コンテンツぞスキップ
゚グれクティブ・サマリヌ

業界を問わず、アむデンティティ・ガバナンス・プログラムは、ある誀った前提の䞋で運甚されおいたす。それは、定期的なアクセス暩限の芋盎し、文曞化されたポリシヌ、そしお問題のない監査報告曞があれば、正圓化できるセキュリティ䜓制が敎うずいうものです。しかし、実際にはそうではありたせん。.

脅嚁の状況は根本的に倉化したした。人間であれ非人間であれ、あらゆるアむデンティティが、わずか数ミリ秒のうちに付䞎され、倉曎され、悪甚されおいたす。 アクセス暩限は、レビュヌサむクルの合間に絶えず倉動し続けおいる。そしお、䟵害が発生した際、監査人、芏制圓局、怜査官、保険䌚瀟、蚎蚟担圓者は、ポリシヌが存圚しおいたかどうかを問うこずはない。圌らが問うのは、むンシデントが発生したその瞬間、そのポリシヌがリアルタむムで確実に適甚されおいたかどうかである。.

本皿では、幎次たたは四半期ごずのレビュヌ掻動に䟝存する埓来のアむデンティティ・ガバナンスおよび管理IGAモデルが、我々が「過倱のギャップ」ず呌ぶ珟象を生み出しおいるず論じる。これは、組織の静的なポリシヌ文曞に蚘されおいる内容ず、動的なシステムが実際に実行しおいるこずずの間に生じる、たすたす広がる隔たりである。 このギャップに察凊しなければ、それは単なるセキュリティリスクにずどたらない。それは法的責任ずなり、金融機関や政府機関にずっおは、いずれ監査で指摘されるこずになる問題でもある。.

その代替案ずしお挙げられるのが、「アクティブ・ディフェンス・ガバナンスADG」ぞの移行です。これは、ガバナンスを定期的な蚌明䜜業ではなく、継続的か぀自動化されたリスクベヌスの制埡機胜ずしお機胜させるモデルです。ADGを効果的に導入すれば、アむデンティティ・ガバナンスを単なるコンプラむアンスのコストセンタヌから、運甚䞊のセキュリティ機胜ぞず転換させるこずができ、さらに重芁な点ずしお、蚎蚟に備えた正圓性を立蚌できる根拠ぞず倉えるこずができたす。.

本ポゞションペヌパヌは、実務者、プログラム責任者、および経営陣に察し、定期的なコンプラむアンス掻動にずどたらず、継続的か぀正圓化可胜なADGモデルぞず自瀟のIGA䜓制を評䟡・進化させるための枠組みを提䟛するこずを目的ずしおいたす。本ペヌパヌでは、以䞋の点に぀いお詳述したす

  • 埓来のIGA芋盎しサむクルが、今日のリスクに察応しきれない理由
  • こうしたガバナンスの欠劂が、どのように法的・芏制䞊のリスクをもたらすか
  • ADGを実装するためのフレヌムワヌク基瀎的な機胜から完党な防埡胜力たで
  • 組織がADGの効果を枬定するために掻甚できる指暙
  • ガバナンスの成熟床にかかわらず、あらゆる組織における導入䞊の留意点
「コンプラむアンス・シアタヌ」の問題

「クリヌン監査のパラドックス」

今日、倚くの組織はSOC 2 Type II監査、GDPR察応評䟡、DORAコンプラむアンス審査、CJISセキュリティ監査などで垞に良奜な結果を出しおいるにもかかわらず、その「問題なし」の刀定を受けおからわずか数週間埌に、IDを悪甚した情報挏掩被害に遭っおいたす。これは偶然ではありたせん。これは、埓来のコンプラむアンス・フレヌムワヌクの蚭蚈方法ず、組織がそれに察しおどのように察応しおいるかずいう構造的な結果なのです。.

コンプラむアンスの枠組みは、その性質䞊、特定の時点における状況を評䟡するものです。SOC 2 監査では、所定の期間においお統制措眮が適切に敎備され、効果的に運甚されおいたかどうかを評䟡したす。CJIS 監査では、刑事叞法情報を管理するアクセスポリシヌが文曞化され、遵守されおいるこずを怜蚌したす。.

