アイデンティティ・セキュリティで今日の企業のデジタル・アイデンティティを保護する

The SailPoint Blog
| Jess Sutera | Market Views

今日、私達は財布とその中身を守るのと同じように、デジタルアイデンティティを守ろうとしています。私たちのプライベートのデジタルアイデンティティは、日常生活に必要な権限を与えてくれます。支払いのために銀行口座にログインをしたり、Facebookで通知を確認したり、夕食にUberEatsを予約したりします。一方、これとは別に、私たちには仕事用のデジタルアイデンティティもあります。仕事上の私たちは、「自分である」という申告を認証された上で、業務に必要な大量のアプリケーションとデータに紐づけられています。ここで、企業の労働状況と、企業を構成するデジタルアイデンティティがいくつあるかを考えてみましょう。 企業の従業員のアイデンティティを集合させたものは、その企業自身のデジタルアイデンティティに相当します。

企業のPIIそのものである「企業のデジタルアイデンティティ」を完璧に保護するためには、企業はデジタルで働く従業員を保護する方法を再考する必要があります。さもなければ、各従業員はすぐにハッカーの標的となり、ビジネスの脅威となってしまいます。

有名な実例をもとに要点を説明します。

2020年3月にパンデミックが始まり、ロックダウンがやむを得なくなった時、ほぼすべての企業がリモートワーク環境を整えようと急ぎました。どの企業も、従業員はリモートワークでも生産的であるべきとのプレッシャーから、ビジネス資産の保護に必要なセキュリティ制御を省略してしまいました。多くの場合、これにより従業員全体で、アイデンティティを使ったアクセスとすべてのデジタルアイデンティティのアクセスを保護することを結びつけなかった企業は、リスク領域を拡大することになりました。

バーチャルであろうとなかろうと、アクセス権を適切に保護する方法の熟考なしにテクノロジーを安全に利用できる企業は存在しません。誰にアクセス権を与えるべきなのでしょうか?実際に自分の仕事をするためのアクセスだと保証できますか? その従業員はどのくらいの期間アクセス権が必要なのでしょうか? 短期間での終了が可能ですか、それとも長期間のアクセスが必要ですか?別のシステムにアクセスしている間も、このアクセス権を許可すべきですか?これらの質問は、アクセス権に保護とリスク軽減のレイヤーを追加せず門戸を解放してしまった企業には、自信をもって回答できないものばかりです。

こう考えてみてください。ご自宅で、セキュリティシステムを設置しないでパーティーを開催しますか?寝室に鍵をかけずに人を招き入れ、その人にあなたの私物やクローゼットに保管している金庫をいじらせますか?裏口のアラームをセットしないで人を招き入れたら、その人が裏口からこっそり抜け出そうとしても気づけませんよ。友人や知人を家へ招き入れるのは日常的なことですが、友人であっても個人情報の内情を知る必要はありません。私たちはプライバシーを保護するためにセキュリティ対策を講じています。

不審者を侵入させないホームセキュリティシステムと同じように、アイデンティティ・セキュリティ(別名アイデンティティ・ガバナンス)は企業の「セキュリティシステム」です。アクセス管理を介してアクセスを許可することは、単に玄関のセキュリティまたは「警備員」であり、招待されていない人を物理的に排除しますが、ひとたび家や企業へ招き入れてしまうと、アクセス管理はその中で起きることを何も制御できず役に立ちません。アクセス管理では、ロビーへ人を入れるだけで、見張りません。統制しません。つまり、安全ではありません。

重要なテクノロジーやツールへのアクセスを提供しながら、そのアクセスを適切にコントロールするという、有効化とセキュリティの両方に焦点を当てることが鍵となります。現代では、従業員の誰がどのアクセス権を必要としているか把握し、職務の変更に応じてそのアクセス権を変更したり、アクセス権が不要になった場合はそのアクセス権を制限もしくは削除することが重要になります。これらの制御を追加しない限り、テクノロジーの使用への扉を開くことはできませんし、ビジネスの入り口でハッカーを歓迎していることになります。

幸いなことに、多くの企業がこの現実を認識し、アイデンティティセキュリティを優先リストの最上位に置いています。実際、パンデミックを遡って見ると、リモートワークへの移行は、今日のビジネスにアイデンティティセキュリティがいかに不可欠であるかを強調しています。リモートワークへの急速な方向転換で勝利した企業は、アイデンティティセキュリティをビジネスの基盤に置いた企業でした。

アイデンティティセキュリティはリスク管理の重要な要素となっており、あらゆるグローバルビジネスの「企業のデジタルアイデンティティ」を現在も将来も完全に保護するための最も確実な道筋となっています。