脅威の増加、可視性の低下、セキュリティ・チームが追いつけないほどのスピードで成長するクラウド......アイデンティティとアクセス管理(IAM)を正しく行うことの緊急性は、かつてないほど高まっている。だからこそ ガートナー・アイデンティティ&アクセス・マネジメント・サミット このような重要な時期に来た。
このサミットでひとつのメッセージがあったとすれば、それは、クラウド・アイデンティティのリスクは急速に拡大しており、あらゆるセクターにとって脅威となりつつある。
ここでは、大会の翌日に必ずやっておくべき5つのことを紹介しよう:
セキュリティはアイデンティティから始まる。それは常に防御の第一線であり、組織にとって最も重要なサイバーセキュリティ資産である。
また、より多くのリソースが企業ネットワークを超えてクラウドに移行する中、セキュリティ・リーダーにとってアイデンティティの重要性は増すばかりである。セキュリティが取締役会レベルのトピックになりつつある現在、以下のような問題が生じている。 組織全体, 組織は、現在および将来のニーズをサポートするために、セキュリティに投資することを検討している。
十分なポイント・ソリューションを使いたがるかもしれないが、それはよく言えば近視眼的であり、悪く言えばセキュリティ上の大きな責任となる。ガートナーは、IAMはアクセス管理、アイデンティティ・ガバナンス、特権アクセス管理(PAM)の3つの主要機能で構成されると見ている。これら3つのカテゴリーはそれぞれ、より多くのワークロードがクラウドに移行するにつれて急速に進化している。このような変化を受けて、ガートナー社は、次のような優先順位をつけるよう組織に助言している。 統合IAMプラットフォーム 3つの機能すべてにわたって機能する。
そうすることで、企業は現在および将来のニーズをサポートし、新たなセキュリティ・リスクに対応し、ゼロ・トラスト・アーキテクチャの基礎を築くことができる。正しい選択をする鍵は、特定のユースケースを評価し、それに応じて計画を立てることである。組織は以下を優先すべきである。 利便性より安全性 長期的な安全保障体制を強化するためだ。
統合されたIAMプラットフォームを持つことは、当面のビジネスニーズに対応するのに役立つ。また、ガートナーIAMで最も重要なトピックの2つである「パスワードレス」と「ゼロトラスト」を含む、長期的な目標に対して組織が前進するのにも役立つ。
クラウドサービスが急速に普及する以前から(そしてその結果としてリスクが増大する以前から)、パスワードではサイバーセキュリティがまったく不十分であることが証明されてきた。今年は ベライゾン によると、情報漏えいの82%は、盗まれた認証情報の使用を含む人的要素が関与していた。しかし、それは今年だけのことである。同じ報告書によると、パスワードはすべてのデータ侵害の主要な原因の一つであった。 であることがわかりました。.
パスワードは廃止されなければならない。ガートナー社は、今後3年間で労働人口の半数以上がパスワードレスになると予想している。また、FIDO2がパスワードレス認証の標準として市場を席巻するだろうと予測している。
パスワードよりも安全で安価なパスワードレス認証の急成長について、Gartnerが強気な見方をしているのには十分な理由がある。さらに、新しいFIDO2標準とパスワードレス認証方法の増加により、ユーザーにとって認証を容易にするものを見つけるのは、これまで以上に簡単になっている。組織が必要とするのは 正しいパスワードレス機能 ベンダーを探す際に念頭に置いておくこと。 FIDOプロトコル.
パスワードが危険すぎることを受け入れたとしても、その代わりに何を使うかを考えるのは難しい。
ガートナーは、ゼロトラストへの移行を組織に促している。ゼロトラストとは、セキュリティ・チームに、ネットワーク上のすべてのユーザー、リクエスト、リソース、デバイスを決して信用せず、常に検証するよう求める新しいサイバーセキュリティ・パラダイムである。
信頼ゼロが目標なら、組織は まず、確固たるアイデンティティ戦略が必要である。 (そのための最も効果的な方法は、次のようなものだ。 統合IAMプラットフォーム).
