2023年、最高情報セキュリティ責任者(CISO)やアイデンティティ・アクセス管理(IAM)の責任者は、強力なセキュリティを中核とする統合アイデンティティ・ソリューションに多額の投資を行う。
組織がこのような移行を進めているのは、断片的なアイデンティティ・ソリューションでは、増大するユーザ、デバイス、権限、環境、およびその結果増大するコスト、リスク、複雑性のセキュリティをもはや確保できないからである。アイデンティティは、組織全体で複数のユースケースを満たす。多要素認証(MFA)により、セキュリティリスク、アカウントの乗っ取り、セキュリティ侵害を防止する。多要素認証(MFA)により、セキュリティリスク、アカウントの乗っ取り、セキュリ ティ侵害を防止し、ディレクトリとシングルサインオン(SSO)機能により、より容易なアクセ ス管理を実現し、より優れたユーザー体験を提供する。アイデンティティは、モバイルデバイスやクラウドアプリケーションを含むIT資産全体にわたって安全なアクセスを提供し、デジタルトランスフォーメーションを加速します。
統合アイデンティティ・プラットフォーム・ソリューションへのこの傾向は、リモート従業員の強力な認証に焦点を当てた過去3年間のパターンからの調整を示し、すべてのアイデンティティ・コンポーネントにわたってセキュリティを拡張する。CISO、セキュリティ専門家、および IT チームは、在宅勤務から帰社勤務への移行が進む一方で、従業員がコート を着替えたり急に転職したりするため、文化とセキュリティの劇的なシフトに直面していると主張している。このようなシフトは、すべてのユーザーのクレデンシャルが壊滅的なデータ漏えいの経路となることを意味し、すべてのユーザーが特権アクセス・ユーザーであることを意味する。
マイクロソフトのようなベンダーやトーマ・ブラボーのような投資会社は、アクセス管理、ディレク トリ・サービス、パスワードレス認証、およびその他の ID 機能をそれぞれのポートフォリオに 急速に追加することで対応してきた。しかし、このレポートのためにインタビューした CISO は、少数の例外を除いて、セキュリティ・アイデンティティに基づく攻撃を防止し、セキュリ ティ脅威を検出し、統一されたセキュリティ重視のアイデンティティ・プラットフォーム、ファブリック、またはエクスペリエン スを作成するために、セキュリティ重視のベンダーに期待している。
Impact Leadersは、RSAセキュリティの委託を受け、大企業の経営幹部25人を対象に、2023年の支出計画、アイデンティティ戦略、デジタルトランスフォーメーション、アクセス管理分野、アイデンティティベースの攻撃、テクノロジー、トレンドに関する認識について長時間インタビューを行いました。
さらに、2023年1月、Impact Leadersは、平均売上高$400億米ドルの大企業の上級幹部6人に電話で相談し、セキュリティに焦点を当てた統合IDに関する彼らの見解について、関連する引用と洞察を求めた。
CISO は、セキュリティ中心の単一ベンダを、将来の適切な ID パートナーと見なしている。Impact Leaders の調査によると、CISO は、なぜ今アイデンティティが重視されるのか、なぜ統一されたエクスペリエンスが重要なのか、なぜ推奨するアイデンティティ・プロバイダがセキュリティを重視することが最も重要なのかについて、強い意見を持っている。
ITエグゼクティブは、データ保護を単純なセキュリティ境界防御から深層防御へと拡張するプレッシャーを感じている。従業員が自宅、コワーキングスペース、コーヒーショップ、その他の公共の場所で仕事をするようになったため、IDは新しい境界となった。
2022年のベライゾン・データ侵害調査報告書(DBIR)によると、82%の侵害は、セキュリティ侵害の出発点として、盗まれた認証情報、フィッシング、その他の人的脆弱性が使用されていた。1
クレデンシャル、フィッシング、アカウント乗っ取り、その他の脆弱性などのセキュリティリスクに安全に対処する計画なしに、安全な組織は存在しない。2 DBIRはまた、犯罪者が過去5年間の合計に匹敵するペースでユーザー認証情報の搾取を拡大していることを示した。3
組織が「強力な認証」の池に足を踏み入れているにせよ、リモートワークへの急な移行をサポ ートするためにアクセス制御を刷新するにせよ、アイデンティティは単なるセキュリティプ ロジェクトではない。それは、リスク管理プログラムの全体的な健全性を示す最も正確なバロメーターである。
CISOとテクノロジー・リーダーの100%は、コストよりも費用対効果を重視している。
企業が組織的に、または買収によって成長している場合、買収した企業の統合を容易にし、クラウドサービスを統合し、新入社員の移行を容易にし、生産性をフルに発揮するまでの時間を短縮するために、IDを活用することができる。また、レイオフにも役立つ。自動化できるため、デプロビジョニングが容易になる。つまり、IDは技術的リスク管理の基礎なのである。
本レポートのためにインタビューした IT およびセキュリティのエグゼクティブは、統一されたセキュリ ティ重視のアイデンティティを支持するための戦略について詳述した。彼らは、貸借対照表の上部と下部の両方における価値に焦点を絞ることで、ID イニシアチブに対 してより多くの予算、より多くの人員、および上級管理職からのより永続的な支援を得ていると述べている。一番下の行は、リスク削減、ダウンサイジング、規制遵守、セキュリティ侵害の防止など、回避したコストの価値を示し、一番上の行は、収益、新規事業、更新率、ユーザー・エクスペリエンスの向上など、受け取った利益の価値を示す。統一されたセキュリティ重視のアイデンティティは、バランスシートのトップ・ラインとボトム・ラインの両方に、4つのテーマで追跡する(図1)。
