アカウント乗っ取り、新規アカウント詐欺、認証情報ベースの攻撃などのサイバー脅威が増加し続けているため、企業は効果的なサイバーセキュリティを確保するために、積極的にアイデンティティおよびセキュリティベンダーを統合する必要があります。ベンダーを統合することで、継続的なポリシー評価とゼロ トラストをサポートする、コンテキスト認識型の ID ファーストのセキュリティ体制を実現できます。このシリーズの最初の投稿では、ベンダー統合の問題点、ユースケース、ビジネス推進要因について確認しました。この投稿では、統合の必要性の評価から、進化する脅威、新しい規制、その他の変化するビジネス ニーズに適応するための継続的な更新の実装まで、サイバー セキュリティの意思決定者がベンダー統合戦略を計画するのに役立つガイドを使用して、その議論を継続します。
統合ニーズを評価する
統合のニーズを評価することは、ベンダーを統合するための第一歩です。まず、サイバーセキュリティに悪影響を及ぼす可能性のある ID サイロを防ぐために、リスク評価と ID ライフサイクル全体の制御に不可欠なコンポーネントをネイティブに統合するプラットフォームを選択します。これらの必須コンポーネントには次のものが含まれます。
- ID 証明とデータ検証により、登録時に最高レベルの保証が得られ、顧客確認 (KYC) などの規制に煩わしさなく準拠できます。
- 強力な認証と PSD2 への準拠を実現する、パスワードレス、シングル サインオン (SSO)、多要素認証 (MFA) 機能。
- きめ細かなアクセス制御と、ユーザーの個人識別情報を安全に保存および管理するための集中化されたスケーラブルなユーザー ストアを備えたオンボーディング用の ID 管理。
- ユーザー ジャーニー全体のリスクのある瞬間におけるリスク、信頼、詐欺、ボット、および行動の推奨事項を検出および対応するためのサービス。
- エンドツーエンドの ID セキュリティ制御をリアルタイムで実行するためのオーケストレーション サービス。
ベンダー統合のための行動計画を策定する
統合のニーズを評価した後、ベンダー統合のアクション プランを作成する必要があります。まず、さまざまなチャネル、アプリケーション、ビジネス ラインにわたる複雑なユーザー ジャーニーのオーケストレーションと意思決定ポリシーの集中実装を可能にするパートナーとなる ID セキュリティ ベンダーを選択します。特定のビジネス ニーズに合わせてコントロールを調整した後は、ID、セキュリティ、不正対策チーム間のコラボレーションを促進し、変化するビジネス ニーズに合わせてユーザー ジャーニーを迅速に更新できるように、継続的な更新を計画する必要があります。
適切なIDセキュリティベンダーを探す
企業にとって、統合を支援する適切なベンダーを選択することは難しい場合があります。企業は、複雑なユーザー ジャーニーを実行し、データに基づく意思決定を実装するために、多数のサードパーティ サービスやデータベースに接続する必要があることが多いためです。複雑な統合を必要とするベンダーは、ベンダー ロックインや ID サイロにつながる可能性があり、盲点や脆弱性を減らすのではなく、増やす可能性があります。これを防ぐには、次の機能を提供できる ID セキュリティ ベンダーを選択してください。
- ID ライフサイクル全体にわたってリスク評価と制御を開発および実装するためのユーザー ジャーニー マッピング。
- 一貫したポリシーの適用とデータ保護のためのデータ マッピングと正規化。
- リスクを管理し、機密データへのアクセスを制御するためのユーザー ジャーニー コントロール。
- ポリシーの適用とセキュリティ イベントへの対応のためのイベント レベルのポリシー定義。
- 必要に応じてアプリケーション ジャーニーを即座に適応させる機能により、統合の変更が簡素化されます。
- ベンダーとの関係、依存関係、統合の管理。
集中化された意思決定ポリシーを開発する
顧客 ID およびアクセス管理におけるベンダーの拡散の主な要因の 1 つは、リスク、信頼、詐欺、ボット、および動作に関する意思決定ポリシーを一元化することが難しいことです。多くの場合、多数のテレメトリ ストリームをつなぎ合わせて、リスクの瞬間に対処するための実用的な洞察を提供するシグナル リスク シグナルを作成する必要があります。ヒューリスティックなルールセットに基づくDIYアプローチは調整が難しく、開発と更新に長いサイクルを必要とするが、 機械学習ベースのリスクエンジンはブラックボックスであることが多い 推奨の理由について十分な洞察を提供していない。その結果、企業は、個々のリクエストのコンテキストやリスクに応じてユーザー ジャーニーをカスタマイズするのではなく、ユーザー ベース全体に適用する鈍い制御に頼ることが多くなります。これにより摩擦が増加し、離職率が上昇したり、登録数が減少する可能性があります。意思決定ポリシーを計画する際、ID 制御は万能ではなく、ユーザーおよびアプリケーション固有のリスク シグナルに合わせて調整する必要があります。これにより、疑わしい要求をブロックまたは異議を申し立てながら、信頼できるユーザーに対する摩擦を最小限に抑えることができます。これらのポリシーにより、ユーザー ジャーニー全体にわたってリスクを継続的に評価する強力なセキュリティを維持しながら、シームレスなユーザー エクスペリエンスを実現できます。
