S&P GlobalのシニアVPおよびCISO、Dustin Wilcoxと、DocusignのCISO、Michael Adamsが、エージェンティックAIアイデンティティが増殖する中で、企業のセキュリティを確保するためのアドバイスをCISOs向けに共有します。
アイデンティティは常にセキュリティの中心にありましたが、AIエージェントの増殖は、アイデンティティの管理とセキュリティ確保の課題を急速に変えており、CISOs がアイデンティティ戦略を再考するよう促しています。それが定義される方法さえも含めて。
「アイデンティティは現在、制御サーフェスと攻撃サーフェスの両方です。APIキー、トークン、サービスアカウントなどの非人間アイデンティティがありましたが、今はエージェントがあり、それは新しいクラスです」と、S&P GlobalのシニアVPおよびCISO、Dustin Wilcoxは述べています。
典型的なシグナルが適用されないため、アクションを非人間アイデンティティに属性付けすることが課題です。「キーボードの使用方法のテレメトリなど、人を識別する技術は、完全にデジタルで動作するエージェントの場合は使用できません」と、WilcoxはCSOに述べています。
またエージェントが増殖するにつれて、CISOs が何個存在するのか、何に使われているのか、何を実行することが認可されているのかの完全な概要を保つことが難しくなります。
「人間のアイデンティティでは、アクセス要件を直接検証できます。サービスアカウント、そして現在はエージェントについて、その明確さを達成するのは難しいです」と、DocusignのCISO、Michael Adamsは述べています。
「既存モデルに適合しているかのように扱うと、可視性と制御にギャップが生じる可能性があります。同時に、AIシステムは非人間アイデンティティの急速な成長に寄与しており、多くのインベントリプロセスが追跡するように設計されていない新しい認証情報とトークンの作成も含まれています」と彼は付け加えています。
「そして人間側では、生成的AIがソーシャルエンジニアリングをより説得力あるものにしており、防御者が歴史的に依拠してきた行動シグナルの一部を弱めています。その結果、従来のインジケーターがより信頼できなくなっている同時に、攻撃面が拡大しています」と、AdamsはCSOに述べています。
CISOs向けの助言は、アイデンティティをセキュリティアーキテクチャの基礎レイヤーとして扱う、アイデンティティファースト・セキュリティモデルを採用することです。
「すべてのアクセス決定はアイデンティティを通じて流れ、継続的に検証されます。単に入口でチェックされるのではなく」と、Adamsは述べています。
アイデンティティはプライマリ制御プレーンになる
CISOs は現在、コパイロット、自律エージェント、既存フレームワークに適合しないAI駆動型ワークフローを含む新しいクラスのアイデンティティを管理しています。そして、機械スピードでシステムにアクセスし、アクションを実行し、決定を下すことができます。
WilcoxとAdamsは、5月11日~13日のCSO Cybersecurity Awards & Conferenceで講演しています。お席を予約する。
その結果、Adamsは、CISOs がアイデンティティ中心のセキュリティアーキテクチャを採用する必要があり、検討すべき重要な信条がいくつかあると述べています。
複雑さをレイヤーする前に強固な基盤を構築する。 アイデンティティプログラムを最新化する際のインスティンクトは、Adamsは高度なツーリングに手を出すことです。代わりに、彼のアドバイスは基本を整えることです。クリーンなディレクトリ、強制された最小権限、信頼できるオフボーディングプロセス。
「基本的なアイデンティティ衛生を確立することなく継続的検証にジャンプする組織は、不安定な基盤の上に構築されていることに気づくかもしれません」と彼は述べています。
新しいクラスのアイデンティティのために設計する。 ロールモデルとアクセスポリシーを設計する際、既存の構造を反映する誘惑があります。
「これはしばしば、何年もの権限クリープを新しいアーキテクチャに持ち込みます。レガシーからではなく最小権限から始めることは、ユーザーが職務機能に必要なアクセスのみを受け取ることを保証するのに役立ちます」と彼は述べています。「適切な場合は『それは常にこのようにされてきた』に異議を唱えることが重要です」。
非人間アイデンティティインベントリを整理する。 非人間アイデンティティの完全なインベントリを構築し、各アイデンティティの責任者と各アイデンティティが実行することが認可されていることを含めます。他のエージェントが操作される前にこれを行います。
「これはテクノロジーと同じくらいガバナンスの課題です」と彼は述べています。
MFAを終点ではなく開始点として扱う。 アイデンティティロードマップは、SMSまたはプッシュベースのMFAへのフィッシング耐性代替案を含める必要があります。最小権限、マイクロセグメンテーション、継続的監視はプレイブックの一部です。
「認証情報が侵害される可能性があると仮定して、それに応じてアーキテクチャを設計する」と、Adamsはアドバイスします。
AIとシフトするセキュリティバランス
アイデンティティシステムは長い間、攻撃の対象となってきました。しかし、アイデンティティがプライマリ制御プレーンになるにつれて、リスクはより集中し、異なるアプローチが必要になります。
「すべてのCISO にアイデンティティとAIの交差点について深く考えることをお勧めします」と、Adamsは述べており、システムがエージェントが適切な境界内で動作することを保証するために、実際の動作ではなく意図の原則を中心に再設計される必要があると付け加えています。
「これには行動監視とリアルタイムアクセス評価が必要です。多くの組織がまだ構築に向けて取り組んでいる機能です」と彼は述べています。「それが今後の課題です」。
Wilcoxは最終的に、AIがセキュリティプラクティショナーに悪意のあるアクターに対抗するためのより多くのツールを提供することに楽観的です。CISOs がこれを正しく行うことができれば、それは以前には利用できなかった方法で攻撃者とプレイングフィールドをレベルにするための方法です。
「彼らが有利に持っていた非対称的なプレイングフィールドがありました。今、戦略的に戦術的にAIを使用して防御を改善することができます」と彼は述べています。
エージェンティックAIはリアルタイムでアイデンティティセキュリティプレイブックを書き直しており、ピアはすでに適応しています。Dustin Wilcox、Michael Adams、Renee Guttmann、およびその他の主要なCISOs が、5月11日~13日のCSO Cybersecurity Awards & Conferenceで実際に機能していることを共有するのを聞きます。満杯になる前にお席を確保する。
