どのアイデンティティ・ガバナンスの話も、結局は同じフラストレーションに行き着く。誰も信用しないアクセス・レビュー、ゴム印を押されただけの認証、常に一歩遅れているように感じる管理者。リーダーシップは現状を見て、組織にはより良いIGA戦略が必要だと結論づける。新しいプロセス。より強力なポリシー。ガバナンスの強化。.
しかし、ここで重要なのは、ガバナンスの意図は通常問題ないということだ。問題はその下にあるデータだ。.
アイデンティティ・ガバナンスのフレームワークが最初に設計されたとき、平均的な企業は数百のアプリケーションと管理可能な数のユーザー・アカウントを管理していた。アクセス・レビューは面倒だったが、扱いやすかった。管理者は努力次第で、誰が何をなぜ必要としているのかについて、意味のあるコンテキストを作成することができた。.
その世界はもはや存在しない。.
金融サービス、政府機関、および保証の高い組織は、SaaS、ハイブリッド、およびオンプレミス環境にまたがる数千ものアプリケーションを日常的に管理しています。これらのアプリケーション内のエンタイトルメントは数百万に上ります。すべてのユーザは、長年にわたる役割の変更、プロジェクトの割り当て、組織の再編によって蓄積されたアクセス決定の足跡を持っています。そして、その足跡は絶え間なく増え続け、日を追うごとに新しいアカウント、新しい権限、新しい役割、新しいリスクが追加されていきます。.
現在、組織が生成するIDデータの量は、人間のチームが有意義に処理できる量を超えている。これは努力や注意不足の問題ではない。数学の問題なのだ。.
アイデンティティ・ガバナンスの管理責任者は、効果的な意思決定がほとんど不可能な状況下で業務を行っている。.
アラートキューは常に過負荷状態にある。各フラグにはトリアージが要求されるが、量が多いため、多くのアラートが延期されたり却下されたりするのは、調査済みだからではなく、調査する帯域幅がないからである。プロビジョニングのリクエストは山積みになる。アクセス異常は、自信を持って行動するのに十分なコンテキストがないまま表面化する。その結果、システムは機能しているように見えるが、実際には思い込みとバックログで動いていることになる。.
管理者はガバナンスに失敗しているのではない。管理者は、データ環境を管理するために設計されたツールを上回るデータ環境に圧倒されているのだ。.
アクセス認証キャンペーンも似たような構造的問題に直面しているが、表面化している問題は異なる。.
マネジャーが直属の部下のアクセスを認証するよう求められると、通常、資格のリストが提示され、承認するか取り消すかの二者択一を迫られる。.
彼らに与えられていないのは、その決断を意味のあるものにするための文脈である。このアクセスは、その人の現在の役割に合っているのか?最近使用されたか?そのアクセスは、同僚グループと比較してリスクが高いか?現在のアクセスプロファイルに、表示からはすぐにはわからないポリシー違反が埋め込まれていないか。
そのような文脈がなければ、レビュアーは理性的な人々がするように、承認してしまう。そのアクセスが適切だからではなく、必要かもしれないものを取り消すと、即座に目に見える苦痛が生じる一方、不適切なアクセスをそのままにしておくと、リスクが拡散し、先送りされるからだ。.
今日のほとんどの認証プロセスは、洞察ではなくデータを生み出す。そして、洞察なしに下された決定はガバナンスではない。事務処理に過ぎない。.
データ問題の解決策は、プロセスを増やすことではない。すでに存在するデータに、より優れたインテリジェンスを適用することだ。.
AI主導のアイデンティティ・ガバナンスは、人間のレビュアーにはできないこと、つまり、何百万もの資格のパターンを同時に分析し、同業者の行動に関連する異常を特定し、休止状態または過剰なアクセスにフラグを立て、重大なリスクを伴う特定の項目を浮上させることで、規模の問題に直接対処する。.
管理者にとっては、到着時間ではなく、実際のリスクシグナルによって優先順位付けされるアラートキューを意味する。レビュアーにとっては、各判断と並行してコンテクストを表示する認証キャンペーンを意味し、承認や取り消しが直感ではなく理解に基づくものとなる。財務、政府、高保証の組織にとっては、ガバナンス活動が最も重要なところに集中することを意味する。.
AIはアイデンティティ・ガバナンスにおける人間の判断に取って代わるものではない。他のあらゆるアプローチを圧倒してきたデータ処理を処理することで、人間の判断を再び可能にするのだ。.
アイデンティティ・ガバナンスで最も苦労している組織は、ポリシーがないから苦労しているのではない。苦労しているのは、データ環境の規模が拡大し、それに対処する能力を超えてしまったからである。.
この文脈では、AIはプレミアム機能でも将来の検討事項でもない。現代の企業が運用する規模では、AIはアイデンティティ・ガバナンスを機能させるための前提条件である。.
認証が形式的なものに感じられたり、管理者が常に反応しているように感じられたり、アクセスレビューで信頼性の低い決定が下されたりする場合、問う価値があるのは、ガバナンスプログラムに何が欠けているかということではない。.
データがあなたに伝えようとしていることを、誰も聞くことができないのです。あなたのデータが何を伝えようとしているのか、聞く準備はできていますか? ウェビナーに参加する, アイデンティティ・ガバナンスはなぜ破綻するのか?, ノイズを断ち切り、真のリスクを表面化させ、実際に持ちこたえる決断を下す方法について実践的に考察する。.
