ビデオ: 激ドã‚ ランファン 手コã‚.wmv (十一月 2024)
個人情報の盗難は誰にとっても大きな問題ですが、特にITセキュリティの人々にとっては大きな問題です。 この問題に対処するには、企業はアイデンティティガバナンスに対する強力でありながら慎重に管理および制御されたアプローチが必要です。 誰がアプリケーションやサービスにアクセスできるかを慎重に管理し、情報が適切に記録され、必要な人がすぐにアクセスできるようにする必要があるため、これは特に困難です。 会社がリモートアクセスに使用する仮想プライベートネットワーク(VPN)ゲートウェイを不正に侵害した場合、ゲートウェイにアクセスできるユーザーと、各ユーザーが制御する権利を正確に把握して修正を開始する必要があります。
アイデンティティガバナンスには、医療データの医療保険の携行性と責任に関する法律(HIPAA)やEUの一般データ保護規則(GDPR)など、データのプライバシーを管理する規制への準拠が含まれます。 GDPRは、個人を特定できる情報(PII)にアクセスするすべてのユーザーに対して、IDの検証と多要素認証(MFA)の実施を要求しています。 強力なIDガバナンスとは、クラウドおよびオンプレミスでのID管理(IDM)へのハイブリッドアプローチをとることも意味します。 企業IDMベンダーSemperisの製品責任者であるDarren Mar-Elia氏によると、ガバナンスに対するこのハイブリッドアプローチには、統一プロセスの使用が必要です。 ニューヨーク市で最近開催されたハイブリッドアイデンティティ保護会議で、PCMagはMar-Eliaに追いつき、アイデンティティガバナンスのベストプラクティスを取り入れました。
PCMag(PCM):ハイブリッドIDMには何が伴いますか?
Darren Mar-Elia(DME):ハイブリッドIDMシステムは、オンプレミスからクラウドに拡張された単なるIDシステムであり、通常はクラウドベースのアプリケーションへのアクセスを提供するためのものです。
DME:多くの企業がADを運営しており、長年にわたって運営しています。 ここでユーザー名とパスワードが保持され、そこにグループメンバーシップが保持されます。 そのすべてがクラウドに到達するか、クラウドでゼロからアカウントを作成し、オンプレミスのADを保持できます。 これで、クラウドアプリへのアクセスを許可するクラウドベースのIDシステムができました。これはIDを提供する方法にすぎません。 つまり、Microsoft AzureかAmazonか、それが何であれ、クラウド環境で私は誰であり、何にアクセスできますか。
PCM:そのタイプのガバナンスを管理するために使用される実際のソフトウェアダッシュボードはどこにありますか?
DME:もちろん、Microsoftは、クラウドIDを管理するための管理ポータルを提供します。 また、Microsoft Azure Active Directoryまでその同期を実行できるオンプレミスもあります。 あなたがその作品をコントロールします。 それはあなたが実行し管理するソフトウェアの一部です。それが機能していることを確認してください。 必要な柔軟性に応じて、ポータルからほとんどのことができます。 明らかにマイクロソフトのクラウドで実行されており、テナントのビューを提供しています。 したがって、すべてのユーザーとアプリへのすべてのアクセスを定義するテナントがあります。
PCM:どのタイプのアプリへのアクセスを管理する必要がありますか?
DME: Microsoftの場合、Exchange、SharePoint、OneDriveなどのOfficeアプリへのアクセスを管理できます。 これらは、その環境で通常管理するアプリです。 管理とは、たとえば、誰かのメールボックスにアクセスして、別のユーザーに代わって送信したり、レポートを作成したりすることを意味します。 たとえば、システムを介して送信されたメッセージの数と送信先を表示できます。 SharePointの場合、人々がコラボレーションできるサイトをセットアップしたり、その情報へのアクセスを許可できるユーザーを指定したりする場合があります。
PCM:クラウドとオンプレミスでIDMに対処する際の主な課題は何ですか?
DME:大きな課題は、クラウドとオンプレミスの両方で一貫してそれを実現できることだと思います。 だから、オンプレミスとクラウドで適切なアクセス権を持っていますか? オンプレミスにあるものと比較して、クラウドにアクセスしすぎていますか? そのため、オンプレミスでできることとクラウドでできることとのそのような格差は、追跡することが重要です。
PCM:オンプレミスIDMとクラウドで行うことのバランスをとる最良の方法は何ですか?
