このレポートでは14のベンダーが評価されており、その中でSailPointがリーダーに選出されたのは、昨年クラウド アクセス権限管理ソリューションを大幅に強化した取り組みが評価されたものと考えています。

このレポートでは、「セキュリティ情報イベント管理（SIEM）をサポートするという点は大きな強みであり、10種類の主要なサード パーティ製アプリケーションがサポートされています。これはSailPointに期待されていたものですが、同社のプラットフォームに便利な機能の層が追加されたことになります。」という評価を受けています。

また、同レポートでは、「SailPointのクラウド インフラ権限管理（CIEM）は、もはやアドオン ツールではなく、SailPointのプラットフォームに完全に統合されたツールであり、SailPointのダッシュボードにあるタブで利用できるようになっています」とも言及されています。

ここで注目していただきたいのは、SailPointが予定しているCIEMのロードマップには、人間以外のアイデンティティをサポートするといった、さらなる改良があるということです。

SailPointのアナリスト レポートをご覧になりたい方は、このウェブサイトよりご覧いただけます。

The post SailPoint、クラウド インフラ権限管理（CIEM）のリーダーに選出 appeared first on SailPoint.

これまでの長い歴史において、多くの海洋探検家たちは北極星を道標として活用してきました。広大な未知の領域を探検するうえで、北極星は正確な方角を知るための重要な目印だったのです。こうした探検家たちが、常に不動の位置にある北極星を頼りにしていたように、今日の企業もまた、拡大し続けるデジタル市場で成功を収めるための、確固たる指針を必要としています。アイデンティティ（ID）セキュリティはその指針となり、組織を安全かつ確実に革新的な未来へと導きます。

クラウド イノベーションや迫り来るサイバー脅威によってデジタル領域が拡大する中、正しい方向性を把握することは単なるレコメンデーションではなく、不可欠なものとなっています。そこでSailPointは、Accentureと共同で調査を行い、その調査結果をまとめた「アイデンティティ セキュリティ調査レポート：2023 – 2024年版」を発表しました。本年のレポートでは、前年のレポートで紹介した重要な概念をさらに深めて解説しています。アイデンティティ セキュリティの成熟度を問わず、あらゆる組織に包括的なインサイトと実践的な手順を提供します。

アイデンティティ セキュリティの未来

アイデンティティ セキュリティの現状

本年のレポートは引き続き、前年のアイデンティティ セキュリティ調査レポートで紹介したフレームワークに基づいて作成されており、このフレームワークは、第1段階（成熟度が最も低い）から第5段階（成熟度が最も高い）の5段階評価で構成されています。第1段階の企業は、包括的なアイデンティティ（ID）戦略とテクノロジーの両方が欠如しています。一方、第5段階の企業は次世代のテクノロジーを採用し、自社と外部のID管理の境界が曖昧になっています。調査対象企業375社のうち、44%が依然として第1段階に該当しており、成熟したID管理プログラムに伴う潜在的なメリットを享受できていないことが明らかになっています。また、第2段階から第3段階へ移行した企業は、約8%にとどまっています。

成果の達成：高度なアイデンティティ セキュリティが現実世界にもたらすメリット

アイデンティティ セキュリティの初期段階を脱却し、進化を遂げている組織は、目に見える形でビジネス上のメリットを享受しています。実例をいくつか挙げましょう。大手銀行は、クラウドへの移行速度を15～20%向上させました。また、金融サービス企業は、プロセスの自動化によってアクセス権限審査（ID棚卸）を80%削減。公益事業会社は、社員とパートナーのオンボーディングに要する期間を、2週間以上からわずか数時間に大幅に短縮しました。さらに、大手プロセス製造企業は、1年以内にIT運用コストを100万ドル削減しています。

これらの成功事例は、成熟したアイデンティティ セキュリティ プログラムが、運用効率の向上とコスト削減の機会をもたらすことを示しています。重要な点は、成熟度の低い企業は高度な機能を採用することを躊躇すべきではないことを、データが示唆していることです。これらの機能の導入率は15～90%とばらつきがあるものの、企業の複雑さや成熟度にかかわらず、機能の実際の使用率は約50～70%であり、安定した水準を維持しています。つまり、成熟度の低い企業であっても、高度な機能を実装すれば、成熟度の高い企業と同等の成功を収めることができます。