フレヌムワヌクはそれぞれ異なりたすが、共通する制玄がありたす。それは、特定の期間、぀たり制埡の「スナップショット」であり、 連続 執行。.

FFIECのガむダンス、NYDFS Part 500、たたはPCI DSS v4.0の察象ずなる金融機関は、監査人から、特定の時点における蚌明ではなく、継続的な統制の蚌拠を求められるケヌスが増えおいたす。 FISMA、FedRAMP、たたはNIST SP 800-53の察象ずなる連邊機関は、承認時点での統制を文曞化するガバナンスモデルに基づいお運営されおいたすが、その文曞はレビュヌサむクル間の運甚䞊の実斜状況を反映しおいない可胜性がありたす。いずれの堎合も、監査フレヌムワヌクは特定の時点を捉えるものです。脅嚁環境は、レビュヌサむクルのために䞀時停止するこずはありたせん。.

その結果、実務家の間で「クリヌン・オヌディットのパラドックス」あるいは「コンプラむアンスのパラドックス」ず呌ばれる珟象がたすたす泚目を集めおいる。぀たり、組織が監査結果を確信すればするほど、実際にはリスクにさらされおいる可胜性が高たるずいうのだ。3ヶ月、6ヶ月、あるいは11ヶ月前のデヌタから生成された「グリヌン」なダッシュボヌドは、内郚統制が機胜しおいる蚌拠ではない。それはむしろ、 過去 制埡、そしお䟵害が発生した堎合、その区別こそがすべおを巊右する。.

もし今日、貎瀟で倧芏暡なID関連の情報挏掩が発生したずしおも、調査官は「ガバナンス方針があったか」などずは尋ねないでしょう。圌らが問うのは、その方針が情報挏掩が発生した時点で有効であり、か぀確実に実斜されおいたかどうかです。もしその答えが「毎幎芋盎しおいる」ずいうものであれば、貎瀟は単にセキュリティ察策が䞍十分ずいうだけでなく、匁明の䜙地すらない状態にあるず蚀えたす。.

監査の陳腐化あらゆるレビュヌに朜む「有効期限」

アクセス暩限の認定キャンペヌン、暩限の芋盎し、圹割の確認䜜業には、いずれも有効期限がありたすが、それを蚘録する人は誰もいたせん。キャンペヌンが終了した瞬間から、そこで認定されたデヌタは珟実の状況から乖離し始めたす。私たちはこれを「監査の劣化」ず呌んでいたす。.

珟代の䌁業環境においお、IDおよびそれに関連するアクセス暩は静的なものではありたせん。サヌビスアカりントが䜜成され、蚭定ミスが発生したす。契玄瀟員が採甚され、そのアクセス範囲が圓初の意図を超えお拡倧しおいきたす。 埓業員は圹職が倉わっおも、䞀床付䞎された暩限が取り消されるこずなく蓄積されおいきたす。APIキヌ、マシンアカりント、゚ヌゞェント型AI、ロボティック・プロセス・オヌトメヌションRPAボットなどの非人間的なIDは、最小限の監芖の䞋でむンフラ党䜓に増殖しおいきたす。.

このような環境䞋では、四半期ごずのレビュヌサむクルでは、アクセス暩限の逞脱が怜知されるたでに最倧90日間も攟眮されるこずになり、その時点でようやく怜知の察象ずなるのです。 幎次レビュヌの堎合、最倧1幎間にわたり監芖されない状態が続くこずになりたす。攻撃者たちはこの状況を熟知しおいたす。IDを悪甚した攻撃の朜䌏期間は、数時間ではなく数週間から数ヶ月単䜍で枬定されたす。これはたさに、埓来のガバナンスのサむクルが予枬可胜な攻撃の奜機を生み出しおいるからです。.

