デジタル情報を保護する際、ゼロトラストの考え方を取り入れることが必要であると考えられています。経験豊富なサイバー専門家にとって、ゼロトラストは新しいコンセプトではありません。ゼロトラストを実現するためのセキュリティ技術は具体化しつつあります。ここ最近のセキュリティインシデントの発生速度、デジタルトランスフォーメーションと変化のペースにより、セキュリティに対するゼロトラストを実現するための動きが始まっています。
アイデンティティ・ガバナンス
従来のID & アクセス管理市場は、IDのライフサイクル管理、プロビジョニング、アクセス認証、ユーザーセルフサービスに焦点が当たっていましたが、10年以上の月日を経て、現在は「アイデンティティ・ガバナンス(Identity Governance & Administration:IGA)」と呼ばれるものに進化しています。組織はIGAを導入し、アクセスの際のリスクを低減し、法規制を遵守し、適切なアクセス権限を適切な個人に適切なタイミングで付与するために、多大な投資をしています。これらは、最新のセキュリティ対策にとって基本的な前提と見なされていますが、この分野には変革の波が絶えず押し寄せているため、サイバーセキュリティの基本的な要素への取組みが遅れてしまう企業もあります。ゼロトラストを実現するには、アイデンティティ・ガバナンス、より具体的には、従業員のデジタル・アイデンティティを確立するための一連のビジネスプロセスとデータの整備が不可欠です。
ここでは、ゼロトラスト・イニシアチブの一環として対応すべき重要なアイデンティティ・ガバナンスの要素を紹介します。
すべての人とすべてのもののためのライフサイクル
組織は、組織内のデジタル・アイデンティティに対し、明確に定義されたプロセスと最小限の属性情報を確立する必要があります。さらに、デジタル・アイデンティティの定義と、入社、異動、退職に関するプロセスは、従業員だけでなく、請負業者、サプライヤー、ボット、サービスアカウントなど、関係者全員を含める必要があります。ゼロトラストは、「その人」が誰であるか判別できている、ということが前提となっており、それゆえにその人に対してポリシーを適用し、リアルタイムでアクセスを許可、拒否、または適応することができます。端的に言えば、明確に定義されたアイデンティティのデータモデルと、属性情報を管理するためのプロセスが、ゼロトラストの考え方を実現する基礎となります。
インテリジェンスの正しい活用
多くの企業は、最小権限の原則に基づいたアクセス制御モデルを導入することを目指しています。しかし、アクセス権限はアプリケーション、インフラ、クラウドプロバイダーなど多岐に渡るため、実現は困難だと言っても過言ではありません。アクセス権限の付与やロールの割り当てを前提として整備されたこれまでの任意アクセス制御モデルは、進化しなければなりません。そのため、ピアレビュー、異常値分析、過剰または未使用のアクセス権をアカウントから削除することによって、効果的なアクセスモデリングを実現するためにインテリジェンスを活用する必要があります。今こそ、IGAへのアプローチを近代化するために、インテリジェンスを活用する時です。
最新の IGA プログラムは、セキュリティ運用の体制、プロセス、およびシグナルがより緊密に統合されていなければなりません。すべての種類のIDを包括する効果的なアイデンティティ・ガバナンスは、ゼロトラスト実現における重要な第1歩です。長年「運用とコンプライアンス活動の1つ」と見なされてきたものが、今では「アイデンティティベースのセキュリティ機能を確立し、ユーザー体験を向上させるための重要な主要機能」となっています。
こうした基本をすでに押さえている組織は、アイデンティティ・ガバナンスへのアプローチを強化し続ける必要があるでしょう。
本稿は、KPMGインターナショナルが2022年に発表した「Identity at the center of Zero Trust – so what?」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。
全文はこちらから(英文)
Identity at the center of Zero Trust – so what?