Span Cyber Security Arenaカンファレンスで、SemperisのチーフアイデンティティアーキテクトであるEric Woodruffと座って、組織がアイデンティティをどのように認識しているか、そしてそれらの認識がセキュリティにもたらす課題について議論しました。
彼は、組織がアイデンティティにどこで苦労しているのか、アイデンティティプラットフォームがなぜ管理しにくくなるのか、フィッシング耐性認証が実際にどのように見られているのか、そして非人間アイデンティティとAIがセキュリティにどのような影響をもたらす可能性があるのかについて、彼の視点を共有しました。
ほとんどのボードはまだアイデンティティをIT衛生上の問題ではなく、戦略的なリスクカテゴリとして扱っています。あなたの経験では、どのようにしてその会話が変わりますか?
多くの組織はまだアイデンティティをIT問題として扱っていると思います。残念ながら、私が働いてきた組織の多くでは、セキュリティインシデントが発生した後、その会話が変わります。その時になって、アイデンティティは異なる扱いを受け始めます。積極的なものではなく、反応的になります。
同時に、文化が変わってきていると思います。Active DirectoryやEntraチームがセキュリティチームの一部であるべきだと言うセキュリティチームを見てきました。それにより、アイデンティティに対する文化と視点が変わり始めます。
ですから、混在しています。残念ながら、ほとんどはインシデントを経験した組織ですが、講演に参加したり、記事を読んだり、アイデンティティの背後にあるリスクを理解し始める組織もあります。彼らの視点は変わります。
改善されているとは思いますが、私が望むほど速くはありません。特にここ5、6年間は、COVIDが多くの人々をリモートワークに追いやったため、アイデンティティに関するセキュリティ優先度が変わり、組織の認識が高まりました。
アイデンティティプラットフォームが実際のエンタープライズ環境で最も約束を過剰にして過小に実現する場所はどこですか?
本当に複雑だと思います。多くの組織が抱える問題の一部は、アイデンティティ担当者が単なるアイデンティティ担当者ではないということです。簡単にフルタイムの仕事になります。
それに対応できるスタッフを配置できる大企業はありますが、中小企業では、方針がばらばらになる可能性があります。人々はいろいろなことをこなさなければなりません。サーバインフラストラクチャなどを管理しているか、セキュリティチームの一部であれば、他の役割も担当している場合があります。
プラットフォーム自体は簡単ではありません。標準は理解しやすくなく、ポータルとセットアップウィザードがプロセスを説明するのに役立つにもかかわらず、それでもセキュリティデフォルトよりも使いやすさの方に傾く傾向があります。
それが最大の問題だと思います。これらの環境を適切に保護するには多くのことを知る必要があり、多くの組織はそれを行うために必要な人員に時間やお金を投資する余裕がありません。
セキュリティチームがアイデンティティを所有している状況も見てきました。アイデンティティシステムはITとセキュリティのどこかに位置し、多くのセキュリティの人は舞台裏でやり取りなしに作業することに慣れています。
アイデンティティは異なります。なぜなら、通常エンドユーザーと頻繁に対処しなければならない数少ない分野の1つだからです。これはIT役割に更に似ています。セキュリティチームがアイデンティティプラットフォーム内で物事を調整し、アイデンティティが異なる方法で機能することを実現しておらず、ミスが起こる可能性がある状況も見てきました。
業界が間違っていると思う、広く受け入れられているアイデンティティプラクティスは1つですか?
おそらく、フィッシング耐性に移行し、パスキーなどの同様のテクノロジーを使用することが難しいという考えだと思います。
あらゆる規模の多くのエンタープライズがフィッシング耐性に移行したいとは思わないことに気づきます。エンドユーザーを混乱させるのではないか、またはセキュリティの観点から、「100%の課題を解決できない限り、何もロールアウトしない」と言うためです。
そのアプローチに関して2つの間違いがあると思います。組織はそれを異なる方法で見る必要があります。パスキーとWindows Hello for Businessなどのテクノロジーを使用して、ユーザーの90%に対してフィッシング耐性を実現できるなら、それはユーザーの90%がフィッシングされない可能性があります。
また、ユーザーを過小評価していると思います。エンドユーザーが何かをセットアップするのに5~10分かかり、それが1回限りのプロセスであれば、エンドユーザーは私たちが考えるよりも喜んでそれに対応すると思います。
Amazonなどのコンシューマアプリケーションでそれを見ることができます。ユーザーにMFAへの登録またはパスキーのセットアップを要求する場合、ユーザーに多くの選択肢を与えず、人々はそれに対応するだけです。
私は、人々が私たちが考えるよりも柔軟だということを認識していないことが問題だと思います。それが主な問題です。
それが改善されると思いますか?その将来についてどう思いますか?
