのデータにアクセスできるか、侵害されたアカウントがどれだけの損害をもたらすかを決定する。.

アイデンティティ・ガバナンスは、特権的な行動、機密データの暴露、決して一緒に存在してはならない有害なアクセスの組み合わせなど、リスクに基づいてアクセスを評価するチームを支援します。実際には、最小権限、職務分掌、アクセス認証、リスクの高い権限に対する標的型修復ワークフローなどを導入することになる。また、以下のような継続的なアクセス保証機能を導入することも必要です。 RSAガバナンスとライフサイクル, より迅速な検出と修復をサポートする。.

実際のところ、最小限の特権をどのように定義していますか？

最小特権とは、ユーザーが自分の仕事をするために必要なアクセス権だけを、必要な時間だけ持つことを意味します。これは1回限りの決定ではありません。継続的な規律なのです。.

チームは役割ベースのアクセスと「デフォルト」のアクセスパッケージを定義し、標準外のものは正当な理由と承認が必要な例外として扱います。継続的なアクセスレビュー、職務分掌のチェック、リスクの高い資格の対象的なクリーンアップにより、環境の変化に伴う特権のクリープを防止します。.

従業員の入社、役割の変更、退職に伴い、アクセス権は常に変化します。強力なガバナンスは、反復可能なワークフロー、タイムリーな更新、および実際の是正につながるレビューを通じて、エンタイトルメントの正確性を維持します。.

入団、移籍、退団のプロセスはどのようにリスクを軽減するのか？

入社、移動、退社のプロセスは、雇用ステータスと役割の変更に合わせてアクセスを調整することでリスクを低減し、アクセスが不要になった後も残ることがないようにします。このようなワークフローが破綻すると、孤立したアカウントや古いアクセス権が悪用されやすくなります。.

現実的な目標は一貫性とスピードだ。優れたライフサイクル・プロセスは、システム間でのリクエスト、承認、プロビジョニング、デプロビジョニングを自動化し、何がなぜ変更されたかを記録する。これにより、アクセスの乱立を抑え、侵害の影響を制限し、調査と監査をはるかに容易にする。.

アクセス審査や認証は実際にどのように行われるのか？

アクセスレビューと認証は、役割、ポリシー、リスクに基づき、適切なレビュアーがユーザーのアクセスが適切かどうかを確認することで機能する。アウトプットは、承認、取り消し、調整といった一連の決定であり、実際の是正につながるはずである。.

うまくいけば、レビューの範囲は有意義なアクセスに設定され、責任あるオーナーにルーティングされ、リスクの高い資格の周りに優先順位付けされる。また、誰が何をレビューしたのか、何を決定したのか、いつ決定したのか、変更が完了し検証されたのかを追跡することで、監査に耐えうる証拠も作成される。.

アイデンティティ・ガバナンスは、すべてのサイバーリスク戦略の一部であるべきである。誰がアクセス権を持っているのか、なぜ持っているのか、そしてそれが適切かどうかを自信を持って説明できなければ、一貫してリスクを低減したり、迅速に対応したり、監査に耐えうる証拠を作成したりすることはできない。.

ガバナンスは、アクセスを測定可能かつ強制可能にすることで、リスク戦略を運用化します。また、影響度に基づいて修復の優先順位を決定し、過剰な権限を削減し、参加者、移動者、離脱者の自動化によってアクセスの孤立を防ぐことができます。また、多くのチームは、チェックボックスのコンプライアンスにとどまらず、RSAの次のような視点でアクセスに関する意思決定にリスク・レンズを適用することで、プログラムを移行しています。 ガバナンスにリスク・レンズが必要な理由.

アイデンティティ・ガバナンスによって、セキュリティはアクセスの乱立に対応することから、乱立を防ぐことへと移行する。成熟したプログラムでは、現在存在するアクセスを見直すだけでなく、役割、ポリシー、リスクに基づいて、誰がアクセス権を持つべきかを定義する。.

IGAはこれらの分野でAIやMLから恩恵を受けることができる：

• レビューの背景:過去のレビューで取り消されたが、後に再び許可されたアクセスにフラグを付け、レビュー担当者がそれが真の例外なのか、定期的な必要性なのか、リスクのある行動なのかを理解できるようにする。.
• リスク・スコアリング:影響度の高い権限やリスクの高いアクション（書き込み、削除、移動、管理者の変更など）に優先順位を付け、アクセスがポリシーを超えた場合にアラートを発します。.
• アプリケーション・オンボーディング:所有者、データの機密性、使用制限を早期に把握することで、アプリケーションの稼動前にコントロールとポリシーを整える。.
• オンデマンド・プロビジョニング:エンタイトルメントの使用パターンとロールシグナルを学習し、ユーザーが必要とする可能性の高いアクセスを推奨するとともに、不適切なエンタイトルメントを特定して削除します。.
• リスク回避:アイデンティティとセッションのシグナルを使用して異常な動作を検出し、リスクの閾値が満たされた場合にセッションの終了やアカウントの一時停止などの保護アクションをトリガーします。.

強力な ID セキュリティには、サインイン時の検証とアクセス許可後のガバナンスの両方が必要です。RSA ソリューション また、 製品 認証からハイブリッド環境での継続的なアクセス保証まで、その完全なビューをサポートする。.

もっと詳しく知りたい方は RSAガバナンスとライフサイクル を含むRSAの認証機能により、継続的なアクセス保証を実現します。 多要素認証 （MFA）や パスワードレス認証.