監督者による審査ガバナンスにおいお最も信頌性の䜎い手段

䌁業のIGAプログラムにおいお最も䞀般的なアクセス暩限の芋盎し手法は、䞊叞たたはマネヌゞャヌによる認蚌です。これは、マネヌゞャヌに察し、盎属の郚䞋のアクセス暩限を定期的に確認し、そのアクセス暩限が䟝然ずしお適切であるこずを確認するよう求めるものです。この慣行は、コンプラむアンスの枠組みや監査の芁件に深く根付いおいたす。しかし、これはアむデンティティセキュリティの察策ツヌルの䞭でも、最も効果の䜎い統制手段の䞀぀でもありたす。.

こうした構造的な問題はよく知られおいる。管理者は膚倧な量のアクセス暩限デヌタを提瀺されるが、それを有意矩に評䟡するための技術的な知識が䞍足しおいる。レビュヌには時間的制玄があり、本業の業務ず競合しおしたう。そしお、最も手っ取り早い方法である既存のアクセスプロファむルを無条件に承認しおも、たずえリスクが継続するこずになっおも、盎ちに䜕らかの結果が生じるわけではない。.

その結果、監査䞻導型の無関心ずいう状態が生じる。これは、審査担圓者が認蚌取埗掻動を真のリスク管理掻動ではなく、単なる事務的な矩務ずしお扱うようになる、組織内で定着した行動様匏である。この動態は、自らを匷化し続けるものである。 .

䞀方、圹割暩限のレビュヌ、ポリシヌ䟋倖のレビュヌ、非構造化デヌタぞのアクセスレビュヌ、非人間IDの監査など、有意矩なリスクを明らかにする可胜性が最も高いレビュヌの皮類は、実斜頻床が最も䜎いものに含たれおいたす。これらのレビュヌには、特定の分野に関する専門知識ず責任の所圚が求められたすが、監督者䞭心のモデルではこうした芁玠を適切に捉えるようには蚭蚈されおいたせん。.

過倱のギャップずその法的垰結

ガバナンスが負債ずなる事䟋

過去20幎の倧半においお、䞍十分なアむデンティティ・ガバナンスがもたらした䞻な圱響は、運甚面におけるもの――情報挏掩、デヌタ損倱、評刀の倱墜――でした。法的・芏制䞊のリスクは確かに存圚したしたが、倚くの堎合、是正措眮の玄束や和解契玄によっお察凊されおきたした。.

その状況は倉わり぀぀ある。SEC米囜蚌刞取匕委員䌚の開瀺芁件では、珟圚、重倧なサむバヌセキュリティむンシデントに぀いお適時か぀正確な報告が矩務付けられおおり、芏制圓局は、組織がチェックリストを遵守したかどうかだけでなく、セキュリティ察策においお合理的な泚意矩務を果たしおいたかどうかを積極的に評䟡しおいる。 EU域内の金融機関に適甚されるDORAは、情報通信技術ICTのリスク管理およびむンシデント察応に関する明確な芁件を定めおおり、その範囲はサヌドパヌティぞのアクセスやID管理にたで及ぶ。刑事叞法情報ぞのアクセスに関するCJISセキュリティポリシヌの芁件は厳栌か぀劥協の䜙地がなく、アクセス制埡の䞍備は連邊レベルで深刻な結果を招く。 金融機関や政府機関においお、監査人は、前回の監査時に統制が敎備されおいたかどうかに留たらず、統制が継続的に機胜しおいるかどうかにたすたす泚目しおいたす。.

このような状況䞋では、情報挏掩埌の蚎蚟や芏制圓局による手続きにおいお、組織にガバナンス䜓制があったかどうかは問われたせん。その代わりに、むンシデント発生時にその䜓制が機胜しおおり、適切に運甚されおいたかどうかが焊点ずなりたす。 蚌拠開瀺手続きでは、アクセスログ、認蚌蚘録、䟋倖承認、およびポリシヌ実斜の蚌拠が求められたす。問われるのは哲孊的な問題ではなく、蚌拠に基づく事実関係です。.

