Skip to content

アイデンティティガバナンスへのリスクベースアプローチ

この記事は https://docs.evolveum.com/iam/iga/risk-based-approach/ の翻訳です。

Draft

WARNING: これは draft であり、作業中 です。

問題

Cybersecurity はほぼすべての組織にとって絶対的に不可欠です。 広く使われている belief とは異なり、サイバーセキュリティは fixed start と end 日付を持つ one-off プロジェクトではありません。 むしろ プログラム です。すべての情報資産が常に 安全 であることを ensure する、never-ending cycle の repeated 活動です。 終わりのない 継続的 活動であるため、サイバーセキュリティには proper governance が必要です。Cybersecurity 活動が adequate protection を提供し、効率的で properly 実装されていることを保証するためです。

Long-running サイバーセキュリティ活動のガバナンスは easy 作業ではありません。World は変わり続けるからです。 環境、要件、技術、そして attacker の機能は rapidly evolving しています。 Last year には adequate だったセキュリティ measure が、next year には絶対的に 役に立たなく になることがあります。 ここで、識別・防御・検知・対応・復旧の活動の輪が無限に回り続ける、悪名高いサイバーセキュリティサイクル が登場します。

システムの セキュリティ上重要な部分に関する正確で最新情報は、サイバーセキュリティガバナンスに絶対的に不可欠です。 Inaccurate または stale データに基づくセキュリティ countermeasure は 役に立たなく であり、リソースの 巨大な 無駄であり、システムを attack に open にします。 しかし、サイバーセキュリティプログラムの基礎となる品質データをどう得るのでしょうか。 手作業, paper-based サイバーセキュリティ分析は過去のものです。 見積もられたリスクレベルの巨大な spreadsheet は、ほとんど guesswork に基づいていました。 それらは known リスクだけを含み、forgotten mis-configuration や 孤立した特権アカウントを完全に見逃します。 Analytical 作業の量は 巨大な で、手作業作業は遅いであるため、そのような分析は spreadsheet が finished された瞬間に古くなったです。 20世紀の方法に基づく cyberセキュリティ対策が、21世紀の threat に対抗できないのは当然です。

方法

私たちには cover すべき 巨大な セキュリティ状況があり、時間は 非常に little です。 しかし、このような問題を見るのは初めてではありません。 もちろん鍵は自動化です。 セキュリティ分析が正確で最新データを提供し、それを迅速に提供しなければならないなら、データ処理活動の大部分を自動化する必要があります。 しかしサイバーセキュリティは vast 状況です。 Cybersecurity には自動的に分析できない部分があります。 そのような部分は引き続きセキュリティ expert の close attention を必要とします。 それでも自動化できる部分はあり、大量の作業を save し、同時に正確性を改善できます。

アイデンティティガバナンスはすべてのサイバーセキュリティプログラムの不可欠部分です。 Orphaned privileged アカウントを exploiting する attacker が与える損害 を予測するのに、多くの imagination は必要ありません。 これは多数のクラウドアプリケーションによって強く増幅され、境界セキュリティのような従来のセキュリティ手法を適用することを 困難 にします。 システムの大多数はいつでも外部 attack に open です。 さらに悪いことに、サイバーセキュリティ研究 は一貫して 内部脅威 を組織にとって最も大きな脅威 の1つとして示しています。 システムとプロセスに関する限られた知識しか持たない外部 attacker が与える損害 を考えてください。 次に、組織の inner workings に intimate 知識を持つ rogue insider がどれほど worse になり得るかを考えてください。

