IDアクセス管理

「Forrester Wave: リスクベース認証、2020 年第 2 四半期」で IBM をリーダーと評価

記事をシェアする:

今日のハイブリッド・マルチクラウド環境において、ユーザーが期待するのは、必要なときに、いつでもどこからでも、仕事や個人のリソースにアクセスできることです。セキュリティー境界が広がる中、特に今年のリモートワークへの構造的な転換を考慮すると、組織はゼロトラストなどの原則を取り入れた、分散セキュリティー戦略で対策をとる必要があります。適切なユーザーだけが適切な条件の元で適切なデータにアクセスできるようにするには、継続的にリスクベース認証 (RBA) を実行するための変動する条件に関して詳細にコンテキスト分析する必要があります。

独立系調査会社であるForrester の最新レポート「Forrester Wave: リスクベース認証、2020 年第 2 四半期」は次のように述べています。「セキュリティーとリスクの専門家たちは、認証だけでなく、登録、ナビゲーション、支払い、金融以外の取引も対象にしたすぐに使えるリスク評価機能を提供するリスクベース認証ソリューションをますます強く望んでいます」 これは、不正防止アクセス管理の分野が一丸となって、あらゆるユーザーと認証イベントのセキュリティーとユーザー体験を同時に最大化する必要があることを示しています。

業界をリードする RBA ベンダーは、テクノロジーの共通部分を活用して包括的な適応型アクセス機能(Adaptive Access)を実現し、そのアクセスをパスワードレスなどの堅固な認証オプションと組み合わせて、すべてのアプリケーションで簡単に利用できるようにする必要があります。

コンテキストと適応型アクセス機能の重要性

企業は、ログイン時だけでなくデジタル・プロセス全体で、正当なユーザーと悪意のあるユーザーを区別し、動的なコンテキストやリスクに適応する必要があります。アクセス管理ソリューションでは、不正防止のような別のテクノロジーを継続的に取り入れて、低リスクのユーザーにストレスを感じさせないアクセスを提供すると同時に、より高いリスク条件から保護しなければなりません。コンテキストが重要な状況では、認証テクノロジーでユーザー、デバイス、環境などのドメイン全体に渡る一連の堅固なパラメーターを評価し、コンテキスト情報を集約して全体的なリスク・レベルを査定する必要があります。真の適応型アクセス(Adaptive Access)を提供するテクノロジーでは、静的属性のみでなく環境の変化やユーザーの行動分析など、より動的なコンテキストにまで踏み込む必要もあります。検出されたリスク・レベルで認証チャレンジが承認されたら、そこで初めてユーザーにプロンプトを出します。ただし、多要素認証(MFA)自体が必ずしも大きい摩擦を加えるものである必要はありません。

パスワードの排除

パスワードなどの知識ベースの認証方式について一貫して証明されているのは、代替オプションと比較すると非効率的で問題が起こりやすく、そしておそらく最も重要な点は、セキュアではないということです。悪意のあるクレデンシャル・スタッフィングはハッカーの戦術としてますます普及しています。通常、これらの攻撃が、ブランドに損害を与えるデータ漏えいの原因になっています。秘密の質問などの良く使われているMFA 方法でさえ、本来不安定なものであるにもかかわらず、デジタル・エクスペリエンスの至る所で当たり前のように使われています。パスワードのない世界はずいぶんと未来的に感じられるかもしれませんが、パスワードレス認証への道はすでに始まっており、このオプションは今日からでも利用できます。認証ソリューションでは、顔認証テクノロジー、QR コード、FIDO2 ハードウェア・キーなどの高度な MFA オプションを提供して、エンド・ユーザーのセキュリティーと利便性の両方を向上させます。 どのようなカスタム仕様やアプリケーションであっても、これらのオプションが簡単に使用できるようになるでしょう。

セキュリティーは後付けではない

開発者は、開発終了間際にセキュリティーを駆け込みで考えるのではなく、「シフト・レフト(shift left)」の発想でアプリケーション開発ライフサイクル全体を通してセキュリティーを考えようとしています。ベンダーは API ファーストのアプローチを採用し、開発者が IAM の専門家でなくても、従来のソリューションよりもはるかに速く新しいアプリに認証を追加できるように、必要なツールを提供する必要があります。ソリューションは、参照用の資料にとどまらず、統合した手順をステップ・バイ・ステップで説明したコード・スニペットと、そのまま機能するサンプルを組み込んだ、ガイド付きのウィザードのような体験を提供する必要があります。基盤となるテクノロジーというものは、アプリケーションを使用するエンド・ユーザーにストレスのない体験を提供するものです。そのため、そのテクノロジーをアプリケーションに統合する体験自体も同様に、摩擦のない使いやすいものでなければなりません。これは当然のことです。