ビジネス ケースの作成：アイデンティティ セキュリティの予算を確保し、経営幹部の賛同を得ることが課題に

すべての成熟度段階において、最も大きな障壁は予算の制約であることが明らかになっています。調査回答者の91%が、主な障壁として「予算の制約」を挙げています。こうした投資不足は、セキュリティ専門家がアイデンティティ セキュリティ プログラムのビジネス価値を明確に説明できていないことに起因しており、経営幹部の賛同を得ることが困難になっています。興味深いことに、回答者の77%が、もうひとつの大きな障壁として「経営幹部の支援の制約やプライオリティ」を挙げており、セキュリティ専門家と意思決定者との間のコミュニケーションを改善する必要性が改めて浮き彫りになっています。企業がアイデンティティ セキュリティの各段階を経て進化し、運用効率とリスク軽減のメリットを享受するには、これらの課題を克服することが不可欠です。

鈍化からの脱却：SaaS（Software as a Service）、AI/機械学習、自動化によるアイデンティティ セキュリティ実装の迅速化

SaaS、AI/機械学習、自動化などの高度なテクノロジーを利用している企業は、そうでない企業に比べて、新機能の実装スピードが20%、拡張スピードが37%速く、そのメリットを引き出しています。さらに、これらのテクノロジーにより、組織全体のアイデンティティ セキュリティ機能の利用が促進されています。本レポートでは、こうした高度なテクノロジーへの投資は、組織が成熟度が低い段階（第1段階や第2段階）から脱却し、アイデンティティ機能を大規模に導入する先進的な段階（第3段階以降）へ進むうえで、非常に重要であることが明らかになっています。これらのテクノロジーは、実装を迅速化するだけでなく、サード パーティIDやマシンIDを含むアイデンティティ セキュリティ対応範囲を拡大し、最終的には組織全体のセキュリティ体制を強化するのに役立ちます。

規模の拡大：アイデンティティ セキュリティの各段階における固有の課題を管理

予算の制約はすべての成熟度段階における共通の課題ですが、その具体的な障壁はさまざまです。初期段階（第1段階）の企業の場合、技術的負債を管理し、堅牢な運用モデルを開発することが、現状を打破するために重要です。一方、成熟度の高い企業（特に第4段階および第5段階の企業）は、包括的なアイデンティティ セキュリティ プログラムを実現するために、既存の機能の適用範囲を拡大することに重点を置く必要があります。興味深いことに、本レポートでは、高度なアイデンティティ機能を導入している企業の多くが、社内アイデンティティの70%以上をカバーするのに苦慮していることが明らかになっています。そのため、成熟度の高い企業は、真に堅牢なアイデンティティ セキュリティ プログラムを構築するために、規模を拡大するだけでなく、サード パーティID、マシンID、データを含め、より包括的なアイデンティティの対応を目指す必要があります。

業界/地域ごとにアイデンティティ セキュリティ先進企業を把握

本レポートを編纂するにあたり、SailPointとAccentureは、いくつかの重要な点に着目しました。

• テクノロジー業界と銀行業界は、アイデンティティ セキュリティの先進的な取り組みを進めています。また、公益事業と製造業は、アイデンティティ セキュリティにおいて急速な進化を遂げています。その要因として、IDエコシステムの複雑化と攻撃対象領域の拡大が考えられます。
• 地域別のアイデンティティ セキュリティの成熟度を見てみると、北米とヨーロッパが牽引しており、アジア太平洋地域の成熟度にはばらつきが見られます。

自社のアイデンティティ セキュリティのレベルを理解するために：導入評価ツール

組織のアイデンティティ セキュリティの進捗状況を明確に把握することは、容易なことではありません。SailPointは、企業が現在の立ち位置と潜在的な成長分野を正確に特定できるように、診断ツールを提供しています。このツールを利用すれば、次のことが可能になります。

-アイデンティティ セキュリティに関する自社の現在の立ち位置を理解

-自社の状況を、競合他社と比較

-同業他社が直面している共通の障壁を把握し、自社固有の課題を克服するためのソリューションを特定

効果的なアイデンティティ セキュリティを理解し、賢明な投資を行うことで、セキュリティの強化とビジネスの成長に備えることができます。

未来へ進む準備はできていますか？

今日のデジタル世界で成功するには、企業は保護手段としてだけでなく、ビジネスの成功要因としてアイデンティティ セキュリティに優先的に取り組む必要があります。

そのためには、変化に適応するだけでは不十分です。アイデンティティ セキュリティを牽引し、ただ生き残るのではなく、さらに繁栄できる未来を目指しましょう。

ID環境を保護する準備はできていますか？詳細については、SailPointの「アイデンティティ セキュリティ調査レポート」をご覧ください。また、アイデンティティ セキュリティ プログラムに関するご相談もお待ちしております。最新の事例やソリューションのデモも含め、貴社に適したプログラムをご紹介します！

The post アイデンティティ セキュリティに関するトレンドを読み解く（2023年 – 2024年） appeared first on SailPoint.