DME:ユーザープロビジョニング、ユーザーアクセス管理、ユーザー認証など、これらすべてのことは、オンプレミスに加えて複数のクラウドIDにいる可能性があるという事実を考慮する必要があります。 そのため、アクセスレビューを行っている場合、オンプレミスにアクセスできるものだけではありません。 また、プロビジョニングイベントを行う場合、クラウドで何にアクセスできますか? 人事(HR)の職務に従事している場合、オンプレミスとクラウドのアプリにアクセスできます。 その職務にプロビジョニングされたら、すべてのアクセスを許可する必要があります。 職務を変更する場合、その職務に対するアクセス権をすべて削除する必要があります。これはオンプレミスおよびクラウド内にあります。 それが課題です。
PCM:機械学習(ML)はIDMまたはハイブリッドIDでどのような役割を果たしますか?
DME:クラウドIDプロバイダーは、誰がログインしているのか、どこからログインしているのか、どのくらいの頻度でログインしているのかを把握します。これらの大きなデータセットでMLを使用して、異なるテナント間でパターンを推測できます。 たとえば、テナント内で疑わしいログインが行われていますか? ユーザーはニューヨークからログインし、5分後にベルリンからログインしますか? それは本質的にMLの問題です。 誰かがログインするたびに大量の監査データを生成し、基本的には疑わしいパターンを相関させるためにマシンモデルを使用しています。 今後、MLをアクセスレビューなどのプロセスに適用して、アクセスするレビューのコンテキストを推測できるようにすると考えています。 「または「いいえ、私はそのグループにいるべきではありません。」 それはおそらく最終的に解決される高次の問題だと思いますが、それはMLが役立つと思う領域です。
PCM: MLがハイブリッドIDMを支援している限り、これはオンプレミスとクラウドの両方を支援しているということですか?
DME:ある程度、それは本当です。 たとえば、オンプレミスADとクラウドIDデータ間の監査またはAD相互作用データを収集し、疑わしいログインがオンプレミスである同じ種類のリスクリストでそれを明らかにできる特定のテクノロジー製品がありますADまたはクラウド内。 今日は完璧だとは思わない。 シームレスなコンテキストの変化を示す絵を描きたい。 私がオンプレミスADのユーザーである場合、危険にさらされると、オンプレミスとAzure ADの両方で危険にさらされる可能性があります。 この問題が完全に解決されたことはまだわかりません。
PCM:あなたは「生得権のプロビジョニング」について話しました。 これは何であり、これはハイブリッドIDMでどのような役割を果たしますか?
DME: Birthrightプロビジョニングは、新しい従業員が会社に参加するときに取得するアクセスです。 アカウントを使用してプロビジョニングされ、どのアクセスを取得し、どこでプロビジョニングされます。 前の例に戻ると、もし私が入社する人事担当者であれば、ADが作成されます。 たぶん同期を通じてAzure ADを取得するかもしれませんが、同期しないかもしれません。仕事をするための一連の項目にアクセスできます。 アプリ、ファイル共有、SharePointサイト、Exchangeメールボックスなどがあります。 そのプロビジョニングとアクセス許可はすべて、私が参加するときに発生するはずです。 それは本質的に、生得権のプロビジョニングです。
PCM: 「ゴムスタンプ」と呼ばれる概念についても話されましたね。 それはどのように機能しますか?
DME:多くの株式公開会社の規制では、個人情報、顧客データ、機密情報などを含む重要なシステムへのアクセスを確認する必要があるとされています。 そのため、定期的にアクセスを確認する必要があります。 通常は四半期ごとですが、規制によって異なります。 しかし、通常は、それらのアクセスレビューを生成し、特定のグループ内のユーザーのリストをそのグループまたはアプリを担当するマネージャーに送信するアプリがあり、その人はそれらすべてのユーザーがまだ認証していることですそのグループに属します。 これらの多くを生成していて、マネージャーが働きすぎている場合、それは不完全なプロセスです。 あなたは彼らがそれをレビューしていることを知りません。 彼らは必要なだけ徹底的にレビューしていますか? これらの人々がまだアクセスする必要があるのは本当にですか? そして、それはゴム印です。 そのため、実際に注意を払っていない場合は、アクセスが本当にあるかどうかを理解するのではなく、「はい、レビューをしました、完了しました、髪から取り出しました」を示すチェックになりがちですまだ必要です。
PCM:ゴム印のアクセスレビューは問題ですか、それとも効率の問題ですか?
