"
ピーター・ヒル氏はGathidの最高経営責任者(CEO)である。
サイバーセキュリティの世界では、ファイアウォール、ゼロトラスト、MFA、デジタル境界について頻繁に議論します。しかし、公共事業、空港、エネルギー、製薬、製造施設などの高リスク環境では、IDガバナンスはデジタルアクセスだけの問題ではありません。それは物理的な存在に関わる問題なのです。
そして多くの組織において、その物理的レイヤーが最も脆弱な部分となっています。
デジタルシステムと物理システムが融合するにつれ、誰が何にいつアクセスできるかを管理する課題は無限に複雑になり、はるかに重大な結果をもたらします。物理的アクセスを検証し管理する能力は、もはや施設管理の問題ではありません。それはCISOの領域に完全に属する、重要なセキュリティ、安全性、コンプライアンスの懸念事項なのです。
物理的アクセスはIDの問題である
ほとんどの組織は、物理的セキュリティシステム(アクセスバッジ、改札、建物の入口)をIT環境とは別のものとして扱っています。それは10年前には理にかなっていたかもしれませんが、今日では誤った区分けです。
セキュアなドアを通過する人物が依然として自社の従業員であるか、あるいはその階、研究室、制御室へのアクセス権を持つべきかを検証できないのであれば、それは単なる運用上の見落としではありません。信頼、ポリシー、安全性の潜在的な侵害に直面しているのです。
これは特に、空港、データセンター、発電所、政府施設など、毎日何千人もの人々が機密サイトを行き来する組織で顕著です。不満を抱いた内部関係者、バッジアクセスをまだ持っている解雇された従業員、誤って設定されたアクセスプロファイル、これらのいずれかがあれば、結果は即座に深刻なものとなり得ます。
そして真実はこうです:ほとんどの環境において、アクセスデータの正確性を確信を持って証明できる人はいません。
物理的アクセスリスクの規模と複雑さ
一般的な例を見てみましょう。
ジェシカはCEOのエグゼクティブアシスタントでした。彼女はエグゼクティブスイートを含む高レベルの建物アクセス権を持っていました。数カ月後、ジェシカは営業チームの新しい役職に移りました。人事部はActive Directoryを更新し、IT部門は彼女の権限を再割り当てしましたが、彼女のバッジはまだエグゼクティブフロアへのアクセスを許可したままです。
さらに数カ月後、営業チームは4人の新しい営業担当者を雇います。マネージャーは新しい営業担当者のアクセス権を要求し、権限をカスタマイズする代わりに、「ジェシカと同じアクセス権」を割り当てるよう依頼します。突然、4人の若手スタッフがCEOのプライベート廊下へのアクセス権を持つことになります。
この状況を1万人以上の従業員、複数の地域、数十の安全な場所、そして地域の建物システムのウェブ全体に広げてみてください。問題は指数関数的に複雑になります。
関連する物理的セキュリティシステムは強力です。しかし、それらは独立して動作し、人事記録、IDディレクトリ、ポリシー実施レイヤーに接続されていないことがよくあります。アクセス権限は階層化され、入れ子になっており、検証なしに継承またはコピーされることがよくあります。
現在すべての人が有効な雇用状態を持っていたとしても、以下の質問に答えられる可能性は低いでしょう:
• 彼らは自分の役割に適したアクセス権を持っているか?
• 変更後に残っている権限はないか?
• サービス入口、エレベーターシャフト、バイパス経路など、あまりにも多くの人が悪用できる単一障害点はないか?
検証なきガバナンスは単なる推測にすぎない
一般的な回答は?「前回の監査は通過した」または「四半期ごとにアクセスを見直している」というものです。しかし、プロセスは証明ではありません。
自問してみてください:あなたは取締役会や規制当局の前に立ち、すべてのアクセスバッジが正確で、すべてのアクセスレベルが正当化され、すべての物理的IDが正しく管理されていると自信を持って宣言できるでしょうか?
ほとんどのセキュリティリーダーはできません。なぜなら、ITアイデンティティはログとユーザーディレクトリで確認できますが、物理的アクセスデータはサイロ化され、分散化され、検証されていないシステムに存在するからです。
たとえあなたが正しくても、それを立証することはできません。
そしてそれが問題なのです。
物理的アクセスはOTであり、同じ厳格さに値する
多くの点で、物理的セキュリティシステムは運用技術(OT)です。それらは多くの場合、別のネットワーク上で実行され、異なるチームによって管理され、企業のIAMプラットフォームに統合されることはほとんどありません。他のOTシステムと同様に、それらはしばしば「設定して忘れる」状態になり、そのアクセスリストは何年も変更されないままになることがあります。
リスクはデジタル脅威と変わりません:
• 元従業員の孤立したアクセス
• 古い役割に基づく過剰なアクセス権限
• 権限の所有者がいない、または定義された再認証プロセスがない
• 複数の施設にわたるアクセス権を持つ人物の可視性の欠如
しかし、物理的アクセスは、不正な物理的侵入が壊滅的な結果をもたらす可能性があるにもかかわらず、デジタルアクセスに適用される精査を免れることが多いのです。
前進:CISOの物理的アクセスプレイブック
では、セキュリティリーダーはどのようにして、運用を妨げることなく、物理的アクセスシステムにガバナンス、監視、信頼をもたらすことができるでしょうか?
以下に5つの原則を示します:
物理的アクセスデータを統合する。すべての地域とサイトにわたるすべての物理的アクセス制御システムからIDとバッジの記録を収集します。それらを全体的なIDエコシステムの一部として扱います。
HR、ディレクトリ、役割データと相関させる。各バッジ所有者を彼らの雇用記録、役割、チーム、ステータスにマッピングします。彼らの物理的アクセスが履歴ではなく、現在の職務責任を反映していることを検証します。
デジタルツインでアクセスをモデル化する。物理的アクセス環境の仮想表現を構築します。誰がどのゾーンにアクセスでき、どのシステムがそれらを管理し、どこで権限が重複または競合するかを確認します。
リスクの高いパターンと盲点を強調する。過剰なアクセスや継承されたアクセスを持つ個人を検出します。共有認証情報、未使用のバッジ、大量のアクセス権を持つ高リスクの入口を特定します。
施設とセキュリティチームに行動する権限を与える。上層部から変更を強制しないでください。サイトマネージャーと物理的セキュリティリーダーが、彼らの条件でアクセスの問題を検証し修正できるようにするローカライズされたレポートを提供し、それをサポートするデータを提供します。
物理的アクセスはセキュリティコントロールであり、付記ではない
今日の脅威環境において、IDガバナンスはファイアウォールで終わりません。それはすべてのカードリーダー、改札、エレベーター、ドアにまで及びます。特に物理的存在がリスクを意味する環境では。
デジタルIDに適用するのと同じ厳格さで物理的アクセスを検証していないのであれば、全体像を管理しているとは言えません。それは単に正しいことを願っているだけです。そして重要インフラストラクチャに関しては、希望は戦略ではありません。
