2020 年の 5 つのアイデンティティ優先事項の概要を説明したとき、世界はまったく異なる場所でした。それ以来、COVID-19 のパンデミックは、組織のビジネスの運営方法を永遠に変えました。また、仕事、学習、コラボレーションの方法も変わりました。変わっていないのは、組織の安全性と生産性を高める上で ID が果たす重要な役割です。
昨日、 統合されたセキュリティ、コンプライアンス、ID、および管理ソリューションの進捗状況を共有しました。 ID だけでも、前例のないペースで成長しています。2020 年 3 月の 3 億人の月間アクティブ ユーザー (MAU) から、今日では 4 億 2,500 万人に増加しています。世界中の組織が、セキュリティおよびコラボレーション アプリの採用を加速させています。しかし、これらの数字の背後には、組織が一歩先を行くようにたゆまぬ努力をしている、あなたのような顧客の物語があります。
従来のお客様との共同イノベーション ウィークに向けて準備を進め、お客様の課題とビジネス目標を振り返る中で、今年の 5 つのアイデンティティの優先事項を共有したいと思います。昨年概説した推奨事項の多くは、今でも当てはまります。実際、悪意のある人物が高度なサイバー攻撃技術を習得し続ける一方で、組織が柔軟な仕事の新しい標準を受け入れるにつれて、それらはさらに関連性が高くなります. 2021 年の推奨事項は、ID とセキュリティの基盤を長期的に強化するのに役立ちます。これにより、次に来るものに備えることができます。
1.ゼロトラストへの信頼
ゼロ トラストは今年戻ってきましたが、今回はリストのトップです。ゼロトラストの「侵害を想定する」という考え方は、ビジネス上の必須事項になっています。組織は、従来の企業ネットワーク保護の外側にあるアプリケーションを使用して、従業員がどこからでも柔軟に作業できるように防御を強化する必要があります。昨年パンデミックが発生したとき、私たちは多くの皆さんと協力して取り組みました。すでにゼロ トラストへの移行を進めている組織は、リモート ワークへの移行が容易であり、高度な攻撃を防御する能力を強化できることに気付きました。
良いニュースは、 昨年 7 月に調査したセキュリティ リーダーの 94% が、ゼロ トラストへの取り組みを既に開始していると回答したことです。ジャーニーのどこにいても、アイデンティティをアプローチの基盤にすることをお勧めします。多要素認証 (MFA) などの重要なツールを使用して資格情報の侵害から保護し、 Identity Protection のリスク評価、 継続的なアクセス評価、Intune アプリ保護ポリシー、 Microsoft Azure Active Directory (Azure AD) アプリケーション プロキシおよびマイクロソフト トンネル。
今後、(API 呼び出しまたは自動化を介して) アプリケーションを実行し、データにアクセスまたは変更することで人間のように振る舞うサービスが増えるにつれて、同じ原則を使用してそれらを保護します。必要なときに必要なデータにのみアクセスできるようにし、資格情報を悪用から保護します。
2. すべてのアプリへの安全なアクセス
これは昨年の私たちの最大の推奨事項であり、今日これ以上に重要なことはありません。 Azure AD を使用したアプリの使用の増加は、組織がより多くのアプリをシングル サインオンに接続していることを示しています。これにより、より多くのアプリへのシームレスで安全なアクセスが提供されますが、最高のエクスペリエンスは、すべてのアプリを Azure AD に接続することで得られるため、人々は自宅からすべての仕事関連のタスクを完了し、パンデミックの間もより安全に過ごすことができます。すべてのアプリを Azure AD に接続すると、ID のライフサイクルが簡素化され、制御が強化され、脆弱なパスワードの使用が最小限に抑えられます。その結果、より強力なセキュリティを低コストで実現できます。Forrester は、このような移行により、平均的な企業が 3 年間で約 200 万ドルを節約できると見積もっています。