DME:両方だと思います。 人々は働きすぎです。 彼らは多くのものを投げつけられます。私は、他のことをするのに加えて、それを維持するのが難しいプロセスだと思います。 ですから、規制上の理由でそれが行われたと思いますが、私はこれに完全に同意し、理解しています。 しかし、アクセスレビューを行うために必ずしもそれが最善のアプローチなのか、機械的な方法なのかはわかりません。
PCM:企業は役割の発見にどのように取り組んでいますか?
DME:ロールベースのアクセス管理は、組織内のユーザーのロールに基づいてアクセスを割り当てるという考え方です。 多分それは個人のビジネス機能または人の仕事です。 個人の肩書きに基づいている可能性があります。 役割の発見とは、今日のIDアクセスの許可方法に基づいて、組織に自然に存在する役割を発見しようとするプロセスです。 たとえば、この人事担当者はこれらのグループのメンバーであると言えます。 したがって、人事担当者ロールはこれらのグループにアクセスできる必要があります。 これを支援するツールがあり、基本的に環境で許可されている既存のアクセスに基づいて役割を構築します。 そして、それがロールベースのアクセス管理システムを構築しようとしているときに私たちが経験するロール発見プロセスです。
PCM:ハイブリッドIDMにアプローチする方法について、中小企業(SMB)に提供できるヒントはありますか?
DME: SMBの場合、目標はハイブリッドアイデンティティの世界に住んでいないことだと思います。 目標は、クラウドのみのIDに到達し、できるだけ早くそこに到達することです。 SMBにとって、ハイブリッドIDの管理の複雑さは、彼らが望んでいるビジネスではありません。非常に多くのオンプレミスのものがあるため、それをしなければならない本当に大企業にとってはスポーツです。 SMBの世界では、目標は「どのようにすれば、すぐにクラウドIDシステムに到達できますか。どのようにすれば、オンプレミスのビジネスから早く出られますか?」 それがおそらく最も実用的なアプローチです。
PCM:企業は、いつオンプレミスまたはクラウドだけでハイブリッドを使用しますか?
DME:ハイブリッドが存在する最大の理由は、オンプレミスIDシステムに多くのレガシーテクノロジーを備えた大規模な組織があるためだと思います。 会社が今日ゼロから始めていたら…彼らはADを新しい会社として展開していない。 彼らはGoogle G SuiteでGoogle ADを開発しており、現在は完全にクラウドに住んでいます。 オンプレミスのインフラストラクチャはありません。 長年にわたって使用されてきたテクノロジーを備えた多くの大規模組織にとって、それは実際的ではありません。 したがって、彼らはこのハイブリッドの世界に住まなければなりません。 クラウドのみに到達するかどうかは、おそらくビジネスモデルと、それが彼らにとってどれだけの優先事項であり、どのような問題を解決しようとしているかにかかっています。 それがすべてです。 しかし、私はそれらの組織にとって、彼らは長い間ハイブリッドの世界にいると思います。
PCM:クラウドにプッシュするビジネス要件は何ですか?
DME:典型的なものは、クラウドにあるビジネスアプリ、Salesforce、Workday、ConcurなどのSaaSアプリのようなものです。 また、これらのアプリは、クラウドIDをプロビジョニングしてアクセスできるようにすることを期待しています。 そのクラウドIDをどこかに持っている必要があるので、通常はそのようになります。 マイクロソフトの完璧な例。 Office 365を使用する場合は、IDをAzure ADにプロビジョニングする必要があります。 それについての選択はありません。 そのため、ユーザーはAzure ADを取得するように促され、そこに来たら、他のWebアプリ、クラウド内の他のSaaSアプリ、そして今はクラウド内にシングルサインオンしたいと思うかもしれません。
- オンラインでIDを保護するための10の重要なステップオンラインでIDを保護するための10の重要なステップ
- 2019年のベストID管理ソリューション2019年のベストID管理ソリューション
- CEOの詐欺とIDのなりすましを最小限に抑える7つのステップCEOの詐欺とIDのなりすましを最小限に抑える7つのステップ
PCM: IDMまたはガバナンスの将来について大きな予測はありますか?
DME:ハイブリッドIDガバナンスやハイブリッドIDMを単一のものとして考えている人はまだいません。 規制に追われても、ベンダーがステップアップして、それらのハイブリッドな世界にエンドツーエンドのアイデンティティガバナンスソリューションを提供しても、それは起こらなければならないと思います。 どちらかが必ず発生し、ハイブリッドIDとアクセス管理で職務を分離するなどの問題を解決する必要があると思います。 それはおそらく、後よりも早く起こる最も避けられない結果だと思います。