アイデンティティ セキュリティ業界でよく耳にする「レガシーシステム」という言葉は、時代遅れで停滞した、代替可能な技術を指す言葉として、否定的な意味で使われます。

確かに、一部のアイデンティティ セキュリティベンダーは、従来の意味で「レガシーシステム」であることは明らかです。彼らはイノベーションをあきらめ、新たな投資をしなくなっています。時間、リソース、人員を投入して、顧客から選ばれるようなテクノロジーを生み出すことを放棄したベンダーは、多くの顧客から見放され、忘れられてしまいます。

しかし、レガシーシステムには、長年培ってきた実績やノウハウに基づいた安定性といった、無視できないメリットも存在します。

SailPointは、アイデンティティ セキュリティ分野のパイオニアとして、18年以上にわたって卓越した専門性、革新性、そして顧客へのコミットメントを推進してきました。組織としての深い知識と伝統を兼ね備えているのは、SailPointだけです。

当社は、20年近くにわたって、世界中の企業が直面するアイデンティティ セキュリティの課題を深く理解することに注力してきました。その深い知識を活かし、今日の企業の高度なニーズに包括的に対応する、業界初のアイデンティティ セキュリティプラットフォームを実現しました。

レガシーシステムからの脱却

レガシーシステムの再定義とは、単なる過去からの継承ではありません。それは、長年にわたって培ってきた経験、知識、そしてイノベーションを活かし、真の価値を生み出すための伝統です。
私たちは、数千もの企業におけるアイデンティティ セキュリティソリューションの導入を支援してきました。その過程で得られた貴重な経験と知識は、お客様のビジネスニーズに対応し、具体的な価値を提供するための力となっています。これらの伝統は、誰にも真似できないものです。伝統や歴史は、要求したり、借用したり、盗んだりすることはできません。それは、長い時間をかけて築き上げられてきたものであり、企業の真の強みとなるのです。

SailPointは、アイデンティティ セキュリティ分野のパイオニアであり、クリエイターとして、従来のレガシーベンダーとは一線を画すソリューションを提供しています。私たちは、単に過去にしがみつくのではなく、レガシーシステムを再定義することで、革新的なアイデンティティ セキュリティソリューションを生み出し続けています。

レガシーシステムとモダナイゼーション

アイデンティティ セキュリティ分野への参入を試みている一部の競合他社は、性能、品質、拡張性の点で当社に大きく劣っています。性能、品質、拡張性に制約があるアプローチを採用しているため、当社が長年培ってきた深い知識や革新的な技術には到底及びません。最先端のソリューションを短期間で模倣することは不可能なのです。
これは、SailPointが築き上げてきた「レガシーシステム」とリーダーシップの再定義です。

The post レガシーシステムとモダナイゼーション appeared first on SailPoint.

大規模で複雑な大企業向けアイデンティティ・セキュリティには、明確な始点と終点があるわけではありません。1回で終わりというものでもなく、重要なマイルマーカーとビジネス成果を伴う、時間をかけて構築していくプログラムです。このようなマイルマーカーは、プログラムを次の段階に進める前に達成すべき「段階」と考えることができます。

それを、SailPointが「アイデンティティ・セキュリティの段階」という新しい調査で取り組みました。

今年5月から6月にかけて、世界中のアイデンティティ・セキュリティの意思決定者を対象に調査を実施し、アイデンティティ・セキュリティの5つの段階で中核的な機能を明確に定義しました。重要な点は、このデータを使って企業がアイデンティティの道のりで組織がどこに位置しているのかをより良く理解することです。アイデンティティの道のりを歩む企業が今日どこまで進んでいるのかを明確に理解することで、SailPointはビジネス目標に沿った、規範となる方針を提案できるようになりました。

このレポートには、掘り下げるべきことが沢山あります。特に重要な点についていくつか触れていきますが、ぜひレポート全文もお読みください。このデータは、私たちが以前から多分そうだろうと考えていたことを裏付けています。アイデンティティの未来は、今まさに進行中の技術の変化によって形作られます。これには、技術環境全体にわたる統合、行動や相互作用を基に進化する動的な信頼モデル、ドメインや地域を超えた統合アクセスと融合できるユニバーサル・アイデンティティ、動的で自動化された、コードを駆使した円滑なアクセスが含まれます。

アイデンティティ・セキュリティの5つの段階

アイデンティティの将来像を実現するにあたりSailPointが調査した企業は、一般的に次に示すアイデンティティ・セキュリティの5つの段階に分類されます。

• 第一段階：企業の成熟度は最低。デジタル・アイデンティティの取り組みを可能にするための戦略と技術が欠如している。
• 第二段階：企業はある程度のアイデンティティ技術を導入しているが、手動プロセスへの依存度が依然として高い。
• 第三段階：アイデンティティ・プログラムはデジタル化され、規模を拡大しており、企業全体でより広範に普及している。
• 第四段階：企業は大規模に自動化しており、デジタル・アイデンティティ実現のために人工知能(AI)を使用している。
• 第五段階：アイデンティティの未来の姿に最も近い状態で、サイバーセキュリティリスクを低減し、次世代の技術革新においてビジネスをサポートする重要な管理ポイントとして機能する。

