経営幹部は未知のアイデンティティセキュリティの弱点を懸念

ダイブ・ブリーフ:

• 企業はアイデンティティベースの攻撃を懸念しており、自社ネットワークの弱点を十分に把握していないと考えている。これはCiscoのアイデンティティ技術サービスDuoによる新しい調査によるもの。
• ビジネスリーダーのうち、アイデンティティセキュリティソリューションの有効性に自信があるのは3分の1のみであり、69％のリーダーが「アイデンティティの脆弱性を完全には把握していない」と回答している。この報告書は、北米および欧州のIT・セキュリティリーダー650人へのインタビューに基づいている。
• ほぼ全ての回答者（94％）が、アイデンティティ管理プラットフォームの複雑さ（企業は平均して約5つ保有）が、それらのシステムのセキュリティ確保を困難にしていると述べている。

ダイブ・インサイト:

ソフトウェアの脆弱性は依然としてハッカーがコンピューターシステムに侵入する一般的な手段だが、多くの国家やサイバー犯罪グループはアイデンティティベースの攻撃を広範に利用している。これらはユーザーの認証情報を盗み、それを使って標的のネットワークにそのユーザーになりすましてログインするものだ。（例えばSolarWindsキャンペーンでは、さらに巧妙なアイデンティティベースの攻撃が行われ、Microsoftの認証キーを盗んでユーザーアクセストークンを偽造した。）アイデンティティセキュリティは、サイバーセキュリティ市場で最も緊急かつ競争の激しい分野の一つとなっている。

しかしIT幹部は、アイデンティティセキュリティを十分に考慮せずにシステムインフラを設計・構築することが多い。回答者のおよそ4分の3が、Duoに対して「このテーマはしばしば後回しにされる」と答えている。

リーダーの約70％が自社のアイデンティティプラットフォームの安全性に確信が持てないという調査結果について、Duoは「見えないアイデンティティや特権アカウントは高リスクの死角であり」、これがサイバーセキュリティ体制に重大な欠陥を示している可能性があると述べている。

OmdiaのEnterprise Strategy Groupのプリンシパルアナリスト、トッド・ティーマン氏は、可視性のギャップが「重大なアイデンティティの課題」であると述べている。

「オンプレミス、複数のクラウド、さまざまなSaaSツールを含む異種のアイデンティティ資産全体で可視性を確保することは、企業にとって継続的な課題です」とティーマン氏はCybersecurity Diveへのメールで述べている。

こうしたアイデンティティの懸念は、企業が契約社員をネットワークに統合するにつれて膨らんでいる。ITおよびサイバーセキュリティリーダーの約9割が、契約社員に対するネットワークのセキュリティ管理が不十分だと懸念しており、57％がシステムへの不正アクセスを経験している。

企業は高度なアイデンティティ管理ソリューションの導入に失敗しているだけでなく、多要素認証などの基本的なセキュリティ対策でも遅れを取っていると報告書は指摘している。

回答者の約7割が、全てのデバイスやアプリがログイン時にMFA（多要素認証）を必要としているか確信が持てないと報告している。また、87％の回答者はテキストメッセージを避け、フィッシング耐性のあるMFAを選択しているが、フィッシング攻撃を阻止するための適切な技術が導入できていると自信を持っているのは3割にとどまる。調査対象のリーダーの半数以上が、高度なMFAソリューションのトレーニング要件が導入の障壁になっているとし、約半数がハードウェアMFAトークンのコストを障害として挙げている。

報告書には改善の兆しも散見され、Duoの調査によれば金融業界の幹部の82％が「アイデンティティセキュリティの予算を増やしている」と回答しており、これらのソリューション導入を担うチームが「勢いを得ている」ことを示唆している。