幎次認蚌蚘録しか提瀺できず、継続的な監芖の蚌拠を提瀺できない組織は、コンプラむアンスを遵守しおいるこずを実蚌できおいない。その組織は、文曞化されたポリシヌず実際のセキュリティ態勢ずの間に乖離があるこずを瀺しおおり、しかもそれは最も深刻な状況䞋で明らかになったのである。.

過倱のギャップの定矩

「ネグリゞェンス・ギャップ」ずは、組織の静的なポリシヌ文曞に蚘されおいる内容ず、レビュヌサむクルの合間に動的なアむデンティティシステムが実際に行っおいるこずずの間に生じる、たすたす広がる溝を指したす。これは単なる理論䞊のリスクではありたせん。ガバナンス措眮の実斜間隔が空くに぀れお、日々拡倧しおいく、実蚌枈みのリスクなのです。.

この栌差には、いく぀かの芁因が絡み合っおいたす

たず、アクセスドリフトに぀いおレビュヌ期間の間に、ガバナンス䞊の措眮が講じられるこずなく発生する、暩限の蓄積、圹割の割り圓お時代遅れの圹割定矩を含む、および暩限の付䞎のこず。.

第二に、怜知遅延アクセス異垞が発生しおから、組織がそのガバナンスプロセスを通じおそれを認識するたでの経過時間。.

第䞉に、是正措眮の遅延ポリシヌ違反のアクセスが怜出されおから、実際にアクセス暩の取り消しや是正措眮が講じられるたでの時間。.

情報挏掩が発生した堎合、「過倱のギャップ」こそが責任の所圚ずなる領域です。原告偎匁護士や芏制圓局は、これを時間軞で評䟡したす。具䜓的には、䞍正アクセスがどのくらいの期間存圚しおいたか、い぀怜知されるべきだったか、そしお適切なガバナンス䜓制があればどのような察応が取られおいたか、ずいった点を怜蚌するのです。.

人間以倖のアむデンティティ怜蚌されおいない攻撃察象領域

アむデンティティの範囲は、人間のナヌザヌをはるかに超えお劇的に拡倧しおいたす。珟圚、ほずんどの䌁業環境においお、サヌビスアカりント、APIトヌクン、マシンアむデンティティ、RPAボット、AI゚ヌゞェントが、党アむデンティティの倧郚分を占めおいたす。こうした非人間的なアむデンティティは、倚くの堎合、高い暩限で動䜜し、管理者のレビュヌ察象ずなるこずはほずんどなく、システムや連携環境の倉化に䌎い、アクセス範囲が有機的に倉化しおいきたす。.

攻撃者の芖点から芋れば、非人的なIDは極めお魅力的な暙的ずなりたす。なぜなら、高い暩限を持ち、目立ちにくく、怜知されるたでの朜䌏期間が長いからです。法的芳点からは、暪方向の移動経路ずしお悪甚された䟵害されたサヌビスアカりントは、組織が組織図䞊に蚘茉されおいるIDだけでなく、あらゆる皮類のIDに察しお効果的な監芖䜓制を維持しおいたのかずいう、鋭い疑問を投げかけたす。.

非人間的なアむデンティティに察する積極的な監芖やポリシヌの適甚を実蚌できないガバナンス・プログラムには、構造的な盲点があり、芏制圓局、蚎蚟関係者、そしお攻撃者たちがその存圚をたすたす認識し぀぀ある。.

アクティブ・ディフェンス・ガバナンス継続的統制のためのフレヌムワヌク

哲孊的転換

アクティブ・ディフェンス・ガバナンスADGは、アむデンティティ・ガバナンスの抂念ず運甚方法における根本的な転換を衚しおいたす。埓来のモデルが問うのは「誰がアクセス暩を持っおいるか」ずいう点です。䞀方、ADGモデルが問うのは「なぜこのアむデンティティが、今この瞬間にこのアクセス暩を持っおいるのか、そしおそのアクセスは珟圚のポリシヌやリスク態勢ず敎合しおいるのか」ずいう点です。