アイデンティティ管理とガバナンスに由来するリスクは、組織の全体的なサイバーセキュリティリスクの major 部分を形成します。 しかし、そのようなリスクを手作業で管理することはほぼ 困難 です。 Manage すべきユーザー、グループ、権限、ロール、アカウント、ペルソナが多すぎます。 アイデンティティ管理とガバナンスの自動化が唯一の方法です。 これは何十年にわたって知られており、アイデンティティおよびアクセス管理の well-established 技術があります。 しかしアイデンティティ管理からサイバーセキュリティリスク管理への crucial link はほとんど missing です。 アイデンティティ管理ツールはアイデンティティライフサイクルを 自動化 し、必要に応じてアカウントを作成 と 削除できます。 しかしアカウントとエンタイトルメントが imposed するリスクに関する情報は提供しません。 それでもアイデンティティ管理システムは、リスクを assess、分析、さらには address する理想的な職位にあります。 アイデンティティリポジトリにはユーザー、組織上のメンバーシップ、エンタイトルメント、責任などに関する情報が含まれています。 データはそこにあります。データをプロセスし、それに act する技術がまだないだけです。 まだ、です。

解決策

Risk はサイバーセキュリティの中央概念です。 Cybersecurity のすべては、リスクを特定し、分析し、minimize し、または 残余 リスクに備えることに関するものです。 アイデンティティガバナンスはサイバーセキュリティガバナンスに不可欠機構を提供します。 アイデンティティは全体的なリスクの非常に大きなな部分を形成するため、アイデンティティガバナンスなしに real セキュリティはありません。 しかし、この security-identity 協力を効率的にするには、アイデンティティガバナンスがセキュリティ専門家と同じ言語を話す必要があります。 アイデンティティ ガバナンスは サイバーセキュリティ ガバナンスの概念を扱わなければなりません。 したがってアイデンティティガバナンスシステムは risk を中央概念として扱うことを学ばなければなりません。

分析

First 手順はリスクを 理解 することです。 アイデンティティガバナンスシステムはリスクを分析し、high-risk spot を特定し、informed decision-making のためのデータを提供しなければなりません。

アイデンティティガバナンスシステムはサイバーセキュリティ分野の多くの他のシステムに対して 巨大な advantage を持っています。 アイデンティティガバナンスシステムが使うデータは structured です。 良いアイデンティティガバナンスシステムはデータをストアするだけではなく、それを 理解s します。 ユーザー account の意味、ロールentitlement が何を意味するか、それらによってどの privilege が付与されるかを知っています。 そのような構造化された情報はリスク モデリング の理想的な基盤です。

アイデンティティガバナンスシステムは、Active Directory グループやアプリケーション権限など個々のエンタイトルメントに要素的なリスクレベルを割り当てるために使えます。 この要素的な情報はリスクモデルによって 処理され、個々のユーザー、組織上の単位、プロジェクト、そして組織全体の全体的なリスクを compute できます。 このプロセスは自動化されたでき、サイバーセキュリティ専門家にほぼリアルタイム情報を提供できます。

リスクモデルは 孤立したアカウントや unused アカウントなど一般的サイバーセキュリティリスクを考慮するよう expanded できます。 ロールのリスクは、その構成や他のパラメーターに基づいて自動的に計算でき、特殊な attention を必要とする機密性の高いロールを強調できます。 モデルは over-privileged ユーザーや、単一組織上の単位における 危険なリスクの蓄積などのセキュリティホットスポットを特定できます。 モデルは 残余 リスクを管理するために使えます。残余リスクが許容可能であること、危険な権限の組み合わせを持つユーザーがいないことを保証します。 さらにシステムは動的であり、常に最新データに follow します。 Proactive にもなれ、リスクが許容できるレベルを超えて grow したときにリアルタイム通知を 生成できます。 モデルは人間の分析者が決して match できない fidelity と speed で 洞察 を提供できます。

この方法は、20世紀の futile paper-based リスク モデリング とはまったく異なります。 アイデンティティガバナンスデータは基盤となる情報システムに directly 結び付けされているため、リスク情報は常に信頼できるであり、guesswork ではなく real データに基づきます。

アイデンティティ分析

TIP: 既存のアイデンティティガバナンス製品のいくつかは "アイデンティティ分析" 機能を offer しています。 アイデンティティ分析はアイデンティティデータへの 洞察 を提供し、リスクベース方法と部分的に似た機能です。 しかし crucial difference があります。 アイデンティティ分析は partial 洞察 を提供しますが、リスクベース方法は holistic, 統合済み view を提供します。 アイデンティティ分析が 外れ値 を特定するところで、リスクベース方法は 外れ値 を全体的な組織上のリスクの big picture に reflect します。 アイデンティティ分析がエンタイトルメント 洞察 を提供するところで、リスクベース方法はエンタイトルメントがもたらすリスクも評価し、それを全体的なサイバーセキュリティガバナンスに fit させます。 リスクベースの方法はアイデンティティ分析機構の上位集合であり発展形です。