Forrester レポートでのベンダーの採点方法

Forrester の RBA 評価では 7 つのベンダーが対象となっており、各ベンダーは次の一般的な基準を満たしています。

  • 製品とサービスのポートフォリオが最先端のもので、製品化されている。
  • RBA の年間総収益が少なくとも 600 万ドルあり、12% 以上の成長率である
  • Forrester のエンド・ユーザーであるお客様の自発的なマインドシェア
  • ベンダーの自発的なマインドシェア

Forrester は、選定された 7 つのベンダーを次の 3 つの大きいカテゴリーにグループ化した 33 の基準で評価しました。

  • 現行オファリング – ルール管理、認証ポリシー、ユーザー・セルフサービス、ケース管理、レポート、統合、およびその他の基準
  • 戦略 – 実行ロードマップ、市場アプローチ、パートナー・エコシステム、ソリューションの提供、およびその他の基準
  • 市場プレゼンス – 全体的な収益、RBA ソリューションの収益、RBA ソリューションの年間収益の伸び、および主要な特定業界でのプレゼンス

IBMがリスクベース認証のリーダーと評価される
Forrester は最新レポートの「Forrester Wave: リスクベース認証、2020 年第 2 四半期」で IBM をリーダーと評価しました。RBA 分野において評価された最も重要な 7 ベンダーの中で、リーダーのランクを獲得したのは 2 つのベンダーのみでした。IBM は、市場プレゼンス・カテゴリーで最高スコアを獲得し、現行オファリング・カテゴリーで最高スコアにランク付けされました。

Forrester は次のように述べています。「IBM の RBA ソリューションは、企業の RBA ニーズをカバーする堅固なエンドツーエンドのソリューションです」 Forrester の評価は、すべてのユーザーに総体的なコンテキスト・ベースのアクセスを提供して、セキュリティーとユーザー体験の両方を最大化するというIBM Securityの目標が正しいことを裏付けるものだと言えます。不正防止アクセス管理の連携が、適応型アクセスと RBA を実現します。

 

【関連情報】

【お問い合わせ】

メールでのお問い合わせはこちらから

【著者情報】


Michael Keane

Michael Keane

IBM Security、IAM 担当の製品マーケティング・マネージャー

Michael は IAM の製品マーケティング・マネージャーです。ソフトウェアとハードウェアの両分野でキャリアを築き、IT、エンジニアリング、およびリサーチ分野の読者に向けた記事も執筆しています。また、デューク大学で工学の学位を取得しています。

 

この記事は次の記事の抄訳です。

https://securityintelligence.com/posts/ibm-named-a-leader-in-the-forrester-wave-risk-based-authentication-q2-2020/ (英語)

 

More IDアクセス管理 stories
2021-04-09

2021年版クラウド・セキュリティーに求められる5つの必須条件

クラウドへの移行を進めようとしている組織は、ハイブリッドクラウド、マルチクラウド、デジタル・トランスフォーメーション、マイクロサービスなど、業界用語の嵐に見舞われています。これらの用語に惑わされがちですが、留意すべき重要 […]

さらに読む

2021-04-02

MDR (マネージド・ディテクション & レスポンス) サービス選定に役立つ4つの視点とIBM Security MDRサービスの新機能

ビジネスに戦略的なセキュリティーの成果をもたらすManaged Detection and Response (MDR)サービス。本サービスのプロバイダーを選択する際に役立つ4つの視点をご紹介します。 全5回からなるこれ […]

さらに読む

2021-03-25

モバイル・エミュレーションの自動化による大規模な不正アクセスがIBM Trusteerの調査により判明

欧州及び米国の金融機関のモバイル・バンキングにおいて、防止策が取られる迄の数日の間に個々の不正アクセスで数百万ドルが搾取されるという大規模な不正送金事案が発生し、IBM Security Trusteerのモバイル・セキ […]

さらに読む