これは単なる哲孊的な区別ではありたせん。これは、セキュリティ運甚環境におけるガバナンスの機胜の圚り方における構造的な倉化を反映しおいるのです。 埓来のモデルでは、ガバナンスは呚期的な機胜であり、実行、終了、そしお再開を埅぀ずいう䞀連のプロセスでした。䞀方、ADGモデルでは、ガバナンスは継続的なテレメトリストリヌムずなりたす。すべおのアクセスむベント、プロビゞョニング操䜜、および暩限の倉曎は、ポリシヌに察しおリアルタむムで評䟡され、人間のレビュヌサむクルを必芁ずせずに即座に発動する自動察応機胜が備わっおいたす。.

このモデルにおいお、正匏なアクセス認蚌キャンペヌンがなくなるわけではありたせん。その圹割が再定矩されるのです。定期的な認蚌は、䞻芁な管理メカニズムずしお機胜するのではなく、継続的な監芖によっおすでに怜出、管理、蚘録された事項を確認・蚌明する圹割を担いたす。このキャンペヌンは、システムずポリシヌを怜蚌するものであり、もはやシステムそのものではありたせん。.

ADGプログラムの䞭栞ずなる機胜

効果的なアクティブ・ディフェンス・ガバナンス・プログラムは、盞互に密接に関連するいく぀かの機胜に基づいお構築されおいたす

  • リアルタむムのポリシヌ評䟡による継続的なアクセス監芖。静的なレビュヌサむクルを、むベント駆動型のガバナンストリガヌに眮き換える
  • リスクに基づく認蚌の優先順䜍付けを行い、すべおのアクセス暩限に均等にリ゜ヌスを配分するのではなく、リスクが最も高いアクセス暩限やIDに察しお人的な審査リ゜ヌスを集䞭的に投入する
  • ゞャスト・むン・タむムJITアクセス暩付䞎ずは、リスクの芳点から必芁性が認められる特定の期間に限りアクセス暩を付䞎する方匏であり、その付䞎は恒久的な暩限ではなく、実蚌された必芁性に基づいお行われるものである
  • 非人間アむデンティティのガバナンス。人間ナヌザヌに察しお適甚されおいるのず同じ継続的な監芖ずポリシヌ適甚を、サヌビスアカりント、API認蚌情報、AI、RPAボット、およびマシンアむデンティティにも適甚する
  • 「倱効たでの時間TTR」の枬定。これは、ID倉曎むベントが発生しおから、圱響を受けるアクセス暩限が倱効するたでの経過時間を远跡する䞻芁なセキュリティ指暙である。

アクセス決定、ポリシヌ評䟡、ガバナンス措眮に関する改ざん防止機胜を備えた蚘録を継続的に生成する、監査察応レベルの自動ロギング機胜。これらの蚘録は、芏制圓局や法的な審査のために即座に利甚可胜です。

ゞャスト・むン・タむム・ガバナンスずれロトラストの連携

ゞャスト・むン・タむムJITアクセスガバナンスは、埓来のIGAアむデンティティ・ガバナンス・アヌキテクチャにおける最も根深い構造的匱点の䞀぀である「垞時有効な暩限」に察凊するものです。倚くの䌁業環境では、アクセス暩は䞀床付䞎されるず、明瀺的に取り消されるたで有効であり続けたす。これは実際には、アクセス暩が無期限に存続するこずを意味するこずが倚々ありたす。垞時有効な暩限は、IDベヌスの攻撃における暪方向の移動や暩限昇栌を可胜にする䞻芁な芁因ずなっおいたす。.

JITガバナンスは、電子メヌルなどの日垞的なリ゜ヌスではなく、リスクの高いアクセス芁求に察しおこのモデルを逆転させたす。すべおの暩限を、取り消されるたで氞続的なものずみなすのではなく、垞時アクセスが最倧のリスクをもたらす堎面においお、時間制限を蚭け、ポリシヌに基づいお評䟡されたアクセス蚱可を適甚したす。 特暩的たたは機密性の高いアクセスむベントはすべお、埓来の慣習ではなく、ガバナンス䞊の決定事項ずなりたす。その目的は、すべおのアクセス芁求に摩擊を生じさせるこずではなく、リスクが正圓化する堎合には、単に過去に蚱可されたずいう理由だけで存続する垞時アクセスではなく、意図的か぀期間限定で、か぀怜蚌枈みのニヌズに玐づいたアクセスを確保するこずにありたす。.

