CISOが理解すべきアイデンティティーガバナンス/管理(IGA)の重要性と役割Gartner Insights Pickup(347)

アイデンティティーガバナンス/管理(IGA)は、さまざまな環境にわたってデジタルアイデンティティーのライフサイクル管理とコントロールを担う。本稿では、最高情報セキュリティ責任者(CISO)に必要な3つのステップを紹介する。

» 2024年04月19日 05時00分 公開
[Sagar Patel, Gartner]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

ガートナーの米国本社発のオフィシャルサイト「Insights」などのグローバルコンテンツから、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

 アイデンティティーガバナンス/管理(IGA)は、さまざまな環境にわたってデジタルアイデンティティーのライフサイクル管理とコントロールを担う。IGAの統合が不十分な場合、アイデンティティー/アクセス管理(IAM)の有効性と成果のレベルに直接影響し、サイバーセキュリティ戦略との整合性も損なわれる。そのため、最高情報セキュリティ責任者(CISO)は、広範なIAMとサイバーセキュリティの領域におけるIGAの重要性と役割を理解することが極めて重要だ。

 IGAの成果がサイバーセキュリティ戦略とサイバーセキュリティプログラム全体に貢献するように、CISOは以下の3つのステップを踏む必要がある。

IGAの機能と潜在的価値を特定し、評価する

 IGAが提供すべき一般的かつ基本的な機能には、以下が含まれる。

  • デジタルエコシステム全体にわたって、社内の複雑なアクセス権とアイデンティティーのリポジトリを管理する
  • アイデンティティーとアクセス制御を管理するポリシーベースのアプローチを提供する
  • ユーザープロビジョニング/プロビジョニング解除のワークフロー自動化を促進する

 IGAに関連する社内のステークホルダーは、IGAの責任とアカウンタビリティ(説明責任)のモデルに基づいて、IGAの成果を測定する明確な方法について合意しなければならない。

 IGAの重要な役割および関連する課題を理解していないと、サイバーセキュリティがデジタルイノベーションを実現し、ダイナミックな成長に向けて設定された高いビジネス目標をサポートする機能に直接影響を与える。

 この機能を確保するには、ユースケースに沿ったエンドツーエンドのパフォーマンス/リスク管理の指標を確立し、測定し、改善と最適化のために継続的に見直すことが不可欠だ。このアプローチは、ビジネス主導の変革の取り組みを、より迅速かつ正確に、直接統合し、動的に実現するものでなければならない。

IGAをサイバーセキュリティ戦略に組み込む

 CISOは、IGAが現在提供すべき機能を十分周知し、その提供で十分な実績を挙げ、IGAを将来にわたってサイバーセキュリティ戦略と整合させる必要がある。

 IGAのソリューションと機能は、ほとんどの企業にとって非常に価値がある。だが、その実装は困難で多大なコストと時間がかかる場合がある。IGAの導入に着手する前に、導入を成功させるには何が必要かを包括的に理解することが不可欠だ。

 CISOは特定のIGAソリューションを入手する前に、IGAの機能がサイバーセキュリティ戦略の文脈で適切に評価、検証される仕組みを作っておく必要がある。

IGAの価値をサイバーセキュリティプログラムに統合する

 IGAの目的は、適切な人だけが適切な理由で適切なタイミングにおいて、必要なリソース(アプリケーションやデータなど)に正しくアクセスすることを保証することにある。CISOはIAMの担当者と協力し、IGAの成果がサイバーセキュリティプログラムに貢献するようにしなければならない。

 CISOはIAMチームと共に、シンプルかつ効果的で整合性のある、IAMとIGAの合理的な共通基準を確立しなければならない。これにより、サイバーセキュリティプログラムの目標に対するIGAの貢献を維持し、継続的に最適化することで、統合的な価値を提供できる。

 効果的なIGAは、大幅にアイデンティティープロセスの成熟度を高め、コンプライアンスを促進し、不正アクセスのリスクを低減する。また、アイデンティティーライフサイクル管理プロセスの制御をより可視化し、より効率化する。

 IGAの機能をより良く理解し、サイバーセキュリティプログラムと整合させるには、CISOは以下のことを念頭に置く必要がある。

  • アイデンティティーガバナンス

 アクセス認証、職務の分離/管理の分離、役割管理、ロギング、アクセスのレビュー、分析、レポートのプロセスとポリシーを含む。

  • アイデンティティー管理

 アカウントと認証情報の管理、ユーザーとデバイスのプロビジョ ニング/プロビジョニング解除、エンタイトルメント管理を含む。

 IGAの成果を、ビジネス目標に基づくサイバーセキュリティプログラムの取り組みに関連付ける価値主導の成果測定指標を採用することは、IGAとIAMの機能において適切なレベルの保証を達成するための重要なポイントだ。

出典:The Importance and Role of Identity Governance and Administration for CISO(Gartner)

※この記事は、2024年2月に執筆されたものです。

筆者 Sagar Patel

Director Analyst at Gartner


Copyright © ITmedia, Inc. All Rights Reserved.

@IT

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。