わかりません。おかしなことに、6、7年前に組織に入って、より従来的なタイプのMFAをロールアウトするのを支援したことを覚えています。そして、同じ問題を見ていました。組織は誰もが動揺するのではないかと心配し、その後何も起こりませんでした。
誰も学んでいなかったかのようです。なぜなら、今、わずか6年後、私たちは非常に同じようなことをもう一度しようとしているからです。
あなたはこれを一度にすべての人に行うことができ、常に何人かの人が文句を言う傾向がありますが、人々は一般的に変化を好きではありません。特に最初は、何かを理解していないか、それが複雑だと思う場合はそうです。彼らは自然にある程度の抵抗をしています。
セキュリティチームがエンドユーザーがなぜこれらの変更が重要なのかを理解するのを支援する方法をより良くすることができると思います。多くの場合、セキュリティチームはユーザーに何かをする必要がある理由を全く言わないか、あまりにも技術的な説明を提供します。
エンドユーザーは脅威アクターが何をしているかをすべて理解する必要はありません。彼らは危険と最悪のシナリオが何であるかを理解する必要があるだけです。
人々が保護が実施されない場合に何が起こるかを理解する場合、これらの変更が重要な理由を理解する可能性が高くなると思います。システムが危険にさらされるか、会社および個人にとって損失が大きい可能性があります。
従業員が「それは私には起こらないだろう」または「私は会社の誰でもない」と考えているのをよく見ます。
そのような状況では、ニュースの例を見ると役に立つ場合があります。残念ながら、おそらく誰かが財務やその他の従業員がフィッシングされたり危険にさらされたりしたニュースを見つけることができ、これらの例はリスクをより現実的に感じるのに役立ちます。
エージェントAIは、それを管理することを目的とした規則よりも速く動いています。自律エージェントに身元を与え、それが何をできるかを制御し、人間に代わってその行動を追跡する方法は何ですか?
それは良い質問です。残念ながら、ほとんどのエージェントシステムは現在もその人に代わって行動するように設計されていると言われています。
Agent IDなどのシステムの周りでこれらの機能を構築する多くの作業がありましたが、現在それらはまだ非常にベンダー固有です。エージェントシステムが直接それらと統合されない場合、基本的にそれらを使用することができません。
私は、本当の問題はそれらのシステムが本質的に仕事をしたいということです。箱から出してすぐに、彼らは自然にあなたのように行動する傾向があります。
また、非人間アイデンティティの使用を強制するかなりのガードレールもありません。非人間アイデンティティを作成する場合でも、システムは必ずしもそれらを使用しません。
私は最近NHIの周りの議論でこのポイントを述べていました。アイデアは「NHIを発行すれば、人々はクラウドベースのツールで使用できます」というものでした。それは素晴らしいように聞こえますが、私は単にシステムに「そうしたくない」と言うことができ、それは「もちろん、私はあなたが望むことをするでしょう」と答えることがよくあります。
人々はこれらのシステムの周りにガードレールを作成しようとしますが、最終的には、AIにあなたが異なることをしたいと言えば、それはその指示に従うことがよくあります。
エージェントシステムの制御は確かにアイデンティティの問題だと思いますが、アイデンティティ業界はそれを解決しようとしています。
ただし、短期的には、答えはおそらくエンドポイント制御およびその他の制限についてさらにあります。職場デバイスで人が何ができるかを制限でき、また、彼らがアクセスしているシステム内で過度に許可されていないことを確認できます。
誰かがAIを使用してアクセスしたニュースの例をすでに見ており、誤ってデータベースを削除したり、他の問題を引き起こしたりしました。
ですから、私はその質問に完全に答えていないと思いますが、今のところ、非人間アイデンティティのためのより良い標準がある場合、エージェントシステムとより効果的に統合されるまで、短期的な修正は職場デバイスでユーザーが何ができるかを制御し、彼らが過度に広範な権限を持っていないことを確認しています。
これすべてのAIについてのあなたの意見は何ですか?サイバーセキュリティの観点からは危険ですか?サイバー犯罪者はそれから利益を得ますか?