Azure AD アプリ ギャラリーには、シングル サインオンとユーザー プロビジョニングの展開を簡素化する、事前に統合された何千ものアプリが含まれています。 MFA と条件付きアクセスを従来のオンプレミス アプリ (ヘッダー ベースのアプリを含む) に拡張する場合は、 Azure AD アプリケーション プロキシ、またはセキュリティで保護されたハイブリッド アクセス パートナーのいずれかが提供する統合ソリューションを使用してください。移行ツールを使用すると、すべてのアプリの認証を最新化し、ADFS の実装を廃止できます。これにより、 オンプレミスの ID システムで特に検出が困難な攻撃を防ぐことができます。
また、組織全体でアプリを管理できる管理者の数を制限し、MFA と条件付きアクセスで特権アカウントを保護し、 Privileged Identity Managementで管理者ロールへの Just-In-Time (JIT) 昇格を要求することも重要です。
開始点: Azure AD を使用して従業員を必要なすべてのアプリに接続する方法を学習します。
3. パスワードを使わない
パスワードが人々にとって覚えにくく、ハッカーが推測したり盗んだりしやすいものである限り、私たちは「 パスワードを使わない」というスローガンを繰り返し続けます。昨年から大きな進展が見られました。5 月には、Azure AD と Microsoft コンシューマー アカウント全体で 1 億 5000 万を超えるユーザーがパスワードレス認証を使用していることを共有しました。 11 月までに、Windows Hello for Business、Microsoft Authenticator、および AuthenTrend、Feitian、Yubico などのパートナーからの FIDO2 セキュリティ キー全体で、Azure AD だけでのパスワードレスの使用は前年比で 50% 以上増加しました。
パスワードレス認証は、最も高度なサイバー攻撃で悪用されるものを含め、多くの ID 攻撃ベクトルを最小化または排除できます。少なくとも、管理者レベルのアカウントでは、パスワードレス化は交渉の余地がないはずです。さらに、従業員に迅速で簡単なサインイン エクスペリエンスを提供することで、時間を節約し、フラストレーションを軽減できます。 Forrester は、単一の ID ソリューションに統合し、1 つの資格情報セットを提供することで、各従業員が週平均 10 分、年間 40 時間以上節約できると見積もっています。パスワードをリセットしたり、フィッシング攻撃を軽減したりする必要がないことによるさらなる節約を想像してみてください。
どこから始めればよいか: Forrester のレポート「 The Total Economic Impact™ Of Securing Apps With Microsoft Azure Active Directory 」をお読みください。
4. 安全な設計のアプリを選択して構築する
アプリケーションに対する攻撃が増加しているため、アプリを Azure AD と統合するだけでなく、設計上セキュリティで保護されたアプリを展開することが重要です。 Microsoft Authentication Library (MSAL)を使用して、自分で作成したアプリに安全な認証を組み込みます。理想的には、アプリもパスワードレスにする必要があるため、証明書などの強力な資格情報を使用していることを確認してください。アプリが他の Microsoft サービスと対話する場合は、 Microsoft Graphの ID API を利用してください。可能な限り、検証済みの発行元のサードパーティ アプリを選択してください。 発行元の検証バッジを使用すると、アプリが正規のソースからのものかどうかを簡単に判断できるため、ISV パートナーが検証済みの発行元になることをお勧めします (まだ承認されていない場合)。
ほとんどのアプリは会社のデータへのアクセスを要求するため、管理者は権限を付与する前に同意要求を確認することを選択できます。リクエストのレビューを怠るとセキュリティ上のリスクが生じますが、すべての従業員が使用するすべてのアプリに対してこれを行うと、時間とコストがかかりすぎます。幸いなことに、 アプリの同意ポリシーや管理者の同意ワークフローなどの新機能により、すべての要求を確認したり、全責任を従業員に委任したりするという極端な選択を避けることができます。アプリのポートフォリオを定期的に確認し、権限が過剰なアプリ、疑わしいアプリ、または非アクティブなアプリに対してアクションを実行します。
