スーパーで牛乳を買い忘れるのとはわけが違います。大したことではなく、次回の買い物リストに入れておけばいいだけです。しかし、アイデンティティ管理におけるその種の見落としは、そう簡単には修正できません。後からソリューションを導入した組織は、それがセキュリティのやることリストにおける高額な追加項目になってしまうことに気づくかもしれません。
多くの組織が直面している状況です。Cisco Duo 2025 アイデンティティセキュリティの現状によると、ITリーダーの74%が、アイデンティティセキュリティはインフラ計画においてしばしば後回しにされがちだと認めています。その結果、企業はアイデンティティソリューションを慌てて付け足すことになり、アーキテクチャ、コンプライアンス、スケーラビリティの目標に対して適切かどうかを評価するには手遅れであることが少なくありません。牛乳と違って、後から戻って最適なソリューションを取りに行くのは簡単ではないのです。
アイデンティティおよびアクセス管理(IAM)は、デジタルアイデンティティを持つ人やエンティティが、企業リソースに対して適切なレベルのアクセス権を持つことを保証します。IAMはあらゆるビジネスに不可欠ですが、適切なIAMツールの選定は、組織固有の複雑性や要件によって左右されます。ここでは、IAMソリューションをビジネスニーズに整合させ、セキュリティを後付けではなく最優先事項として維持するための重要な検討ポイントを紹介します。
要因 #1:セキュリティ最優先の機能と性能
CiscoでIdentity担当プロダクト担当VPを務めるMatt Caulfield氏は、基本パッケージの一部としてセキュリティを含むIAMソリューションの重要性を強調します。「既存ベンダーの多くは追加機能を有効化させ、セキュリティを得るためにそれらに料金を支払わなければならない」と同氏は述べています。
ビジネスごとにアーキテクチャは異なります。クラウド、オンプレミス、あるいはカスタムなどさまざまです。セキュリティが組み込みのIAMプラットフォームを選ぶことで、ニーズに合わせた統合保護を導入直後から利用できます。しかし、3分の1のセキュリティリーダーしか、自社のアイデンティティプロバイダーがアイデンティティベースの攻撃から保護していると確信していません。だからこそ、認証、アクセス制御、監視を備え、以下の機能を含むプラットフォームを選ぶことが不可欠です。
- フィッシング耐性のある多要素認証(MFA):2つ以上の本人確認要素を必要とし、NIS2(欧州)やOMB Memorandum 22-09(米国)の要件にも整合します。
- リスクベース認証:高リスクが検出された特定のアプリケーションやユーザーグループに対してポリシーを適用します。認証リクエストを分析し、攻撃と一致するアクティビティパターンを特定します。
- 真のシングルサインオン(SSO):1回の対話型認証で、複数のOS、ブラウザ、Webアプリ、デスクトップアプリに簡単かつ安全にログインでき、日中に何度も中断されることを防ぎます。
- パスワードレス認証:生体認証、セキュリティキー、専用のモバイルアプリを用いて本人確認を行い、摩擦の少ないログイン体験を実現します。
- アイデンティティ・インテリジェンス:可視性を一元化し、Identity Threat Detection & Response(ITDR)およびIdentity Security Posture Management(ISPM)のベストプラクティスを確実にするための機能です。
要因 #2:組織規模とインフラ
「アイデンティティは常に動く標的です。アイデンティティの数や種類が常に進化しているからです」とCaulfield氏は言います。「一般的な組織を考えると、人は毎日退職し、毎日入社してきます。だから、動く標的であるという要素は難しいのです」
アイデンティティのニーズは時間とともに変化するため、現在の規模とインフラだけでなく、将来の成長見込みにも対応できるIAMプラットフォームを選び、先を見越して計画しましょう。事業が成長してユーザー、アプリケーション、システムが増え、セキュリティリスクが高まっても、プラットフォームは適応できるべきです。組み込みディレクトリ(ユーザーとデバイスの集中管理データベース)を備えたIAMプロバイダーを探すことで、スケールとユーザープロビジョニングの自動化が可能になります。
適切なIAMプラットフォームは、組織の規模によって異なります。中小企業は使いやすさやベンダーの手厚いサポートを重視したソリューションが有効な場合がある一方で、大規模かつ複雑な環境で運用する企業では、より高度なソリューション、または複数のシステムやツールの組み合わせが必要になることが多いでしょう。
要因 #3:業界コンプライアンス、規制、ガバナンス
業界ごとに、固有のコンプライアンス要件、規制要件、運用要件があります。しかし、FIDO2のような標準の採用は依然として低く、FIDO2トークンを完全に実装している組織は19%にとどまっています。
IAMソリューションを評価する際は、地域および連邦のガバナンスフレームワークを最もよくサポートし、FIDO2やその他の標準への準拠を可能にするプラットフォームを調査しましょう。規制の厳しい業界では、ツールがアクセスのプロビジョニング/デプロビジョニングをどのように扱うかを評価し、詳細なアクセスログ、監査証跡、自動レポート機能が含まれていることを確認する必要があります。
以下の業界固有の標準を検討してください:
- 金融: NIST、FFIEC、NYDFS、NAIC、PCI-DSS、FTCのセーフガードに対応するMFA。
- 医療: 医療保険の携行性と責任に関する法律(HIPAA)および規制薬物の電子処方(EPCS)への準拠のためのユーザー認証。
- 高等教育: FERPA、SOC2、GDPRの標準に沿って学生データとプライバシーを保護。
- 法執行機関: 地方・州・連邦レベルでデータを保護するため、刑事司法情報サービス(CJIS)セキュリティポリシーに準拠。
- 法律: 機密の依頼者情報を確保するため、米国法曹協会(ABA)の職業倫理模範規則(Model Rules of Professional Conduct)1.6(a)に準拠。
- 小売: ハイブリッドワークフォース、POSシステム、顧客データを保護し、PCI DSS、GDPR、その他の規制標準に対応。
セキュリティを先回りして考え、後付けを減らす
「私たちは、セキュリティは本当に最優先であるべきだと考えています。後回しにしてはいけません」とCaulfield氏は言います。「アイデンティティアクセス管理システムを設計する際には、デフォルトでセキュリティを考える必要があります」
Cisco DuoのようなIAMプラットフォームは、使いやすいフィッシング耐性のある多要素認証を備えたセキュリティ最優先のアプローチを採用し、ユーザーの本人確認、デバイスの信頼確立、企業ネットワークやアプリケーションへの安全な接続の提供によって、組織のセキュリティを強化します。この包括的なプラットフォームはあらゆる組織向けに設計されており、ビジネス固有の保護ニーズに合わせて調整できます。さまざまなインフラや業界に対応する複数のエディションが用意されています。
Cisco Duoの詳細と、組織が不正アクセスを防ぐうえでどのように役立つかをご覧ください。