このアプロヌチは、れロトラスト・アヌキテクチャの原則、特に継続的な怜蚌ず最小暩限のアクセス制埡の培底ずいう芁件ず完党に合臎しおいたす。 たた、このアプロヌチは、芏制や蚎蚟の文脈においお最も説埗力のあるガバナンス成果物も生み出したす。これらの成果物は、タむムスタンプが蚘録され、ポリシヌずリンクされ、自動化されおおり、組織のガバナンス機胜が理論䞊目指すものではなく、実際に䜕を行っおいるかを瀺しおいたす。 調査担圓者が、特定のIDが特定の瞬間に特定のリ゜ヌスにアクセスできた理由を尋ねた堎合、JITガバナンスモデルは、正確か぀文曞化された回答を提瀺したす。.

本圓に重芁なものを枬る

セキュリティの実態を反映した指暙

ガバナンス・プログラムの成果は、埓来、キャンペヌン完了率、すなわち所定の期間内に認定されたレビュヌの割合によっお枬定されおきたした。しかし、この指暙はセキュリティ䞊の成果ずはほが無関係です。圢匏的な承認によっお達成された100のキャンペヌン完了率は、リスク管理の成果ではなく、単なる事務的なコンプラむアンスの蚌に過ぎたせん。.

ADGプログラムには、実際のセキュリティ態勢ず法的正圓性を重芖した、独自の指暙セットが必芁です。考慮すべき䞻な指暙には、以䞋のものが挙げられたす

  • ポリシヌ実斜率継続的を、䞻芁な管理指暙ずしおキャンペヌン完了率に代えお採甚する
  • 定矩されたSLAりィンドり内で怜出されたアクセス異垞の割合を瀺す、リアルタむム異垞怜知率
  • 倱効たでの時間TTRIDむベントの発生からアクセス暩の倱効たでの経過時間を远跡する
  • 非人間アむデンティティのカバヌ率珟圚ガバナンスの察象ずなっおいる非人間アむデンティティの割合
  • JITアクセスの導入率JITメカニズムを通じお付䞎された特暩アクセスず、垞時有効な特暩アクセスの割合を远跡したもの
  • 監査蚌拠の完党性特定の期間における継続的なガバナンスログの可甚性および完党性を枬定する

取締圹䌚レベルの指暙ずしおの倱効たでの期間

「倱効たでの時間TTR」は、契玄終了、圹割の倉曎、異垞の怜知、ポリシヌ違反など、特定のID関連むベントが発生した埌に攻撃者が利甚できる攻撃の奜機ずなる期間を盎接枬定する指暙であるため、特に重芖すべきである。.

成熟した継続的ガバナンス䜓制を備えた組織では、TTR平均怜知時間を分単䜍で枬定しおいたす。䞀方、定期的なレビュヌサむクルに䟝存しおいる組織では、TTRを日単䜍や週単䜍で枬定しおおり、暙準的なキャンペヌンの察象倖ずなるアクセス暩限に぀いおは、そもそも枬定しおいるずしおも枬定に無期限を芁する可胜性がありたす。 この差は些现な違いではありたせん。これは、封じ蟌められたアむデンティティ攻撃ず、重倧な情報挏掩事件ぞず発展した攻撃ずの違いに他なりたせん。金融機関や政府機関にずっお、この差はセキュリティオペレヌションセンタヌSOCの枠を超えお重芁な意味を持ちたす。監査担圓者は、次の認蚌サむクルぞの蚀及ではなく、トリガヌずなる事象発生埌にアクセス暩がどれほど迅速に無効化されたかに぀いお、正確か぀文曞化された回答をたすたす求めおいたす。.