図 1: ID ソリューションのビジネス・ドライバー
ソースインパクト・リーダーズ
CISO の半数以上が、ID の「最も厄介な」側面は 4 社以上の ID ベンダーとの連携であると回答している。CISO の 3 分の 2 は、複数のベンダーを持つよりも、1 つまたは 2 つの ID プロバイダを持つことを望んでいる。
今から10年後のサイバーセキュリティ市場は、マイクロソフト、パロアルトネットワークス、アマゾン、トーマ・ブラボーのような一握りの大手プロバイダーに集約されると考えているCISOは少数(10%以下)だが、それは単純にあり得ない。
セキュリティー業界の統合は、過去40年間に何十回も試みられてきたが、うまくいかなかった。
大手クラウド・リソース・プロバイダーは今日、製品ポートフォリオを構築し、企業が自社のデータセンターで何十年もかけて微調整してきたものを数年で統合しようと躍起になっている。
このような大手プロバイダーが「ITのすべて」を実現しようと躍起になることで、企業の導入に自然な抵抗が生じる。なぜなら、大手クラウド・プロバイダーは目まぐるしく変化するビジネス・ダイナミクスに対応できず、急速に進化するセキュリティ・リスクにも対処できないからだ。さらに、Impact Leadersの調査によると、大企業は1つのクラウド・サービス・プロバイダーにすべてを託すことはしない。
大手のクラウド・プロバイダーはセキュリティに重点を置いていない。真剣に取り組んでいるのかもしれないが、それは自社の存在意義とは異なる。セキュリティ・リスク、アイデンティティ・ベースの攻撃、アイデンティティとアクセスは、CISOやITチームが一口で解決したい課題である。
ITエグゼクティブの72%が、IDプロバイダーを選択する際の主な要因はセキュリティであると回答している。
今日、ID ソリューションを求める CISO は、信頼できるベンダー・パートナー、ID インフラストラクチャ全体とライフサイクルを統合するベンダー、およびセキュリティ専門家のベスト・プラクティスを反映するベンダーを求めている:
「Windowsは私たちの唯一のセキュリティ・パートナーにはなれません。断片化された環境と何百ものダウンストリーム・アプリをセキュアに統合するには、Windowsでは不十分なのです」。
-CISO、1兆4,300億円の消費者製品会社
あるCISOは、セキュリティに特化したプロバイダーの統一された製品ポートフォリオを好む理由を尋ねられ、このように答えた:
「従業員はスマートフォンを持っていないことが多いのですが、それでもアイデンティティとアクセスのフットプリントのあらゆる部分で高いセキュリティが必要です。将来的にはパスワードレスの多要素認証(MFA)に大きな期待を寄せていますが、現在では、IDを取得し、機能させ、セキュアに保つことができるパートナーが必要です"
-フォーチュン500のチップメーカー幹部
ある国立信用組合のCIOによると、統一されたセキュリティ重視のIDソリューションを導入したことで、2年間でインフラとリスクに対して$2.9百万米ドルの純益を得た:
「他の信用組合の仲間や、ヘルスケアの地元企業から、攻撃を受けてビットコインで身代金を支払わなければならなかったり、業務復旧のために何日も何週間もサービスを停止しなければならなかったという恐ろしい話を聞きました。私たちにとっても、攻撃を受けるのは時間の問題だとわかっていました」。
-全国信用組合幹部
回答者の84%は、セキュリティ・ソリューションがマイクロソフトと統合することを望んでいるが、92%はマイクロソフトのセキュリティに全面的に依存することを望んでいない。
マイクロソフトは、ほとんどの大企業において、オンプレミス・インフラストラクチャのプロバイダーとして定評がある。マイクロソフトはまた、Microsoft Azure Active Directoryやクラウド・アプリケーションのポートフォリオを拡大するクラウド・サービス・プロバイダーとしても高く評価されている。
CISOが直面する課題は、マイクロソフトがクラウド環境とオンプレミス・リソースの両方に同じ機能を持つ同じ製品を提供していないことだ。基本的に2つの製品ポートフォリオがあり、それぞれの展開で性能を重複させることはできない。
あらゆるクレデンシャルが巧妙な犯罪者の標的になる。したがって、すべてのユーザーを特権的アクセス権を持つものとして扱うべきである。
CISO は、1 つまたは 2 つのプロバイダを持つのではなく、ID を統一することを好む。セキュリティに重点を置いた統一された ID プロバイダは、より強力なセキュリティ・システムの開発、リスク の防止、およびユーザ・エクスペリエンスの向上の両方において、測定可能な利点をもたらす。
アイデンティティは、組織のリスクに最も大きな影響を与える IT インフラの側面である。セキュリティ重視は、ID プロバイダを選択する際に使用される主な要因である。
この記事はインパクト・リーダーズのオリジナル・レポートに基づいている。 オリジナルのレポートはこちら
