オリツェ・J・ウク氏は、ノースウェスタン・ミューチュアル・ウェルス・マネジメント・カンパニーのCISO、およびノースウェスタン・ミューチュアルのVP、BISO&IT GRCを務めている。
サイバーセキュリティ業界では静かな変化が進行している。それはマーケティングよりも、業界の成熟度の高まりを示すものだ。
過去2年間で、ゼロトラストという用語は取締役会の資料や製品ロードマップの最前線から姿を消した。それは静かに、より具体的で実体のあるものに置き換えられた:アイデンティティセキュリティだ。
この変化は偶然ではない。コントロールがペリメーター(境界)ではなく、アイデンティティに存在するという現実を業界が認識した自然な結果なのだ。
正しさと有効性
ゼロトラストは、暗黙の信頼がほとんどの侵害の根本原因であるという認識から生まれた。それは、サイバーセキュリティの中核原則として、多層防御(Defense in Depth)の自然な後継者だ。
しかし実際には、ゼロトラストは一種のロールシャッハテスト(見る人によって解釈が異なるもの)となった。すべてのセキュリティベンダーと社内チームは、自分たちが見たいものを見た:ネットワークセグメンテーション、クラウドポスチャー、マイクロサービスの堅牢化、エンドポイントテレメトリーなど。ベンダーによるこの用語の過剰使用により、本来その擁護者であるべきセキュリティ実務者でさえ、目を回し始めた。私自身も「バズワードビンゴカード」に入れてジョークを言ったことがある。
フレームワークとして、ゼロトラストは正しい方向を示しているが、それほど効果的ではなかった。率直に言って、ブランディングの問題がある。直感的でないのだ。サイバーセキュリティの専門家や他の技術者の間でさえ、ゼロトラストとは何か、なぜ組織がそれを追求すべきかを説明するには、段落を要する。
対照的に、アイデンティティセキュリティは直感的であり、したがってはるかに効果的だ。エレベーターに乗っている間に、なぜ組織がアイデンティティセキュリティを改善すべきかをCFOに説明できる。
アイデンティティがコントロールプレーンになった
このアイデンティティへの方向転換の最も明確な証拠は最前線から来ている。今日、セキュリティインシデントの大部分は、ファイアウォールやマルウェアではなく、侵害されたアイデンティティや過剰な権限を持つアイデンティティ、つまり単純な信頼決定の誤りに起因している。
企業がクラウドへの移行を深めるにつれ、新たな現実を発見した:人間以外のアイデンティティが人間のものより多いのだ。サービスアカウント、API、自動化トークンは、従業員の数を桁違いに上回るようになった。そうしたアイデンティティは、環境内で最も強力な権限を持つことが多い。
実際には、「アイデンティティが新たなペリメーター」という概念は単なるスローガンではなく、運用上の真実だ。すべての認証、権限付与、ポリシー決定は、現在その境界に存在している。
哲学から測定可能なプログラムへ
ここでアイデンティティセキュリティが登場する。それはゼロトラストの原則—最小権限、継続的検証、コンテキストに基づくアクセス—を取り入れ、取締役会が理解でき、CIOが行動でき、監査人が確認できるものに変える。
新興企業も既存の大手も、このフレーミングを使用しているのは驚くことではない。「アイデンティティセキュリティ」は所有できるもののように聞こえる。CISOに定義可能な範囲、測定可能な成熟度パス、進捗を示す明確な指標—可視性、権限の削減、権限の衛生管理—を提供する。
言い換えれば、それは願望を定義されたプログラムに変える。最もゼロトラストの進展を遂げている組織は、ゼロトラストについてほとんど語らないことが多い。彼らはアイデンティティについて語るのだ。
進歩の政治学
このリブランディングには文化的な実用主義もある。「ゼロトラスト変革」は、すべてのシステムとチームに影響を与える複数年にわたる運動のように聞こえる。さらに言えば、進捗の測定が難しく、目標とする最終状態が明確に定義されていないプログラムに、大幅な資金調達を求めているように聞こえる。それは変革のための変革のように聞こえるリスクがある。
比較すると、アイデンティティセキュリティはIAMロードマップの継続のように聞こえる。それは当然のことのように聞こえる。システムにログインするすべてのユーザー—従業員、請負業者、顧客—にはアイデンティティがある。もちろん、それらを保護したいと思うだろう。人間以外のアイデンティティの増殖に言及すると、それらを保護する必要性はステークホルダーにとってより明白に感じられる。
アイデンティティセキュリティに言及することで、CISOはネットワークセグメンテーションの哲学に関する議論に巻き込まれることなく、最も重要な場所—アクセス制御、自動化の安全性、認証情報の整合性—に努力を集中できる。ナラティブを絞り込むことで、CISOは技術組織の政治を回避しながら、実際の進展を遂げるのに役立つ。また、すでに限られているCISOの政治的資本を使い果たす必要性も減少する。
ナラティブは非常に重要だ。だからこそ、アイデンティティセキュリティは強力なブランディングを提供する。アイデンティティとアクセス管理は、多くの場合、当然の優先順位を得られない共有サービスのように聞こえる。一方、アイデンティティセキュリティは緊急性があり、明確にCISOの責務内にあるように聞こえる。
次に来るもの
脅威アクターは長い間、過剰な権限を持つユーザーアカウントを侵害し、環境全体に展開しようとしてきた。これにより、組織内で時間とともに蓄積されるユーザー権限を削減するモグラたたき的な取り組みが行われてきた。自動化とAI駆動のワークフローの拡大は、この問題にロケット燃料を注ぐことになるだろう。
明日の最大のセキュリティ課題は、侵害されたユーザーではなく、把握されていない機械のアイデンティティになるだろう。これらの非人間アイデンティティの量と種類が急速に拡大するにつれて、従来のアクセス管理プロセスはスケールしなくなる。確かに、エージェント型AIの台頭により、アイデンティティセキュリティプログラムを迅速にアップグレードする必要性が加速するだろう。
アイデンティティセキュリティ2.0は、人間だけでなく、機械間の信頼を管理することになる。それが起こるとき、次世代の実務者(またはマーケター)はおそらく新しい名前を発明するだろう。それでいい。重要なのはラベルではない。私たちがそれをどのようにパッケージ化するかに関係なく、信頼と検証の間のつながりを引き続き強化することが重要だ。
次の10年間は、私たちのアイデンティティフレームワークが、それらが管理するエンティティと同じくらい速く進化できるかどうかをテストすることになる。
静かな革命
ゼロトラストは常に正しい考えだった。アイデンティティセキュリティはそれを最終的に効果的にするかもしれない。情報セキュリティリーダーにとって、正しいことは最低限の要件だ。効果的であることが組織を前進させる。