興味深いのが、約半数の企業が第一段階に該当し、アイデンティティの道のりで遅れをとっていることです。この段階に属する企業は、大きな価値が眠っています。その価値とは、総合的なセキュリティ体制の改善や事業回復力の向上です。この2つは大企業のセキュリティにおいて重要かつ基礎的な要素です。第一段階、第二段階、第三段階に該当する企業にとって、アイデンティティ・プログラムを発展させることは選択肢ではなく、ビジネスにおいて必要不可欠なものです。

無策によるコスト

この取り組みを怠ったことによる代償は大きく、サイバー攻撃のリスク増加、生産性の低下、法令違反による多額の罰金、収益減少、企業イメージの悪化などがあります。言うまでもなく、第一、二段階の企業の多くは、第四段階の企業と同じようにサイバー対策に多額の予算を割いていますが、得られる効果はほんのわずかです。

今日の企業には、アイデンティティ・セキュリティに対して「これで十分」というアプローチを取る余裕はありません。本レポートは、私たちが特にここ数年、企業の間で目の当たりにしたことを完全に立証しています。今やアイデンティティ・セキュリティは、企業の安全対策の中核をなすものに進化しました。このような観点から、第五段階を目指して、ベストを尽くしましょう。自己評価をして考えてみてください。

The post アイデンティティ・セキュリティの段階 appeared first on SailPoint.

アイデンティティ・ガバナンス管理（IGA）は、医療のなどの規制の厳しい業界には不可欠です。SCL Healthはアイデンティティのモダナイゼーションに全力で取り組んでいます。SCL Healthの最高情報デジタル責任者であるCraig Richardville氏は、「アイデンティティは私たちのすべての活動の基盤となる要素です」と述べています。SCL Healthは長年にわたり自ら開発したID管理システムに頼っていました。しかし、従事者のネットワークが拡大し、規制要件が厳格化し、より高いレベルのアプリケーションに対するアクセスが求められるようになり、既存のシステムでは対応できなくなりました。

SailPointはS3 Consultingと協力し、SCL Healthへユーザーアクセス管理、手動プロセスの自動化、機密情報の保護に必要な制御を提供しました。その結果、SCL Healthは年間約80万ドルのコスト削減を実現しました。Richardville氏は、「自社開発のアプリケーションからSailPoint製品への移行により、コスト削減を実現し、大きな成果を上げることができました。今の労働市場を考えると、これは非常にありがたいことです。今では予測不可能な人件費に対してサービスコストを予測することができ、理想の方法でアイデンティティを管理できるようになりました。」と述べています。

SCL HealthがSailPoint、S3 Consultingと共に実現した成功事例（英語）については、こちらをご覧ください。

The post SCL Health、SailPointとS3 Consultingのサポートで最新のアイデンティティ・ガバナンス管理 appeared first on SailPoint.

SailPointは、優れたインテリジェンスによりすべてのアイデンティティを保護し、円滑な自動化により労働力の生産性を高め、包括的な連携機能によりインフラ全体をつなげることが不可欠であると考えています。創設者でCEOのMark McClainとプロダクト担当エグゼクティブ・バイスプレジデントのGrady Summersが以下の経済誌で自身の考えを語っています。 

ウォールストリート・ジャーナル：アイデンティティ情報を狙うサイバー犯罪者（Cybercriminals Are After Your Digital Identity） 

執筆者：Mark McClain

ここ数年間、企業のパスワード管理の脆弱性を突いたセキュリティインシデントがかつてないほどの多さで発生しています。残念ながら、この種の攻撃において、攻撃者が個人を特定できる情報を窃取し、企業のネットワークに侵入し、甚大な被害をもたらすケースがほとんどです。

フォーブス：企業にとって不可欠なアイデンティティ・セキュリティ（Identity Security: A Core Business Essential）

執筆者：Mark McClain

現在、人、テクノロジー、ビジネスを切り離すことはできません。この三者の接続点が常に安全であることを確認することは簡単に見えるかもしれません。ですが、多くの大企業が保有する「アイデンティティ」の数は、社員、契約社員から機械に至るまで、何千から何十万、何百万にもなります。今こそ、企業は労働力の生産性向上と保護のために、アイデンティティ・ガバナンス管理を最優先すべきです。

フォーブス：アイデンティティ・セキュリティの核心（What Is At The Core Of Identity Security Today?）

執筆者：Grady Summers

多くの企業が、今日の企業ニーズを満たせる設計ではない、時代遅れで拡張困難なテクノロジーを利用し、自社開発したソリューションやスプレッドシートなどの手動プロセスを駆使して、アイデンティティを保護しようとしています。こうした手法は絶え間なく進化する現代の環境において、有効ではありません。企業にはアイデンティティ・ガバナンス管理の核心に迫るソリューションが必要です。

SailPointのアイデンティティ・ガバナンス管理に対する取り組みを詳しく知る。

The post アイデンティティ・ガバナンス管理の主要要素 appeared first on SailPoint.

