ビデオプレーヤー
組織が自動化、クラウドサービス、そしてAI主導の取り組みを中核業務のより深い領域へと推し進めるにつれ、マシンアイデンティティは増え続けています。この急速な増加は、とりわけ非人間アイデンティティが過剰な権限を持っていたり、明確な所有者がいなかったり、あるいはセキュリティチームから完全に見えなくなっている場合に、新たな脆弱性を生み出します。
「組織にとって間違いなく課題だと思います。私たちは皆、自動化や、おそらくクラウド導入、AIの取り組みに注力しています。そうなると、マシンアイデンティティの数は指数関数的に増えていくでしょう」と、BOK Financialのサイバーセキュリティ・リスクおよびコンプライアンス担当シニア・バイスプレジデント兼ディレクターであるエリン・ロジャース氏は述べました。
ロジャース氏によれば、セキュリティ組織は適応型でリスクベースのアイデンティティおよびアクセス管理(IAM)ツールに投資すべきです。
「継続的なセッション評価とリアルタイムの認証判断は、盗まれた認証情報に依存する攻撃者によるラテラルムーブメントを抑制すると同時に、振る舞いや状況が変化した際にチームが動的に対応できるようにします」と同氏は述べました。
このInformation Security Media Groupによるビデオインタビューで、ロジャース氏は次の点についても議論しました:
- クラウドおよびオンプレミス環境全体にわたるマシンアイデンティティの発見と棚卸し;
- ジャストインタイムアクセスと、非人間アイデンティティに対するより強固なガバナンスによるリスク低減;
- 認証情報ベースの攻撃に対抗するため、適応型でリスクベースのIAMコントロールを優先すること。
ロジャース氏はBOK Financialの情報セキュリティにおいて、セキュリティリスク管理およびIAMプログラムを主導し、両者に戦略的な方向性と指針を提供しています。以前は、情報セキュリティ指標プログラムの確立、情報セキュリティのリスクおよびコントロール・ライブラリの作成、社内外の規制当局との情報セキュリティ関連のやり取り全般の調整、ならびに複数のガバナンスおよびリスクの取り組みの支援を担当していました。
翻訳元: https://www.databreachtoday.com/securing-banking-enterprises-as-non-human-identities-grow-a-30583
