SimeioのCEOとして、ニック・ロウ氏は全体的なビジョンと戦略の推進に責任を負っている。
最近、私はあるCISO(最高情報セキュリティ責任者)に率直な質問をした。現在、アクティブなID管理下にあるアプリケーションはいくつあるか、と。そのCISOは12人のチームと4つのID・アクセス管理(IAM)プラットフォームを運用していた。取締役会は3年連続で予算要求をすべて承認していた。それでも、彼らはその質問に答えることができなかった。
サイバーセキュリティ業界は、より多くの人材とテクノロジーが答えだとリーダーたちに伝え続けている。しかし、そのアドバイスは彼らを失望させている。私が関わる組織は、人員不足でも資金不足でもない。ツールで過負荷状態にあり、それでも暗闇の中で運用しているのだ。
問題は人員数ではない。私が見出すより大きな問題は、企業がセキュリティ投資を、達成したことではなく、導入したもので測定していることだ。
ツールは導入されたが、成果は先送りに
フォーチュン500企業のセキュリティオペレーションセンターに足を踏み入れれば、おそらく見慣れたアーキテクチャを目にするだろう。3つか4つのIAMベンダーが同時に稼働している。ガバナンスプラットフォームは特権アクセスシステムと通信していない。2年前に設定されたアクセス管理レイヤーは、一度も見直されていない。ManageEngineの「Identity Security Outlook 2026」レポートは、企業の4社中3社近くが複数のIAMベンダーを並行して運用していることを確認している。
これらのツールは実際の問題を解決するために購入され、導入時には多くが実際に解決した。しかし、その後に起こることがプログラムを劣化させる場所だ。設定がずれていく。統合を構築したエンジニアが退職するか、配置転換される。組織的知識が蒸発する。リスクを軽減するはずだったツールは、静かに別の管理されていない資産になる。
テクノロジーを購入することと、それを効果的に運用することは、根本的に異なる能力だ。その間のギャップこそが、侵害が生じる場所なのだ。
採用では構造的問題は解決しない
IAMには、開発に数年を要する専門的な知識が必要だ。これらは一般的なセキュリティ職ではない。ガバナンスアナリスト、特権アクセスエンジニア、IDアーキテクトには、プロビジョニング、権限管理、ライフサイクル自動化、コンプライアンスマッピングにわたる深い流暢さが必要だ。
そのスキルの組み合わせは稀少で、高価で、維持が困難だ。退職するたびに、知識の空白が再び開く。
私が評価したIAMプログラムの大半は、初期段階またはアドホックな成熟段階に留まっている。取締役会メンバーにとって、その意味は重大だ。多くの大企業が、設計ではなく例外によってIDを管理している。そして、プログラムをアドホックから運用段階に移行させるために必要な人材は、利用できないか、作業を完了するのに十分な期間留まっていないのだ。
運用モデルの転換
CISOとその取締役会は、ツールを数えるのをやめ、成果を数え始める必要がある。
• アクセス違反の修復までの平均時間
• アクティブなガバナンス下にあるアプリケーションの割合
• 孤立アカウントの削減
• ID関連インシデント対応の速度
ツールが継続的に監視され、調整され、より広範なIDアーキテクチャにおけるその役割を理解する専門家によって運用されるとき、企業はリスクを軽減する。ダッシュボードに置かれているだけのツールはリスクを軽減しない。その区別こそが、IDを調達の問題ではなくオーケストレーションの問題として扱うべきだという主張の全てだ。
これは、IDプログラムが運用レベルでどのように構造化されるかを再考することを意味する。CISOがIDを調達サイクルではなく継続的な運用規律として扱うとき、プログラムは根本的に異なって見え始める。監視は定期的ではなく持続的になる。修復は四半期ではなく数時間で検出に続く。コンプライアンスの証拠は、監査前にパニックで集めるのではなく、継続的に生成される。
従来のコンサルティングモデルではこれを実現できない。大手企業は6カ月間チームを派遣し、成熟度評価を作成し、内部チームが実行する帯域幅を欠いている推奨事項を残して去る。契約は終了し、推奨事項は埃をかぶり、2年後に新しいパートナーとサイクルが再開する。
代わりに必要なのは、マネージドIDサービスを通じた持続的な運用能力だ。企業と継続的に並走し、内部スタッフが入れ替わっても継続性を維持し、態勢の測定可能な改善に対して説明責任を負う、深いID専門知識である。
取締役会が尋ねるべき質問
当社のIDリスクは四半期ごとに測定可能な形で減少しているか。
人材不足はおそらく解消されないだろう。ハイブリッドID環境は自ら単純化することはない。NIST、SOC 2、SOXからの規制圧力は増加する可能性がある。
私は、先行する組織は、IDを一連のツール購入として扱うのをやめ、管理され、測定可能で、継続的に改善される規律として扱い始める組織だと考える。
あなたの取締役会は、いくつのツールを購入したかを知りたいのではない。彼らはリスク態勢が改善しているという測定可能な証拠を求めている。それは成果に関する質問だ。そして、それは購買戦略ではなく、運用モデルを要求するものなのだ。