ゼロトラストへの移行は、パスワードへの依存を長引かせることにもなる。ゼロトラストは、常に以下のことをユーザーに求めていることを忘れないでください。 ベリファイ, 常に認証する必要はない。常にアクセスを検証するのであれば、ユーザーが認証しなければならないケースを減らすことができる。
ユーザーが を 認証が必要な場合は、QRコード、FIDO、バイオメトリクスなどのパスワードレス・オプションを使用すべきである。さらにスマートで安全な認証のために、組織は以下を採用すべきである。 リスクベース認証 と継続的適応型トラスト(CAT)は、機械学習を使用してリアルタイムでユーザーの行動をベースライン化し、対応する。ガートナーは、CATのアプローチによってアカウントの乗っ取りを3分の1近く減らすことができると予測している。これは大きな改善だ。
セキュリティー・サービスの売上は、現在、ほぼ100%を占めている。 25% すべてのセキュリティ支出のうち、IDも例外ではない。
SaaS IAM、クラウドベースの IAM、または IDaaS(Identity as a Service)と呼ぶかどうかに関係なく、クラウドで ID を管理することにはいくつかの理由がある。
認証プラットフォームは、多様なユーザー・タイプや複雑なIT資産にまたがる多様なアクセス要求に対応できなければならない。言い換えれば、IAMプラットフォームは、ユーザーがどこにいても、どのようにでも動作する必要がある。
時には、ユーザーがオフラインでも認証できるようにすることも必要です。従業員がインターネットに接続できなくても、仕事を続けるためには何らかの認証方法が必要です。覚えておいてほしいのは、セキュリティとは、適切なユーザーを認証することと同じくらい重要だということです。 で このままでは間違ったユーザーを アウト.
適切なバランスを見つけるには、インターネット接続がない場合でもユーザーを認証できるオフライン・フェイルオーバー・モードを提供できるベンダーを探すことです。そうすることで、ユーザが安全かつ生産的に作業できるようにすると同時に、以下を確実にすることができる。 脅威者は多要素認証のフェイルオープンを悪用しない プロトコルに従う。
最も参加者の多かった分科会では、アイデンティティ・ガバナンスに焦点が当てられた。ガートナーの最高評価ベンダーの大半は、アイデンティティ・ガバナンスと管理(IGA)またはPAMのいずれかを提供または拡大している。
なぜ突然ガバナンスが注目されるようになったのか。それは、クラウド・アイデンティティの数が増加し、セキュリティ・チームがクラウド・リスクに対処する必要性に迫られているからだ。より多くのリソースやユーザーがオンプレミスからハイブリッドやクラウドに移行するにつれ、セキュリティ・チームは、誰が何にアクセスできるのか、なぜアクセスする必要があるのか、そしてアクセスしたリソースで何ができるのかを把握できなくなっている。
多くの組織が次のことを理解している。 なぜ IGAは重要だが、彼らは必ずしも知らない どのように IGAソリューションのスコープ私たちは次のように考えている。 六大要素 適切なレベルのアクセスを効率的に提供し、それを効果的に管理できるガバナンス・ソリューションを見つけること。
テクノロジーとサイバーセキュリティを変貌させる多くの変化は、1つの変化から次の変化へと続くわずかな不変性を強調している。ガートナーIAMサミットは、IDがいかに重要であるか、そして今後も不可欠であるかを実証した。
私たちは、新しいレポートの中で、アイデンティティがすべてのサイバーセキュリティの基盤として機能し続ける方法のいくつかを詳述している、 サイバーセキュリティの未来からの教訓.この報告書は、ガートナーIAMサミットで聞いた主なテーマの多くを裏付けており、IDが今後どのようになるかを想像している。 続ける サイバーセキュリティを形成する。
###
RSAの新しいレポートをダウンロードする、 サイバーセキュリティの未来からの教訓.
