長年にわたり、アイデンティティ・ガバナンスと管理(IGA)は大規模な変革プログラムとして扱われてきた。理論的には、すべてを一度に解決することは正しい選択のように聞こえる。しかし実際には、それがIGAの失敗の原因となっていることが多い。.
私がよく目にするパターンは、IGAとは何か、IGAが何をするものなのかについての認識不足ではなく、組織はIGAの重要性を理解している。苦労しているのは、従来のIGAアプローチでは、組織には時間、安定性、そしてすべてを一挙に構築する能力があることを前提としていることだ。今日の環境では、これはもはや現実的ではない。.
従来のIGAがうまく機能していたのは、オンプレミスのシステム、オフィスベースの従業員、めったに変更されない役割など、世の中がもっとシンプルだった時代である。役割が明確に定義され、システムが頻繁に変更されることもなく、大きなリスクを負うことなく、アクセスの決定を数カ月ごとに見直すことができた。
今日、すべてが異なっている。組織はクラウド、SaaS、分散チームを利用している。組織が管理するのは従業員のIDだけではありません。請負業者、パートナー、さらにはマシンにも責任があります。アクセスは常に変化している。.
このため、役割、方針、資格が決まった静的なIGAモデルは、あっという間に時代遅れになる。多くのIGAプログラムは、ここで行き詰まってしまう。最初からすべてを完璧に設計しようとしても、結果を出す前に環境が変わり続けてしまうのだ。.
IGAに対する従来の「ビッグバン」アプローチは、非常に野心的である。すべてのアプリケーションを導入し、すべての役割を定義し、1つのプログラムで完全なガバナンスを実現しようとする。.
課題は時間がかかることだ。そしてその間にリスクは増大し続ける。.
手作業によるプロセスは、IGAの「ビッグバン」をさらに困難にする。アクセス・レビューの規模が大きくなりすぎ、レビュアーが常に適切なコンテキストを持つとは限らず、意思決定はリスクを減らすことよりもタスクを完了することに重きが置かれるようになる。静的なロールは時代遅れになり、時間の経過とともに、適切な管理なしにアクセスが蓄積される。.
結局、組織は多くの投資を行うが、必ずしも迅速かつ明確な価値を見出せるとは限らない。.
私たちがよりうまくいっていると思うのは、異なる考え方だ。すべてを解決しようとするのではなく、ある特定のIGAの問題から始めるのだ。明確なもの、測定可能なもの、重要なもの。.
例えば、こうだ:
- 1つの重要なアプリケーションに多くのユーザーが高リスクのアクセスをしている
- 監査レビューが休眠口座にフラグを立てる
- 多くのユーザーに割り当てられているが、ほとんど使用されていない機密特権もある。
これらは理論上の問題ではなく、現実の問題だ。そして、すぐに解決できる。.
組織が一つのIGAユースケースや課題に集中すれば、すべてがシンプルになる。チームは適切な利害関係者を集め、成功をより明確に定義し、明確な結果を出す。その早い段階での勝利が自信となり、次に来るものへの勢いを生み出す。.
RSAでは、IGAについてもこのように考えている。.
一度にすべてを行うよう顧客に求めるのではなく、モジュラー方式で段階的なアプローチをサポートする。 RSA® ガバナンス&ライフサイクル ライセンスお客さまは以下から始めることができます。 視認性-誰が何にアクセスできるかを理解するだけでいい。これだけでもすでに価値と洞察がある。.
その後、彼らは ガバナンス, そして、本当に重要な部分にはコントロールとレビューを適用する。そしてその後は ライフサイクル, プロセスを自動化し、規模を拡大する。.
このアプローチによって、組織は小さく始めても大きく考えることができる。組織はまず現実の問題を解決し、それから段階的に拡大することができる。.
現代の環境では、ガバナンスは静的なものではありえない。よりダイナミックに、より焦点を絞る必要がある。.
すべてを平等に見直すのではなく、組織は見直す必要がある:
- 最もリスクの高いものから取り組む
- データを使って意思決定を導く
- 迅速に行動する
このようなステップを実現している組織は、製品能力とサービスを組み合わせている傾向がある。IGAの勝利を即座に実現するためには、組織は適切なツールを持つだけでは不十分である。.
もうひとつの重要なポイントは柔軟性で、特に配備に関してはそうだ。.
多くのソリューションは、クラウドかオンプレミスのIGAソリューションのどちらかを顧客に選択させる。しかし実際には、この選択は変わる可能性がある。クラウドファーストの戦略でスタートした企業が、規制やビジネス上の理由でオンプレミスにとどまることになるかもしれない。あるいは、組織はより柔軟に行動し、より多くのソリューションをクラウドで展開する必要があるかもしれない。.
適切なソリューションとは、現在の組織のニーズを満たし、将来の優先事項の変化に対応できるものだけです。RSA Governance & Lifecycleが、クラウドとオンプレミスのソリューション間で完全な製品パリティを実現しているのはこのためです。.
つまり、顧客は戦略が変わっても適応できるということだ。固定されることはない。すでに築き上げたものを失うことなく前進できるのだ。.
小さく始めることは、野心を制限することではない。現実的であるということだ。.
組織がIGAの課題を1つ解決したり、ユースケースに対処したりすると、次のアプ リケーション、次のリスク、次の改善への展開が容易になる。段階的な進歩は、大きな成果をもたらし、強力で近代化されたIGAプログラムを構築することができる。.
従来のIGAが失敗しているのは、ガバナンスが間違っているからではない。失敗しているのは、そのアプローチが今日のスピードと複雑性に適応していないからである。.
成功する組織とは、集中し、小さく始め、一歩一歩積み上げていくものである。彼らは大きなデザインだけでなく、真の成果を求めている。.
IGAは圧倒的である必要はない。実用的で、迅速で、強い価値をもたらすものでなければならない。.
これが実際にどのようなものかをお見せしよう。.
ウェビナーに参加する, アイデンティティ・ガバナンスはなぜ破綻するのか?, ここでは、アイデンティティ・データをどのように切り分け、リスクに優先順位をつけ、自信を持って行動を起こすかについて説明する。.
