セキュリティ コミュニティは、サイバー脅威に対して世界をより適切に配置するために、継続的に変化し、成長し、互いに学び合っています。コミュニティの声ブログ シリーズの最新記事では、マイクロソフト セキュリティシニア プロダクト マーケティング マネージャーのBrooke Lynn WeenigがAlissaと話しています。 Jay” Abdullah, Ph.D. 、Mastercard の副最高セキュリティ責任者であり、オバマ政権の大統領府の元副最高情報責任者。以下の考えは、Microsoft の見解ではなく、Alissa の見解を反映したものであり、法的助言ではありません。このブログ投稿では、Alissa がサイバーセキュリティの将来におけるデータと ID の役割について語っています。
Brooke: どうやってサイバーセキュリティに入ったのですか?
Alissa : サバンナ州立大学の学生時代にラジオ DJ として活動を始めました。もともと私はマスコミュニケーションを専攻していましたが、大学の英語の教授から、それをやめるように勧められました。同時に、数学の教授から、専攻を数学に変更するように勧められていました。結局、数学を専攻することにしました。
卒業後、数学の学位を利用して情報技術に取り組み、国防総省でのキャリアを開始しました。認定された暗号技術者として、私は情報技術と情報保証の間を行き来しました。どちらもサイバーに隣接した分野です。キャリアを通じて、私は両方の分野で成長できる役割を探してきました。このアプローチにより、2012 年にバラク・オバマ大統領からホワイトハウスの技術 (サイバーセキュリティを含む) を主導するよう任命されるまで、私は民間部門を横断しました。本当に離陸しました。
Brooke: 組織のサイバーセキュリティ アプローチにおいて包括的なID およびアクセス管理 (IAM)が必要なのはなぜですか?
アリッサ: サイバーセキュリティの未来について考えてみると、それはさまざまな側面の融合です。その 1 つがデータの未来です。
データの関連性は、さまざまな側面に基づいて構築されます。具体的には、データに関連付けられた ID の重要性を強調します。それが人間の ID であるか、マシンの ID であるか、その他のものであるかに関係なくです。したがって、サイバーセキュリティの現在の状況と将来の状況について話すとき、それは IAM に大きく依存しています。それは、データとシステムに結びついたアイデンティティにかかっています。それは、必要なものに、必要なときに、必要な方法でアクセスできるかどうかにかかっています。
将来の戦略には、必要なものだけを含めるように制限しながら、必要なものを提供する境界が含まれています。そうすれば、悪い日を見越して脅威の状況を縮小できます。強力な IAM 戦略はまさにそれを提供します。適切な量のアクセスを許可しながら、さまざまな ID の側面を保護します。サイバーセキュリティの未来は、ID とアクセスをどれだけうまく処理できるかにかかっています。
Brooke: 組織内で最も一般的なアクセス セキュリティ ギャップは何ですか?
アリッサ: このギャップを一言で表すなら、文化です。それが最も一般的なギャップです。私が言いたいのは、私たちは自由に自由にアクセスできるという考えに慣れているということです。ゼロ トラストの考え方への変化はパラダイム シフトであり、多くの環境でしばしば不安を引き起こす可能性があります。一部の開発者やデータ所有者は、ゼロ トラスト環境で提供される制限がイノベーションに影響を与えることを懸念しています。正しく行われると、イノベーションが強化され、セキュリティがエッジまで押し上げられます。
Brooke: 侵害されたパスワードは、攻撃者にとって最大の侵入経路です。これに対処するために組織は何をすべきか?
Alissa : 私が推奨する最も簡単なソリューションは、パスワードのない環境ですが、正直なところ、それ自体で攻撃を防ぐソリューションはありません。 多要素認証疲労を含む攻撃や、侵害されたアカウントに多要素認証の承認を提供するために敵対者が従業員に支払っている攻撃を耳にしています。ほとんどの環境にとって最善のステップは、パスワードレスに移行することですが、作業はそれだけではありません。セキュリティを意識した文化は、追加の防衛線となります。
ブルック: バイデン大統領の 2021 年のサイバーセキュリティに関する大統領令は、すべての政府機関にゼロ トラスト アプローチを義務付けました。民間組織は大統領令から何を学ぶことができますか?
アリッサ: 行政命令は、公共部門と民間部門の両方の組織が強力なパートナーシップと協力的な作業関係を通じて一緒に行っていた作業を実際に正式なものにしました。ゼロトラストとその実装について、一緒に、または個別に多くの会話をしてきました。優れた基盤が開始されたことを継続し、さまざまな環境間で学習を拡大できます。
Brooke: Microsoft は最近、Cloud Knox の買収に基づいて、 Microsoft Entra製品ファミリ内でマルチクラウドのMicrosoft Entra Permissions Managementをリリースしました。これには、 Microsoft Azure Active DirectoryとMicrosoft Entra Verified IDも含まれます。強力な ID 戦略の一環として、アクセス許可管理が重要なのはなぜですか?
アリッサ: まず、2 つの仮定から始めましょう。
まず、未来の多くはアイデンティティに基づいています。 ID 情報をデータから分離し始めると、データの関連性が低下します。次に、将来はクラウドベースのアーキテクチャに大きく依存します。これらは絶対的なものではありませんが、今日私たちが知っている未来を説明する声明です.
これらの両方を優れた出発点として利用すると、クラウド環境で資格と権限を管理する必要性に簡単に移行できます.私たちは、アイデンティティの見方において、近視眼的であってはなりません。ユーザー ID をシームレスに管理したいのと同じように、クラウド内のこれらの資格も同様に重要であり、すべてのクラウド プラットフォームで資格を追跡する必要はありません。統合モデルは、可視性、自動化、およびポリシー管理に役立ちます。
Brooke: 強力なセキュリティ基盤のために、組織がクラウド プラットフォームに組み込むことを期待すべきセキュリティの基本要素は何ですか?
Alissa : クラウド プラットフォームには、データに必要なレベルのセキュリティを提供する、カスタマイズ可能なセキュリティ要素が多数あります。考えられる例としては、データ暗号化、イベント ログによる侵入検知、アプリケーション セキュリティ保護などがあります。
データ、アプリケーション、およびインフラストラクチャのレイヤーでセキュリティ保護を考えることが重要です。クラウド プラットフォームには、各レイヤーを保護し、状況に応じたセキュリティ レベルをクラウド サービス プロバイダーと交渉できるオプションがあります。
Brooke: 組織が強力なデジタル IDフレームワークのために実装したことを絶対に確認する必要がある 3 つのことは何ですか?
アリッサ: まず、強力なデジタル ID フレームワークには多くのレイヤーが含まれている必要がありますが、それらのレイヤーを複雑なものと見なすことはできません。レイヤーは、環境内のデジタル ID のセキュリティ状態を明確にするのに役立ちます。
第二に、最大のメリットが得られるように、解決策をタイムリーに採用して実行する必要があります。多要素認証やパスワードレスなどのソリューションは、デジタル ID フレームワークを強化するだけでなく、ユーザー エクスペリエンスも強化します。
第三に、ID フレームワークは包括的である必要があります。 ID には非常に多くの種類があり、フレームワークには、従業員、マシン、サービス、クラウドなど、すべての ID の管理とセキュリティを含める必要があります。 1 つの領域を含めることを怠ると、その領域を敵に開放する可能性があります。
もっと詳しく知る
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments