ID が新しい境界として出現したことで、デジタル トランスフォーメーション、クラウドの採用、および分散した労働力をサポートする ID の役割が、今日の企業によって見過ごされていません。 によると 最近の報告 (登録が必要です)、IT 利害関係者の 64% が、デジタル ID を効果的に管理および保護することがセキュリティ プログラムの最優先事項 (16%) または上位 48 つ (84%) であると考えています。 それにもかかわらず、企業は ID 関連の侵害に引き続き苦戦しています。セキュリティと IT の専門家の XNUMX% が、過去 XNUMX 年間に組織がそのような侵害を受けたと報告しています。
ID 中心のセキュリティへの同意を得る 重要ですが、サイバーセキュリティへの投資を主張することは、FUD (恐怖、不確実性、疑い) の人身売買に関するものではありません。 アイデンティティを戦略的な議論にさらに推し進めるには、ビジネス価値を実証する能力が必要です。 ID ベースのセキュリティがビジネス目標とどのように連携し、サポートするかを紹介します。
調査の参加者のほぼ全員 (98%) が、組織内の ID の数が増加していると述べており、一般的に挙げられる原因には、クラウドの採用、テクノロジを使用する従業員の増加、サードパーティとの関係の増加、マシン ID の数の増加などがあります。 この環境では、多くの 今日の企業は、計り知れないプレッシャーにさらされていることに気づきました 分散化と複雑化が進む環境で、データとリソースへのシームレスで安全なアクセスを確保します。
この複雑さと、動機付けられた攻撃者および管理しなければならない ID の数の増加が相まって、 効果的なアイデンティティ管理は、ビジネスを可能にする重要な部分です オペレーション。 過去 42 年間に ID 関連の侵害を経験した組織に共通するスレッドは、資格情報の盗難、フィッシング、権限の管理ミスなどの問題でした。 漏えいによるビジネスへの直接的な影響は重大である可能性があります。44% がコア ビジネスからの重大な注意散漫を挙げ、35% が回復コストを指摘し、29% が組織の評判への悪影響を報告しています。 収益の損失 (16%) と顧客の減少 (XNUMX%) も報告されました。
IT ニーズをビジネス ニーズに変換
ID に注目する必要があることは明らかですが、IT ニーズをビジネス ニーズに変換するにはどうすればよいのでしょうか。 ステップ XNUMX は、組織の優先順位を、ID 中心のセキュリティが適合する場所に合わせることです。 ビジネス目標は、コストの削減、生産性の向上、およびリスクの最小化を中心に展開する傾向があります。 したがって、ID ベースのセキュリティに関する議論では、そのアプローチがこれらのポイントの一部またはすべてをどのように進めることができるかを示す必要があります。
たとえば、生産性の観点からは、厳格な ID ガバナンスにより、ユーザーのプロビジョニングとアクセス権のレビューが簡素化されます。 つまり、従業員はより迅速にオンボーディングでき、退職する従業員のアクセス権は自動的に取り消されます。 手作業を排除することで、過大な権限を持つユーザーが不必要に危険にさらされるなど、エラーの可能性が減少します。 ID 管理に関するプロセスがより合理化および自動化されればされるほど、ビジネスはより効率的になり、より安全になります。
前述のように、ID の増加の原動力には、クラウドの採用とマシン ID の急増が含まれます。 マシン ID の増加は、モノのインターネット (IoT) デバイスとボットに部分的に関連しています。 IoT とクラウドは、多くの場合、アクセスとセキュリティ ポリシーの一貫した適用に関する懸念によって簡単にハングアップする可能性があるデジタル トランスフォーメーション戦略の一部です。 この現実は、コンプライアンスとセキュリティ要件を犠牲にすることなく、企業がこれらのテクノロジを安全に採用する方法について、セキュリティに関する議論を組み立てる機会を提供します。
侵害のコンテキストでセキュリティに関する議論を組み立てる
たとえば、多要素認証 (MFA) は、多くの IT およびセキュリティの専門家が、経験した侵害の影響を防止または最小限に抑えることができた手段として挙げています。 MFA は、特にリモート ワーカーがいる企業や、クラウド アプリケーションやインフラストラクチャを使用している企業にとって、アクセス制御を強化するために不可欠です。 好むと好まざるとにかかわらず、パスワードはどこにでもあります。 しかし、それらは、リソースにアクセスして環境内でより深い足場を得ようとする攻撃者にとって、魅力的な (そして比較的簡単な) 標的でもあります。 セキュリティ体制を改善する他の ID 中心のベスト プラクティスと共に、MFA は組織のセキュリティを強化できる別の防御層を提供します。
MFA に加えて、IT およびセキュリティの専門家は一般に、特権アクセスのタイムリーなレビューとすべてのユーザー アクセス権の継続的な発見により、違反の影響を防止または軽減できたであろうと指摘しました。 これらの多くは進行中の作業のままですが、全体として、組織はメッセージを受け取り始めているようです.
ゼロ トラスト、クラウド導入、デジタル トランスフォーメーション、サイバー保険投資、ベンダー管理などの戦略的イニシアチブの一部として、過去 42 年間に組織の ID プログラムが投資分野に含まれていたかどうかを尋ねられたとき、ほぼ全員が少なくとも XNUMX つを選択しました。 XNUMX。 XNUMX% が、ゼロトラストの取り組みの一環として ID に投資したと述べています。 XNUMX% がクラウド イニシアチブの一部として含まれていると述べ、XNUMX% がデジタル トランスフォーメーションの一部であると述べました。
ID ベースのセキュリティを開始することは、圧倒される必要はありません。 ただし、 環境とビジネスの優先事項の理解。 によって セキュリティへの ID 中心のアプローチがビジネス目標をどのようにサポートできるかに焦点を当てることで、IT プロフェッショナルは、脅威アクターの参入障壁を上げるテクノロジーとプロセスを実装するために必要なリーダーシップの賛同を得ることができます。
