自分が今までどこにいたのかを理解するまで、自分がどこに向かっているのかわかりません。これは特にアイデンティティとアクセス管理 (IAM) に当てはまります。今日のユーザー認証と管理方法を形作った要因を振り返ってみると、重要なトレンドがいくつか浮かび上がってきます。
- テクノロジーが拡大し、より多くのユーザーがログオンするようになることで、ログインID (アイデンティティ) 数が飛躍的に増加
- ユーザーがより相互接続されたサービスに登録し、それに依存するようになると、ユーザーは抵抗のない認証を提供するアカウントを探し出し、それを使い続けた。
私は先週Identiverseに参加し、これらのトレンドと、そのトレンドが今まで以上に重要になっている理由をレビューしました。より多くのアプリケーションとデータがクラウドに移行しているのです。リモートワークが業務を変革しています。コンプライアンス・リスクが増大しています。境界が見えなくなりました。さらに、これまで以上に多くのデバイスからログインするユーザーが増えています。
アイデンティティは、これらすべてのトレンドの中核にあります。そして、分散化アイデンティティとボット・アカウントがアイデンティティをさらに破壊しようとしており、多くの組織がアイデンティティへの旅のどこにいるのか、またどこへ向かおうとしているのかを知りたがっているときに、Identiverseが登場しました。
IAMの旅を見て回る
私たちは通常、IAMを次の4ステージへの旅であると考えています。
現実には、多くの組織はまだ初期段階にあり、ネットワーク境界の管理やオフ境界への移行を行っています。
これらのステージはどちらも、IAMを実行するためのやや旧式の方法を表しており、その限界が明らかでしょう。ステージ0とステージ1のIAMが最適な動作をする傾向にあるのは、ユーザーが会社のネットワークにサインインするためオフィスや特定の場所に行ったときです。これらのステージは、ユーザーが記憶して管理しなければならない個々のパスワード (通常はIT部門が管理) の付与に依存していました。一部の組織は、VPNを使用してオフ境界線またはリモートの従業員を管理するステージ1に移行しました。
多くの場合、IAMは、ユーザーが境界内に入るかどうかを確認するパスワードを中心に設計されています。この設計は今日、2つの理由から根本的に時代遅れの概念となっています。
- まず、パスワードのみに依存している場合、脆弱性を強化することになります。人は平均で100個のパスワードを持っています。ハッキング関連の情報漏洩の80%は、総当たり攻撃か、紛失または盗難された認証情報の悪用によるものでした。また、パスワードは安全でないだけでなく、高くつくものでもあります。ITヘルプデスクのコストの50%がパスワードのリセットで占められています。これはチームがパスワードのリセットを支援するためのみに、100万ドルを超える人件費が使われている可能性があります。
- 第2に、境界線が消えてしまいました。そうであれば境界線の保護のみに注力する理由はあるでしょうか?新型コロナウイルスの影響で、リモートワークは3倍近くまで増えました。1つの境界ネットワークが多数のユーザを受け入れるのではなく、ユーザとそのデバイスの境界が多数存在するようになりました。従業員全員がひとつの支店となったのです。
IAMがどう価値を提供するか
現在IAMの旅のどこにいるかを知ることで、組織は目指す場所を計画できます。これらの計画は、ビジネスの優先事項と一致していなければなりません。多くの場合、これらの目標には、会社のリソース確保、広範囲のユーザーの認証、総所有コスト管理、規制へのコンプライアンスが混在しています。
最終的にはこれらの投資を行うことで、IAMのROIを向上させることができます。
- 多要素認証の導入。多要素認証 (MFA) で安全な操作を実現します。現時点ではMFAが必須です。最近バイデン政権は、ランサムウェアのような危険で損害を与えるサイバー攻撃を防止するため、公的機関向けにMFAの導入を開始するよう大統領令を出しました。コロニアル・パイプラインのランサムウェア・ハッカーがそのネットワークに侵入できた理由のひとつが、MFAによる保護がなかったためです。
- パスワードレスに移行しましょう。6月のRockYou2021のリークでは84億のパスワードがオンラインに流出しました ― これは史上最大の数字で、全世界のオンライン人口のほぼ2倍を占めます。パスワードは高くつくものであり、安全ではありません。企業はパスワードを捨て、パスワードレスにするべきです。
- ハイブリッド・ワークフォースを実現。ハイブリッド・ワークフォースを持つことにおけるIAM関連の利点のひとつは、高度なネットワーク・トラフィックがよりスマートな認証決定に情報提供できることです。リスクベース認証は、組織が新しい「1支店」のダイナミクスへの適応に役立ちます。スマートIAMは、リスクエンジンと機械学習を利用して、すべてのユーザーの一般的な動作をベースライン化し、個々のアクセス・リクエストに基づいて簡単な検証リクエストと難しい検証リクエストを自動化できます。
- アイデンティティ・ガバナンスはゼロ・トラストにつながります。ユーザーを認証したら、ユーザーが実行可能なことを管理する必要があります。役割ベースのアクセス制御を設定すると、組織は、従業員、ベンダー、パートナー、および顧客がネットワーク内で実行できることを制限できるのです。また、すべてのアクセス要求に挑戦し、最小権限の原則を確立するゼロ・トラスト・セキュリティ戦略も進めます。スマート・アイデンティティ・ガバナンスおよび管理 (IGA) は、新規アカウントをプロビジョニングし、また持ち主不在のアカウントのプロビジョニングを自動的に解除したりすることもできるため、ハッカーによる古い認証情報の不正利用を防止できます。これにより、現在使われていないVPNアカウントをハッカーが乗っ取り、コロニアル・パイプラインにアクセスするという重大な脆弱性が排除されます。
次世代のアイデンティティ
こうしたトレンドの先取りが重要なのは、次世代のアイデンティティがすでに開発中のためです。
分散化されたアイデンティティにより、ユーザーは自分の情報を参照する人や、特定のグループと共有する情報の内容を制御できるようになります。つまり、自分のデータのさまざまな「スライス」を友人、同僚、医師と共有できるようになります。
RSAは、Solidおよび英国の国民健康保険と協力して、分散型アイデンティティの早期使用事例の開発に取り組んでいますが、開発中のものはまだまだあります。分散化されたアイデンティティは、人々が情報を管理しながらインターネットを使うための新しい方法を表しています。
同様に、毎秒127台の新しいIoTデバイスがインターネットに接続されている状況において、ボットが私たちの代理としてできることは何かを考え始めなければなりません。
過去30年間を振り返ってみて明らかなのは、アイデンティティは今後も変化し続けるということです。