Mythosのようなモデルが出てきた場合、完全に怖れた人と大したことではないと言った人がいました。私はおそらく「大したことではない」キャンプにもっと落ちるでしょう。人々が心配する必要がないと言っているのではなく、既存のAIモデルが既に彼らがおそらくするべきではないことをするために押し込まれる可能性があるため、多くはマーケティングだと思います。
セキュリティ研究でさえ、私は既存のAIモデルを使用します。時々、何かを防ぐ方法を理解したいので、脅威アクターをエミュレートするよう求めています。突然、モデルは攻撃を歩き始めると、基本的に「悪いことに使用しないでください」と言ってから続行します。
AIも興味深いです。より多くのものが消費ベースの使用モデルに向かっているため、それが脅威アクターに何らかの影響を与えるのかと思います。人々が「Codexに月額20ドルを支払っていましたが、今月に2,000ドルになるだろう」と言ったのを見たことがあります。明らかに、彼らがこれらのシステムを使用するためにより多くのお金を費やす必要がある場合、コストは脅威アクターにも影響を与える可能性があります。
物事は常に変わっており、AIが最終的にどの程度の負の影響を持つのかを測定するのはまだ難しいと思います。脅威アクターが単にAIに人々を攻撃するよう命じるストーリーの一部は誇張されていると思います。
人々が心配する必要がないと言っているのではなく、判断するのはまだ早いと思います。これらのテクノロジーの周りの恐れをマーケティングするのも非常に簡単です。
Chief Identity Architectの役割は5年後どのように見えるでしょうか。3年前の職務記述書に存在しなかったスキルを今雇用していますか?
多くのChief Identity Architectを見かけることはないと思います。少なくとも私たちにとって、この役割は会社内である程度ユニークです。
アイデンティティで有名なIan Glazerは、Chief Identity Officer役について話しました。私はおそらくそのタイプの役割に向かっているかもしれません。
最終的に、Chief Identity OfficerまたはChief Identity Architect役のポイントは、アイデンティティがどこに属しているかについて以前に議論したことに戻ります。アイデンティティは必ずしもITまたはセキュリティ内に完全に適合しません。それは両者の間のどこかの空間を占めています。
一般的に、アイデンティティアーキテクトである場合、組織のSOC側から多くを理解する必要があります。また、IT側から多くのことを理解し、デバイス管理および関連テクノロジーなど、おそらく知る必要がなかったと思うエリアも理解する必要があります。様々なシステムからのシグナルの多くが最終的にアイデンティティセキュリティシステムに供給されるためです。
今のところ難しいと言いますが、将来を見据えると、多くのアイデンティティ専門家はシステム管理の背景から来ました。今、大学から出てきた多くの人がサイバーセキュリティの学位を持っていますが、これらのプログラムではアイデンティティに対する焦点がほとんどあり、時々それが目立つようになります。
組織はアイデンティティをより真剣に受け取る必要があります。すべての組織がChief Identity Architectを必ずしも必要とはしていないと思いますが、ほとんどの組織はある種のアイデンティティアーキテクトまたはアイデンティティエンジニアを持つべきであり、アイデンティティの背景を持つ人々を見つけることを試みるべきです。
それは、Active Directoryを管理している誰かであろうと、十分に長くEntraまたはOktaで働いていた誰かであろうと、背景が重要です。
スキルセット自体は、それが今のままであることと同じままである可能性があると思います。これは、広範なテクノロジーとシステムを理解することを意味します。
また、アイデンティティ専門家がAIを学ぶ必要があると思います。彼らはそうしたくない場合でも。私は最初、AIと相互作用することにそれほど興味がありませんでしたが、最終的には非人間アイデンティティ、エージェントAI、およびそれらをどのように保護するかについての質問を取得し始めます。
最小限、それを追いついて実行する必要があります。多くの場合、私にとって、システムを直接使用することについてです。その種の実践的な学習は通常、最速の理解方法です。
あなたがそれを好むかどうかにかかわらず、あなたはそれを理解する必要があります。
翻訳元: https://www.helpnetsecurity.com/2026/05/26/eric-woodruff-semperis-identity-security/