100年以上にわたり自動車製造に携わってきたゼネラルモーターズ (GM) は、進化するセキュリティ課題に取り組むため、うまくビジネスを適応させています。同社のアイデンティティアクセス管理ディレクターのTray Wyman氏が、アイデンティティ・セキュリティが組織の戦略において果たす重要な役割について語ってくれました。

ID棚卸疲れを極力減らし、新規採用/異動/退職を自動化し、リモートワーカーにコラボレーションとセキュリティを確実に提供することがカギとなっています。また、GMはデータベースに基づいた意思決定を行うため、ビッグデータと人工知能に投資を続け、SailPointと組んでリスクに基づいた承認の自動化に取り組んでいます。

GMが電気自動車や自動運転車に重点的に取り組む中、アイデンティティの重要度は一段と増しています。以下の動画で、Wyman氏がアイデンティティ組織としての目標とアイデンティティ・プログラム成功のために強固な基盤を構築する秘訣について説明しています。

The post “Everybody In”:ゼネラルモーターズがアイデンティティ・セキュリティで実現する自動車体験 appeared first on SailPoint.

SaaSの爆発的な普及は、企業のセキュリティ部門にとって大きな課題となっています。現在、企業は機密性の高いデータのほとんどをクラウドアプリケーションに保存しています。 

また、IT部門が把握していないシャドーSaaSアプリケーションの使用が広範な問題となっています。SailPointの調査によると、大部分の組織では従業員が使用している実際のSaaSアプリケーションの数は、ITおよびセキュリティ部門が把握している数の3.5～4倍です。これら一つ一つのSaaSアプリケーションにより企業に新たなアクセスリスクが持ち込まれ、攻撃対象領域が拡大しています。 

ゼロトラスト環境が話題になっていますが、「見ることができないものをどのように保護するのか」という根本的な質問を投げかける必要があります。  

社員数が4,000人以上の一般的な企業では、1,265のアプリケーションが利用されています（出典）。これらのアプリケーションがどのようなものか把握すること以外にも、以下を理解する必要があります。

• アクセス権を持っているのは誰か
• アクセス権を持つべきなのは誰か 
• アクセスはどのように使用されているか
• 各アプリケーションはどの権限とデータにアクセスしているか 

これらは基本的な質問ですが、SaaSアプリケーションを大規模に管理しようとする場合、答えを見つけるのが非常に難しい問いです。こうした状況を理解することなしに、強力なアイデンティティ・セキュリティ戦略を策定、維持することは不可能です。 

ここで役に立つのがSailPoint SaaS Managementです。SaaS管理は、シャドーITによって生じる隠れたアクセスリスクを明らかにし、軽減します。当社は、組織がシャドーITとSaaSアクセスリスクに対処するための継続的な投資の一環として、以下の3つの新機能をリリースします。

• グループレポート 2.0  
• 調達データレポート
• 接続アプリケーション 2.0 

グループレポート 2.0 

SaaS管理ソリューション開発の際、SaaSレポートは全面的にカスタマイズ可能でなければならないと考えていました。レポートのニーズはお客様ごとに異なるからです。企業ではなおさらです。進行中のM&Aプロジェクト、統合の実施、事業地域の拡大、データプライバシーの分析、リスク軽減戦略のために個別レポートを希望する企業もあります。 

グループレポート 2.0を利用すると、組織はSaaSを重要な属性別に、詳細にレポートすることができます。SaaS管理は、すべてのSaaSアイデンティティを組織のアイデンティティ属性に自動的に関連付けて分析するため、以下のような難問にも答えることができます。

• Zoom Proのライセンスが最も多くプロビジョニングされているのはどの部門か、これらのライセンスは使用されているか  
• 英国子会社で、何名の従業員がMicrosoft Office 365で二要素認証を設定しているか 
• 新たに買収した企業にあるアプリケーションのうち、重複しており統合可能なものはどれか 

グループレポート 2.0 

SaaS管理の役割は、企業内のすべてのSaaSアプリケーションデータを集約し、可視化することです。過去にERP（企業資源計画）システム、費用管理プラットフォーム、クレジットカードとの統合によってもたらされたSaaS支出データも含まれます。  

