fbpx

セキュリティ対策はアイデンティティから始まる

クラウド時代は、企業のセキュリティに対する考え方を根本的に変えています。保護の焦点はもはや物理ネットワークではありません。従来のネットワーク境界がクラウドに拡大するにつれ、セキュリティの出発点は今やユーザーのアイデンティティである必要があります。

これにより、適切な人々が適切なリソースにアクセスし、適切な作業を行うことが保証されます。これらの5つの原則に従うことで、完全にリモートまたはハイブリッドのホームオフィスでの作業に適した堅牢なID戦略を実装できます。

クラウドベースの仮想ランドスケープにおける最初の防御線は、常にアイデンティティである必要があります。

オープンスタンダードを受け入れる

さまざまなデバイス、アプリ、サービスの仮想作業環境では、ID管理へのアプローチがオープンスタンダードをサポートすることが重要です。

たとえば、OAuth 2.0、OIDC、SAML などの標準により、ユーザーが作業しているデバイスに関係なく、アプリやクラウド全体でシングルサインオンが可能になります。同様に、SCIMは自動ユーザープロビジョニングを可能にし、FIDOアライアンスの新しい標準によりサインインをより安全にします。

Azure AD などのこれらのオープンスタンダードをサポートするAPIとプロトコルを備えたIDソリューションを選択すると、進化するリモート作業の変化と課題に対するセキュリティ戦略が将来にわたって保証されます。

新しいテクノロジーを活用する

セキュリティリスクを軽減する簡単な最初のステップは、多要素認証(MFA)を有効にすることです。これにより、資格情報ベースの違反が99%以上削減されることが証明されています。MFAは、登録済みの携帯電話に送信されるコードや指紋のスキャンなど、サインオン時に追加の身分証明書をユーザーに要求します。

MFAは非常に安全ですが、ユーザーは多くの場合、パスワードを覚えておく必要があることに加えて、追加のセキュリティレイヤーに不満を感じます。別のオプションは、FIDO(Fast Identity Online)セキュリティキーの使用です。これは、WebAuthN 標準と組み合わせて、パスワードの使用を完全に排除できます。FIDOは、パスワードなしの認証のオープンスタンダードであり、ユーザーは外部セキュリティキーまたはデバイスに組み込まれたプラットフォームキーを使用してサインインできます。

ゼロトラストは、クラウドの移行とリモートの労働力に関連するリスクに特に対処するための別のセキュリティモデルです。ゼロトラストアーキテクチャ内では、企業ネットワークの内外を問わず、すべてのユーザーとデバイスは信頼できないと見なされます。「決して信頼せず、常に検証する」という原則に基づいて、リソースへのアクセスは、ユーザーのIDとデバイスの正常性が評価および承認された後にのみ許可されます。

ユーザーの摩擦を最小限に抑え、識別プロセスをさらに簡素化するために、組織は機械学習アルゴリズムを活用することもできます。これは、クラウドに大規模にデプロイされた場合、毎日何兆ものデータポイントを処理して各ユーザーの行動パターンを学習し、異常または高リスクの認証試行にフラグを付けることができます。

ガバナンスを強化および自動化する

強力なガバナンス手順を実施することは、IDセキュリティを維持するために不可欠です。しかし、何千人ものユーザーを扱う場合、それは困難な作業になる可能性があります。アクセスを許可するのは簡単なことですが、他の人が辞任したり、役割を変更したりするときに、アクセス権を削除することを覚えておくことは、さらに困難な場合があります。

アイデンティティーシステムは、ユーザーの役割、場所、およびビジネスユニットに基づいて、リソースへのアクセスを自動的にプロビジョニングおよびプロビジョニング解除する必要があります。従業員とパートナーは、必要なときにアクセスを要求し、迅速かつ正確なシステム応答を取得できる必要があります。

管理者は、特にユーザーが役割を変更するときに、定期的にアクセス許可を確認するように求められます。そして、これらすべてのプロセスは、異常なパターンと認識されていないリスクを常に監視する機械学習とAIによって駆動され、通知される必要があります。これらのIDプロバイダーテクノロジーによって提供される利用可能なデータと可視性のレベルは、オンプレミスシステムと一致することはできませんが、組織はIDに対してまったく新しい運用アプローチを採用する必要があります。

1つの包括的なソリューションを主張する

異なるベンダーの異なるソリューションを使用して、アイデンティティへのモジュール式アプローチを採用する場合、必然的にギャップと脆弱性が存在します。

対照的に、すべてのアプリケーションとさまざまなID をサポートする1つの全体的なソリューションを選択すると、完全なセキュリティと制御が提供され、重要な企業データに対する保証が強化されます。

完全に統合されたIDおよびアクセス管理スイートにより、すべての従業員、ビジネスパートナー、顧客のIDに加えて、アクセスに必要なすべてのリソースを1か所で管理および保護できます。

分散型アイデンティティに移行する

組織の誰もが、自分の個人データが安全でプライベートであると感じるべきです。これは、人々に自分のデジタルIDの所有権を与えることで実現できます。

IDシステムを「分散ID」の原則で強化することにより、ユーザーおよび組織がデータをより詳細に制御できるようにすることができます。

日常生活に統合される自己所有のIDにより、ユーザーは共有するものと誰と共有するかを選択でき、必要に応じてそれを取り戻すことができます。無数のアプリやサービスに幅広い同意を与え、IDデータを多数のプロバイダーに分散させる代わりに、IDデータを保存および管理できる安全で暗号化されたデジタルハブを提供します。

マイクロソフトは、Decentralized Identity Foundation(DIF)、W3C Credentials Community Group、およびより広範なIDコミュニティのメンバーと積極的に協力して、標準を開発し、Decentralized Identityの新しいエクスペリエンスを開拓しています。共同で、開発者と企業がユーザーを制御する製品、アプリ、サービスの新しい波を構築できる、統合された相互運用可能なエコシステムを開発しています。

Microsoft Azure Active Directoryは、ドバイに拠点を置くグローバルな運輸会社のスタッフが仮想チームとしてコラボレーションし、クラウド内のアプリケーションに安全にアクセスするのに役立ちます。

オンプレミスのフットプリントを削減するためのビジネスドライブシフトの一環として、同社はレガシーHRシステムをSaaSソリューションに移行しました。Azure ADを使用すると、従業員は安全かつ簡単にサインインして情報にアクセスできます。また、人事チームは、離れた場所にいる請負業者のID を短期間管理することもできます。

120か国で事業を展開する世界最大のコンテナ物流会社の1つは、多様なグローバルクライアントベースの信頼を維持するために顧客データを安全に保つ必要があります。

2017年のサイバー攻撃を受けて、同社はMicrosoft Azure Active DirectoryにID保護および条件付きアクセスツールを実装することを選択しました。これらにより、脅威と危険な動作が可視化され、各ユーザーに条件付きアクセスを簡単に提供できます。

変更はバックグラウンドで迅速かつシームレスにアクティブ化できるため、ユーザーは作業を中断する必要がありません。これは、企業のデータ保護を強化し、グローバルな運用にさらなるセキュリティを追加する、アイデンティティへの統合されたインテリジェントなアプローチです。

SNSでもご購読できます。