ユーザージャーニーの調整
一元化されたリスク エンジンからの実用的なリスク分析情報を使用することで、企業はユーザー ジャーニーを調整し、ユーザーにとってスムーズでスムーズなエクスペリエンスを実現できます。アイデンティティ セキュリティのエンタープライズ オーケストレーションでは、リスクと信頼のシグナルにリアルタイムで対応し、必要な場合にのみデータを収集し、豊富なメトリックと分析を使用してユーザー イベントに関するアイデンティティ データを収集し、使用パターンを継続的に監視および評価して異常を迅速に検出できる複雑なジャーニーとサブジャーニーを可能にする必要があります。
継続的な更新を計画する
結局のところ、規制の変化や新たな脅威の急速な増加に対応するには、継続的なコンプライアンスとセキュリティを確保するために迅速な適応が必要です。意思決定ロジックがヒューリスティック ルールまたは機械学習アルゴリズムを介して実装されるかどうかにかかわらず、ルールはすぐに古くなるため、チームが進化するニーズに対応するのに苦労する長い開発、テスト、展開サイクルではなく、新しいビジネス要件に俊敏に対応することが求められます。アプリケーションに大きな変更を必要とせず、さまざまなチームが理解できるほど十分な透明性を備えた意思決定メカニズムの継続的な更新計画を作成します。さらに、エンジニアリング チームによる多大な作業なしに実行できるノーコードおよびローコードの更新により、変更が迅速化され、不正アナリストやセキュリティ チームが必要に応じてビジネス ロジックを調整および更新できるようになります。
Transmit Security はどのようにしてベンダー統合を可能にするのでしょうか?
Transmit Securityは、エンドツーエンドのアイデンティティセキュリティと最適化されたCXのためのネイティブに統合されたモジュラーサービスのプラットフォームを通じてベンダー統合を可能にし、事前設定されたアイデンティティサービスの完全なスイートへの容易なアクセスを提供します。これには、 市場で唯一のプラットフォームネイティブな本人確認サービスです。この統合プラットフォームにより、顧客がアプリケーションとどのようにやり取りしているかを一元的にイベントベースで把握し、ユーザーのライフサイクル全体にわたって Transmit Security プラットフォームとサードパーティのサービスやデータベース全体の制御を調整、管理、監視できるようになります。
- 本人確認 そして データ検証 サービスは、顧客確認 (KYC) やその他の業界規制に準拠した安全な登録とシームレスなオンボーディングを提供します。
- 認証サービス ビジネスライン全体にわたるシングル サインオン、リスクとコンテキストに基づく多要素認証、および FIDO ベースのフィッシング不可能なパスワードレス認証を有効にします。
- アイデンティティ管理サービス 企業は、ビジネス ラインやチャネル全体のユーザー イベントを一元的に表示する、イベント ベースの拡張性に優れたユーザー ストアを介して、ロールベースのアクセス制御とユーザー管理を実装できます。
- 検出と対応 サービス 認証およびID検証サービスにネイティブに統合 多数の検出方法を組み合わせて ログをストリームする サードパーティのサービスを利用して、透明性の高い機械学習ベースのデータを自動的に生成します。 ユーザー ジャーニーの特定の瞬間のコンテキスト内でリスク推奨事項を提示し、アクションを構成して推奨事項を取得する必要がなくなります。
- オーケストレーション そして アイデンティティ決定 サービスは、複雑なユーザー ジャーニーをノーコードおよびローコードで展開することで、リアルタイムのアクション トリガーと意思決定ロジックの更新の開発を簡素化します。
Transmit Security は、アイデンティティ オーケストレーションの概念を発明し、世界トップ 10 銀行のうち 8 行で使用され、展開ごとに 1 億人を超えるユーザーに拡張できることが実証されているサービスで市場をリードしています。Transmit Securityによるベンダー統合の詳細については、TIAAのデジタルアイデンティティサービス担当ディレクター、Gaurav Kothari氏とのGartner IAMでのインタビューをご覧ください。 TIAAがベンダー統合にTransmit Securityをどのように使用したか、または当社の 米国の大手銀行のケーススタディ 検出と対応を使用して、従来のセキュリティ ベンダーを統合することで、数百万ドルの運用コストを節約しました。