当社は現在、調達システムからデータを取り込む機能の追加を済ませ、CoupaおよびSAP Ariba向けの新しいコネクターに着手しています。  

調達ソリューションとの統合により、新しい強力な検出ソースとデータをより堅牢に管理する機能がSaaS Managementに追加されました。これにより、セキュリティ管理者は承認されたアプリケーションのみが購入されるようにし、シャドーITを減らすことができます。また、更新日に関するコンテキストが提供されるため、アプリケーションへのアクセスの検証などのセキュリティ対策をよりタイムリーに実施できるようになります。

接続アプリケーション 2.0 

すべてのSaaSベンダーのアプリケーションの製品化、すべての製品のプラットフォーム化、そしてすべてのプラットフォームのマーケットプレイス化がますます進んでいます。これは、Google、Microsoft、Slackなどの主要なアプリケーションに加え、従業員がインストールしている多種多様な「アドオン」アプリケーション間でデータがやり取りされ、共有されていることを意味します。これらのアプリケーションの大部分は主要アプリケーションから権限を与えられており、多くの場合、セキュリティ部門は自社の環境に存在していることに気づいていません。

こうして企業に数多くのセキュリティリスクがもたらされます。例えば、アプリケーションが勝手にデータをダウンロードしたり、ユーザーのなりすましをする可能性があります。また、可視性やインサイトが提供されないため、こうしたことが起こっていることにさえ気づかない可能性があります。

例えば、Hey TacoはSlackやMicrosoft Teams向けの人気アプリケーションの1つです。このアプリケーションでは、従業員が感謝の印として仮想タコスを同僚と与え合うことができます。通常、従業員は、このアプリケーションを追加することで、プライベートチャネルやパブリックチャネルで共有されているすべてのメッセージを読むなどの権限をHey Tacoに与えていることに気がついていません。

このSaaS管理の強化により、お客様は第三者アプリケーションに付与されたシャドー権限を発見、分析、レポートできるようになります。また、レポート機能が強化されたことで、アクセス許可されたアプリケーションを詳しく調べ、アプリケーションに関連したリスクを見つけられるようになります。さらに、以下のような難問に答えられるようになります。

• 自分のOffice 365インスタンスに読み書きできる未承認アプリケーションはどれか

• 自分のSlackインスタンスにリスクの高いアクセスができる未承認アプリはどれか

SailPointの目標は、お客様が干し草の山の中から針を見つけ、このような接続アプリケーションによるアイデンティティリスクを防止できるようサポートすることです。 

お客様が強固なアイデンティティ・ガバナンス・プログラムをすでに実施しているか、セキュリティの取り組みの拡大を開始したばかりであるかにかかわらず、SaaS Managementはお客様の組織にすぐに価値を提供することができます。   

SaaS Managementがどのようお客様の業務負荷と組織のリスクを軽減するかを詳しく知りたい場合は、>こちらをクリックしてください。SaaS Managementの無料体験が可能です。

The post 干し草の山の中から針（シャドーIT）を探す appeared first on SailPoint.

アイデンティティは新しい概念ではありません。「デジタル・アイデンティティ」の考案以来、組織は数十年にわたり様々なアプローチを取りながらアイデンティティの課題に取り組んできました。

アイデンティティの機能は、一般にアイデンティティ・アクセス管理 （IAM）または ID管理（IDM）に分類され、アイデンティティ領域における複数のことなる分野を表しています。以下では、主要な3つのアイデンティティ分野（順不同）とその概要について説明します。

アクセス管理 

ひとつめの分野であるアクセス管理には、シングルサインオン（SSO）や多要素認証（MFA）が含まれます。これらはID管理全体の重要な要素であり、会社に入るためのカギ（本人確認など）を表しています。しかし、入ったときに何が起きるでしょうか。何をできるか、またはどこに行けるかを管理しているのは何でしょうか。付与されるアクセス権を決定するのは何でしょうか。

特権アクセス管理

次に、特権アクセス管理（PAM）は、その名の通り企業の最も特権的な認証情報を守るように設計されています。最重要の資産にアクセスするためのドアを開くカギを含む金庫のようなものと考えてください。しかし、ここでも疑問が生じます。これらの特権認証情報へのアクセス権を制御しているのは何でしょうか。それらの認証情報で何ができるのでしょうか。

誰が何にアクセスできるのか、その人たちにそのアクセスを与えるべきなのかを知るにはどうすればよいのでしょうか。3番目に、アイデンティティ・ガバナンス管理（IGA）の分野について説明します。

アイデンティティ・ガバナンス管理

IGA（アイデンティティ・セキュリティとも呼ぶ）は、今日のデジタル企業において最も重要なアイデンティティ分野です。SailPointはIGAのリーダーとして認知されており、世界中の組織が以下のようなアクセスに関する質問に答えられるようサポートしています。