開始する場所: Microsoft Authentication Library と Microsoft Graph APIを使用するようにアプリケーションを更新し、 アプリの同意ポリシーと発行者の検証方法を採用し、 ID プラットフォームのベスト プラクティスに従います。
5. コラボレーションの境界を壊す
私たちは、パートナー、顧客、最前線の従業員がビジネスに不可欠であることを理解しています。また、管理者は機密データを保護するための可視性と制御を必要とする一方で、アプリやリソースへのシンプルで安全なアクセスを必要としています。
直感的なセルフサービスのサインアップ フローと、既存の電子メールまたはソーシャル アカウントを使用する利便性により、外部ユーザーのコラボレーションを簡素化します。最前線の従業員は、Azure AD により、1 回限りの SMS パスコードでサインインするだけで簡単にアクセスできるため、新しい資格情報を覚えておく必要がなくなります。最前線のマネージャーは、 マイ スタッフ ポータルを使用して、ヘルプ デスクや IT 部門に頼ることなく、SMS サインインのセットアップ、パスワードのリセット、リソースや共有デバイスへのアクセス許可を簡単に行うことができます。
共通のツールセットを使用してすべての ID を管理すると、可視性と制御が容易になります。サービス、リソース、およびアプリへのきめ細かいアクセス制御のために、同じ条件付きアクセス ポリシーを適用できます。アクセス レビュー キャンペーンを設定するか、Microsoft Teams および Microsoft 365 グループのすべてのゲスト ユーザーに対して自動化されたアクセス レビューを使用することで、外部ゲストが歓迎されたまま滞在しすぎず、必要なリソースのみにアクセスできるようにすることができます。
どこから始めればよいか: Azure AD の外部 IDの詳細と、Azure AD を使用して最前線の従業員に力を与える方法について学習します。
未来に向けて今すぐ始めましょう: 検証可能な資格情報を確認してください
パンデミックの間、リモートワークだけでなく、リモートでの採用もサポートする必要がありました。人々は通常、身元と資格を確認する書類を手に面接に現れます。特にエッセンシャル ワーカーの場合など、採用を迅速に行う必要がある場合は特に、候補者をリモートで精査するのはより複雑です。
マイクロソフトと業界をリードする ID 検証パートナーは、検証可能な資格情報と分散型識別子のオープン スタンダードを使用して、既存の ID 検証の慣行を変革することにより、ID のフロンティアを押し進めています。検証可能なクレデンシャルは、運転免許証、パスポート、卒業証書などのデジタル版の書類です。このパラダイムでは、個人は ID 検証パートナーで資格情報を一度検証し、それを Microsoft Authenticator (およびその他の互換性のあるウォレット) に追加して、信頼できる方法でどこでも使用できます。たとえば、ギグ ワーカーは、運転免許証と写真をデジタルで確認し、それを使用して配車サービスや食品配達会社に雇われることができます。
このようなアプローチにより、ID ライフサイクル全体でプライバシーを保護しながら検証を改善できます。つまり、オンボーディング、資格情報の有効化、アプリやサービスへのアクセスの保護、紛失または忘れた資格情報の回復などです。私たちは、英国の国民保健サービスや、軍人や退役軍人が高等教育に入学し、民間人としてのキャリアを飛躍的にスタートさせるのを支援する米国国防総省のプログラムである MilGears などの顧客と共に、この技術を試験運用しています。
開始する場所: 分散型 ID に関する Microsoft Ignite セッションを視聴し、分散型 ID 財団に参加してください。
最優先事項がインフラストラクチャとアプリのモダナイズであろうと、ゼロ トラスト セキュリティ戦略の実装であろうと、私たちはあらゆる段階でお客様を支援することをお約束します。デジタル トランスフォーメーションの旅を前進し続けるために必要なアイデンティティ イノベーションを把握するために、フィードバックをお送りください。
Comments