NIS2 準拠を達成するには、ID セキュリティが重要な役割を果たします。 XNUMX の要件のうち XNUMX つはこれで解決できます。したがって、ID セキュリティは、EU が定めたベスト プラクティスでも重要なツールとして言及されています。セイルポイント。
17 年 2024 月 2 日は、NISXNUMX ポリシーの発効日です。企業がまだ導入を始めていない場合は、今がその時です。
情報システムのリスク分析とセキュリティ
情報システムのセキュリティ概念には、次のようなアイデンティティに関するルールが含まれている必要があります。
- 一般アカウントではなく指定アカウントを使用する。
- 特権アカウントの制御。
- 最小特権とゼロトラストの原則の施行。
- 組織に脅威をもたらす、危険なアクセスを持つ個人を積極的に特定します。
職務分掌 (SOD) も、ビジネス リスクの制御と防止において重要な役割を果たします。これらのルールの有効性は、リスク軽減の観点から評価する必要があります。 ID セキュリティは、IT アクセスの現実に対する洞察と、ポリシーの逸脱を検出して修正するためのツールを提供します。
サプライチェーンのセキュリティ
NIS2 のもう XNUMX つの重要な側面は、サプライ チェーンのセキュリティです。企業は、サプライヤー、ベンダー、パートナー、請負業者など、従業員以外の個人情報に対する攻撃によって間接的に脅かされることが増えています。サプライヤーへの攻撃が成功すると、企業自体が危険にさらされ、場合によっては行動できなくなる可能性があります。この種のサプライ チェーン攻撃は、マルウェアやランサムウェア攻撃よりも一般的になってきており、非常に真剣に受け止める必要があります。サービス プロバイダー、サプライヤー、コンサルタント、パートナーのアイデンティティを含むすべてのアイデンティティを管理し、保護することが重要です。必要なリソースに適切なタイミングでのみアクセスできるようにすることが常に重要です。
リスク管理措置の有効性
組織は多くの場合、セキュリティ対策の有効性を評価したり、これらの対策を行っても残る脆弱性を特定したりすることが困難です。多くの人は、従業員が役割を変更したり会社を退職したりするときに、従業員へのアクセスを直ちに取り消すことが難しいと感じています。欧州委員会は、重要インフラ事業者がゼロトラスト戦略と ID およびアクセス管理を導入することを推奨しています。このようなアプローチは、許可された当事者のみが最も必要なシステムに、可能な限り低い権限でアクセスできることを意味します。これは、パートナーや請負業者のアクセスを管理するために不可欠です。
基本的なサイバー衛生
確実なサイバー衛生を確保するには、企業はすべてのハードウェアとソフトウェアの概要と、それらに誰がアクセスできるかを把握する必要があります。これにはパスワードの衛生管理も含まれます。従業員がすべてのアカウントに同じパスワードを使用することを避けるために、企業はアイデンティティ ガバナンスに頼ることができます。これにより、潜在的なセキュリティとコンプライアンスのリスクを軽減しながら、成長と変化を続ける IT 環境への自動アクセスが保証されます。
NIS2 ポリシーでは、従業員、パートナー、社内全員がサイバーセキュリティに関するトレーニングを受け、意識を高めることも求められています。 NIS2 の導入に関する IDC のレポートによると、欧州企業の 72 分の XNUMX (XNUMX%) は依然としてサイバーセキュリティ トレーニングの提供に取り組む必要があります。
アクセス制御と資産管理
NIS2 ガイドラインでは「人員の安全」についても言及されています。これは非常に幅広い分野ですが、ユーザーの管理がサイバーセキュリティの重要な側面であることも示しています。ユーザーの標的化はサイバー犯罪者にとって中心的な手法であり、人間とマシンの ID に対する役割ベースのアクセス制御では、各ユーザーの役割に応じて異なるリソースと承認レベルが使用されます。これにより、企業は、AI と ML を使用してポリシーを積極的に開発および実装するアイデンティティ ガバナンス アプローチを採用できるようになります。同時に、ユーザーとアクセスされるリソースの両方のコンテキストも含めることができます。これにより、IT チームとセキュリティ チームの管理負担が軽減され、サイバー犯罪者が悪用する前に脆弱性を確実に軽減できます。
「ユーザー アクセスに関するリアルタイムの洞察により、アイデンティティ セキュリティ体制の高度な指標を作成できます。これは、所有者のないアカウントや共有アカウント、非アクティブ化されていないアカウント、または高い権限を持つアカウントに特に当てはまります。また、未使用の権利や、会社にとって有害となる可能性のあるアクセス権の蓄積にも役立ちます」と SailPoint の主席アイデンティティ ストラテジスト、クラウス ヒルドは述べています。 「これにより、リスクの高い状況を特定し、是正措置を優先的に行うことができます。また、AI の使用は、追加の洞察と是正措置のための具体的な提案を生成するのに役立ちます。その結果、応答時間が大幅に短縮され、全体的なセキュリティ レベルが向上します。アクセスの現実についてもっと知られれば、IT セキュリティに関するより適切な意思決定が可能になります。」
詳細については、SailPoint.com をご覧ください
セイルポイントについて
SailPoint は、現代の企業向けの ID セキュリティのリーダーです。 企業のセキュリティは ID と ID へのアクセスに始まり、ID へのアクセスで終わりますが、ID を管理および保護する能力は、今や人間の能力をはるかに超えています。 人工知能と機械学習を活用した SailPoint ID セキュリティ プラットフォームは、適切な ID とリソースへの適切なレベルのアクセスを適切なタイミングで提供します。