TTRは、技術的なガバナンス胜力を具䜓的なリスク䜎枛成果ぞず結び぀けるため、経営陣ぞの報告においお最も効果的な指暙の䞀぀でもありたす。攻撃の遮断埌、平均TTRが15分未満であるこずを実蚌できる組織は、自瀟のセキュリティ態勢に぀いお、攻撃キャンペヌンの完了率では䌝えきれないような重芁なメッセヌゞを発信しおいるこずになりたす。.

実装䞊の留意点

成熟床の連続䜓

コンプラむアンス重芖のIGAからADGぞの移行は、䞀足飛びに実珟できるものではありたせん。これは成熟床の段階的な進展であり、倚くの組織では、リスクが最も高いIDカテゎリから着手し、時間をかけお察象範囲を拡倧しおいくずいう段階的なアプロヌチをずるこずになりたす。.

ADG導入のための実甚的な成熟床モデルは、以䞋の4぀の段階を経お進展したす

  • ステヌゞ1 | 基瀎段階䞀元化されたIDむンベントリ、䞀貫性のあるプロビゞョニングおよびデプロビゞョニングのワヌクフロヌ、およびアクセス暩限の基準確認キャンペヌン。この段階は、その埌のすべおのプロセスの前提条件ずなりたす。.
  • フェヌズ2 | リスク察応IDおよび暩限に察するリスクスコアリングの導入、リスクりェむトに基づく審査䜜業の優先順䜍付け、および異垞怜知機胜の初期導入。.
  • ステヌゞ3 | 継続的リアルタむムのポリシヌ評䟡、むベント駆動型のガバナンストリガヌ、TTR平均埩旧時間の枬定、およびセキュリティ運甚ツヌルずの連携。これがADGの基準ずなりたす。.
  • ステヌゞ4 | 防埡態勢垞時アクセス暩が最倧のリスクずなる領域にJITアクセスガバナンスを適甚し、非人間IDを完党に網矅し、監査察応レベルの継続的なログ蚘録ず芏制報告の自動化を実珟する。このステヌゞは、蚎蚟に備えた態勢を意味する。.

継続的なガバナンスにおけるAIの盞乗効果

珟代の䌁業においお、アクセスむベント、暩限の倉曎、およびID関連のやり取りの量は膚倧であり、手動による継続的なガバナンスは運甚䞊、珟実的ではありたせん。AIを掻甚した分析は、ADGプログラムにおける単なるオプションの機胜匷化ではありたせん。それはアヌキテクチャ䞊の必須芁件なのです。.

IGAプラットフォヌム内のAI機胜を効果的に掻甚すれば、人間によるレビュヌプロセスでは珟実的に察応しきれない耇数の機胜を実珟できたす。行動分析により、各IDの暙準的なアクセスパタヌンを確立し、ポリシヌの芋盎しが必芁な逞脱を怜知するこずができたす。たた、機械孊習モデルを甚いお個々の暩限やアクセス暩の組み合わせに察するリスク重みを評䟡するこずで、暙準的なロヌルレビュヌでは芋萜ずされがちな、悪甚されやすい暩限の組み合わせを特定するこずが可胜です。 自然蚀語凊理により、ポリシヌ文曞を解釈し、暩限をポリシヌの意図に照らし合わせるこずで、手動による解釈ではなく、自動化されたコンプラむアンス評䟡が可胜になりたす。.

重芁なのは、AIによるアクセス刀断は、単なるモデルの出力結果だけでなく、怜蚌可胜なリスクスコアず文曞化されたポリシヌずの関連性によっお裏付けられなければならないずいう点である。 法的たたは芏制䞊の文脈においお重芁なガバナンス䞊の芁玠は、AIが意思決定を行ったずいうこずではない。重芁なのは、その意思決定が、文曞化され監査可胜なポリシヌ評䟡プロセスに埓っお行われ、意思決定の時点でリスク根拠が蚘録されおいたずいうこずである。.

ガバナンスをセキュリティ機胜ずしお䜍眮づける

ADGぞの移行においお、おそらく最も倧きな導入䞊の課題は、技術的なものずいうよりは組織的なものである。埓来のIGAプログラムは、コンプラむアンス、人事テクノロゞヌ、あるいはIT運甚郚門に所属しおいるこずが倚くある。ADGでは、アむデンティティ・ガバナンスを䞭栞的なセキュリティ機胜ずしお䜍眮づけ、セキュリティ運甚、むンシデント察応、脅嚁むンテリゞェンスず統合するこずが求められる。.

こうした文脈においおADGの䜍眮づけを芋盎すこずは、実務䞊の意矩を持぀。ガバナンス指暙は、コンプラむアンス・ダッシュボヌドだけでなく、セキュリティ運甚のレポヌトにも反映される必芁がある。ガバナンス䞊の異垞は、SIEMやSOARのワヌクフロヌに組み蟌たれる必芁がある。たた、ガバナンス郚門の責任者は、コンプラむアンスや監査郚門を介した報告関係ではなく、セキュリティ郚門の責任者ず盎接連携できる䜓制を敎える必芁がある。.

この倉化に䌎い、ガバナンスぞの投資の評䟡方法も芋盎す必芁がありたす。継続的なガバナンス基盀ぞの支出は、単なるコンプラむアンスコストではありたせん。これは、リスク䜎枛ずいう枬定可胜な成果をもたらすセキュリティ投資であり、サむバヌ保険の保険料、芏制圓局からの評䟡、および蚎蚟察応に盎接的な圱響を及がすものです。.

正圓性の芁請

本論文の䞭心的な䞻匵は、コンプラむアンスが重芁ではないずいうこずではない。 SOC 2、DORA、CJISセキュリティポリシヌずいった枠組みは、重芁な圹割を果たしおいる。すなわち、基準ずなる期埅倀を確立し、監査の枠組みを提䟛し、説明責任のメカニズムを構築するものである。本論の䞻匵は、珟圚ほずんどの組織で実践されおいるコンプラむアンスは䞍十分であり、その䞍十分さはもはや単なるセキュリティリスクにずどたらないずいう点にある。それは法的リスクであり、評刀リスクでもある。.

ID関連の脅嚁の状況は、継続的か぀ポリシヌに基づいたリアルタむムのアクセス制埡を実蚌できないガバナンスプログラムは、構造的な脆匱性を抱えたたた運甚されおいるず蚀えるほどに進化しおいたす。 定期的なレビュヌは、継続的な制埡の蚌明や確認、ポリシヌの改善メカニズム、および芏制圓局ぞの報告資料ずしお、䟝然ずしお䞀定の圹割を果たすこずができたす。しかし、それらが䞻芁な制埡手段ずなるこずはできたせん。リスクはレビュヌのサむクルを埅っおはくれないからです。.

ADGぞの移行を進める組織は、単なるセキュリティ察策の匷化にずどたらないものを構築しおいたす。それらは、芏制圓局の調査、取締圹䌚での議論、情報挏掩埌の調査、そしお䞇が䞀の法廷での争いずいった、最も重芁な局面においお正圓性を䞻匵できるガバナンス䜓制を構築しおいるのです。.

重芁なのは、組織にガバナンス方針があるかどうかではありたせん。重芁なのは、肝心な時にその方針が機胜しおいたこずを蚌明できるか、そしお珟圚も機胜し続けおいるかずいうこずです。.

本論文に぀いお

本ポゞションペヌパヌは、RSAのアむデンティティ・ガバナンスおよび管理の専門家によっお䜜成されたした。本資料は、実務担圓者、プログラム責任者、および経営陣に察し、定期的なコンプラむアンス掻動にずどたらず、継続的か぀正圓性のある「アクティブ・ディフェンス・ガバナンス」モデルぞず、自瀟のアむデンティティ・ガバナンス䜓制を評䟡・進化させるための枠組みを提䟛するこずを目的ずしおいたす。.

デモをリク゚スト

RSAにご関心をお寄せいただき、ありがずうございたす。
デモのお問い合わせ