• 誰に（または何に）アクセス権が与えられるべきか
• どのくらいの期間アクセス権が必要か
• 他のシステムを使用している際にもアクセス権が与えられるべきか
• 従業員が退職したり役割が変わった場合、どのようにアクセス権が削除されるか

また、アイデンティティ・セキュリティは、最低限の特権アクセスの実装および適用を基本原則とするゼロトラストの基礎を成しています。最近、SailPointは米国国立標準技術研究所（NIST）により米国連邦政府共同プロジェクト <ahref=」https://www.sailpoint.com/ja/blog/sailpoint-selected-for-nist-zero-trust-implementation-project/」>「ゼロトラスト・アーキテクチャの実装プロジェクト」 に参加するメンバーに、アイデンティティ・セキュリティ企業として唯一選ばれました。同プロジェクトは「国家サイバーセキュリティ向上」に関するバイデン大統領の行政命令に対応したものです。

アイデンティティ・セキュリティ重視の姿勢が声高に叫ばれ、強調されるのはなぜか

その理由は非常に単純です。テクノロジーの状況が変化したからです。アイデンティティ・セキュリティは、コラボレーションの強化と生産性の向上を推進し、職場を最新化する取り組みの中で何年もかけて進化してきました。しかし、パンデミックへの対応で、それまで緩やかに進んでいた企業のデジタル変革の取り組みが一夜にして加速しました。 

パンデミックは世界と働き方を変え、働き方を変革し（在宅勤務・リモート勤務）、事業の継続性と生産性を維持するために急速なデジタル変革を実現しました。クラウド全体とあらゆる場所にあるSaaSアプリケーションに、いつでもどこでもどのデバイスからでもアクセスできるようになりました。しかし、組織が立ち止まり、一息できると感じたまさにそのときに、高度化が進むフィッシング攻撃、ランサムウェア攻撃、ソーシャルエンジニアリング攻撃を仕掛ける攻撃者が登場し、組織は焦点のシフトを余儀なくされました。

このシフトは、単なるセキュリティポリシーや手順を微調整したり、境界のセキュリティ実装の見直しをしたりするだけの問題ではありません。組織のリソースにアクセスできる1人1人の従業員が境界になるとどうなるでしょうか。従業員が境界になると、アイデンティティがファイアウォールになりますが、すべてのアイデンティティが同じであるわけではありません。デジタル変革に合わせて、アイデンティティ自体を変革する必要があります。組織が機能の強化と高度化を武器にサイバーセキュリティ全体に立ち向かおうとする中、アイデンティティにはこの高度化と同じレベルで対応することが求められています。

アイデンティティ・セキュリティは、コンプライアンスとIGAの自動化の融合を表しています。SailPointは、プラットフォームにAIと機械学習を組み込むための継続的な投資とイノベーションによってアイデンティティ・セキュリティを強化し、セキュリティのエコシステム全体に不可欠なものにしています。

結局のところ、現在のセキュリティの方向性を踏まえれば、いつでもどこでもどのデバイスでもアイデンティティ・セキュリティを確保する必要があります。

The post アイデンティティの混乱 – 企業におけるアイデンティティの方向転換 appeared first on SailPoint.

もし皆さんが、私のよく知るCISOの方と同じ状況だとしたら、クラウドベースのサービスの急速な採用に伴う、差し迫った多くの課題に直面していることでしょう。情報技術の消費拡大に伴い、クラウドとSaaSの成長は加速しています。ユーザーは業務支援のために、クラウドのアプリやサービスを気軽にダウンロードして利用するようになりましたが、それは時にIT部門の明確な承認なしで行われています。SaaSのビジネスモデルそれ自体は、エンドユーザーの採用にかかっています。こうしたプラットフォームを増強することで無料トライアルを通じた「製品主導の成長」を推進したり、製品の持つスティッキネス（粘着性）を促進したり、ユーザーの勧誘を行ったりする、エンジニアとマーケティング担当者のチームも存在します。

デジタル化の加速と、テレワークへの移行が広まったことにより、SaaSの導入はさらに大きく成長しました。そして多くのCISOは、事業を行う上でのもう1つのコストであると考えているシャドーITの問題を実際には複雑化しています。シャドーITに関する詳細は、当社のブログでご覧いただけます。私の読んだレポートによると、SaaSアプリケーションをIT部門の承認なしで業務に利用していることを認めている従業員が80%に上ると推定している専門家もいました。

Gartnerは、シャドーITは大企業のIT支出全体の実に30～40%という大きな割合を占めていると述べています。すなわち、IT予算の半分近くが、IT部門の知らないところでチームや事業部門が購入（そして使用）しているツールに投資されているということです。承認されていないソフトウェアやサービスの多くは、承認されたものと機能が重複している可能性が高く、企業の投資効率を下げる原因となっています。全社的な収益への影響はどのくらいでしょうか？業界によって異なりますが、Deloitte Insightsが行った最近の調査によれば、平均すると企業は収益の3.28%をITに投資しています。銀行およびセキュリティ企業の投資額が最も高く（7.16%）、最も低いのは建設業（1.51%）です。       

さらに、シャドーITのツールは適切な診断が行われていないため、セキュリティ上のリスクとコンプライアンスの複雑化をもたらします。このリスクには、情報漏洩につながるセキュリティの欠如も含まれます。ITチームはこうしたソフトウェアやサービスのセキュリティを確保できず、効果的な管理や更新の実行もできません。Gartnerは、2022年までに企業に対して成功を収める攻撃の3分の1が、シャドーITリソースを標的としたものになると予測しています。Ponemonが試算した平均漏洩コストである386万ドルと、漏洩の起こる年間の平均確率である27.2%を使用すると、シャドーITによって発生する漏洩に関連するリスク費用は年間35万ドルとなります。

導入されているSaaS製品をどのように追跡していますか？企業の基幹アプリケーションだけでなく、すべてを含めてです。もしスプレッドシートをお使いだとしたら、それは貴社だけではありません。しかし、その方法では完全な可視性は得られません。存在する製品やサービスの一部を示しているに過ぎず、しかもスプレッドシートは更新された次の瞬間から情報が古くなります。このアプローチは時間の無駄であり、不正確な情報で埋め尽くされる原因となります。

このアプローチがどのような影響をもたらすのか、ご覧に入れましょう。

あなたはこんな話を耳にしました。財務部長が、クラウドファイルストレージアプリを介して、ルート階層のフォルダを外部の関係者に共有していたというのです。この不注意により、決して公開も共有もすべきでなかった詳細にわたる財務報告書へのアクセスが可能になり、給与や損益計算書などが意図せず流出しました。さらに、内部のみに読み取り専用で公開されるべきであった、その財務部長のチームのファイルやフォルダ、議論の内容が完全に公開され、財務ファイルや他の機密情報が検索エンジンによりインデックス作成可能となってしまいました。このケースでは、誰が責任を負うのでしょうか？財務部長ではありません。CISOとCIOなのです。

あるいは、企業で知らないうちに、1つではなく5つ（またはそれ以上）の重複するプロジェクト管理アプリがITの管轄外で実行され、社内全体に広まっているという状況はどうでしょうか。この場合、大幅なコストの重複とセキュリティ上の脆弱性が生じます。どれほどの機密データが他のアプリに保存されているでしょうか？私の個人的な経験から言わせていただくなら、こうした状況は非常によくあるものであり、おそらく皆さんの会社にも当てはまるものです。

シャドーITおよびSaaSのアクセスのリスクに光を当て、管理されていないSaaSアプリケーションの全貌を細部まで可視化することにより、企業は年間数十万ドルもの費用を節約できます。その結果、検出からガバナンスまでをカバーするシームレスなプロセスをSaaSアプリケーション環境全体にわたって推進し、新しく検出されたすべてのSaaSアプリ（およびアプリ内のデータ）に適切なセキュリティコントロールを適用することが可能になります。これは、企業全体にわたるシャドーITの問題を解決するのに役立ちます。

2022年までに、約90%の企業が、その事業運営をほぼ全面的にSaaSアプリケーションに依存するようになると推定されています。このITの新時代において、現代のクラウド企業を完全に保護する唯一の方法は、まずすべての隠れたSaaSアプリケーションを検出した後で、他の重要なビジネスアプリケーションに適用されているのと全く同じガバナンスコントロールを適用することです。この実現を後押しできるのはSailPointだけです。アイデンティティセキュリティにおけるリーダーであるSailPointは、企業が管理されていないSaaSアプリケーションに光を当て、適切なセキュリティコントロールを拡張して、適切な人だけがこうしたアプリケーションにアクセスできるようにします。その結果、ITチームはそうしたSaaSアプリをすばやく発見して管理下に置けるようになるとともに、誰がアクセス権を持っていて、そのアクセス権がどのように使われるかを理解するのに必要な可視性とインテリジェンスを得ることができ、過剰または不要となったアクセス権を削除または変更できます。SailPointによって、SaaSのリスクを軽減してコンプライアンスを向上させるだけでなく、ライセンスコストを最適化して無駄なIT投資を抑制することが可能になります。

The post なぜCISOとCIOはSaaSへのアプローチを再考する必要があるのか appeared first on SailPoint.