TODO

WARNING: "リスクベース方法" より良い名前が必要でしょうか。

実装 note

NOTE: リスク価値はエンタイトルメントに手作業または半自動で割り当てられます。 コネクターは well-known エンタイトルメント、たとえば Active Directory の Domain administrators グループについて初期リスク価値を 提案できます。 対象システムがそのような情報を提供する場合、コネクターはエンタイトルメントに associated された細粒度の権限さえ分析できます。 これに加えて、プラットフォームは well-known naming パターン に対してリスクレベルの 提案 を提供できます。 たとえば string admin を含むグループには higher リスク価値を自動的に割り当てできます。

実装考え方

NOTE: ビジネスロールを使って割り当てられたエンタイトルメントは、ロール全体を recertify するなど管理しやすいため、リスクがやや lower になります。

実装 note: parametric ロール

NOTE: Parametric ロールのリスクは、エンタイトルメント、つまり "資産" のリスクと、エンタイトルメントへの 関係、たとえば user または admin の組み合わせです。

Open 問題

WARNING: 情報資産をどうモデル化するか。アプリケーションとしてか、特殊な種類のサービスとしてか。

対応

Second 手順は、リスクに関する信頼できるデータに基づいて効率的に行動する能力です。

アイデンティティ管理に関して、システム管理者とセキュリティ専門家は uphill battle を戦っています。 環境は彼らが act できるより速く変化します。 新しいユーザーは enrolled と retired され、権限割り当ては毎日変わり、re-organization、ポリシー変更、アプリケーションの導入 と 廃止 が常に起こります。 セキュリティ専門家は周囲のすべての変更に attention を払うことはできません。 何万ものユーザーとロールが数百のアプリケーションに 分散し、管理すべきユーザー・ロール・アプリケーション 組み合わせはほぼ 想像を超える数になります。 すべてのロール申請を承認し、すべての 小さな組織上の変更の後にすべてのロール割り当てを見直し、重要度の低いアプリケーションのすべての細粒度の権限を分析することは 物理的に困難 です。 セキュリティ専門家は優先順位を付け、重要な事柄に細心の注意を払い、重要度の低い作業を委任する必要があります。 しかし 重要な問題が出てきます。何が重要なかをどう知るのでしょうか。 すべてのセキュリティ専門家は答えを知っています。risk です。 最も高いリスクをもたらすユーザー、ロール、アプリケーションは、わずかなリスクしかもたらさない補助的なアプリケーションよりもはるかに多くの注意を必要とします。

幸い、自動化されたリスクモデルがあります。 リスクがどこにあるか分かります。 優先順位付けができます。 組織に最も高いリスクをもたらすユーザーを見つけ、特別なマイクロ認定を使ってそのアクセス権限を再認定できます。 この方法は、リスクの高いユーザーが 何千もの他のユーザーの中に埋もれてしまう従来の再認定キャンペーンとは対照的に、少数の強力な権限を持つユーザーに注意を集中させます。 焦点を絞った再認定は、権限が削除される可能性を高め、セキュリティホットスポットを緩和します。 焦点を絞ったマイクロ認定は、完全な認定キャンペーンの一部の労力だけで済むため、より頻繁にトリガーできます。 同じ方法はリスクの高いロールの見直しにも適用でき、低リスクロールよりはるかに頻繁に見直しできます。 同様に、新しいロール割り当ての申請と承認もリスク情報によって governed できます。 明らかな選択肢は、機密性の高い 高リスクロールに特別な承認スキームを適用することです。 しかし多くの一般的なロールの組み合わせも 危険なアクセス権限の蓄積を引き起こす可能性があります。 したがって、多数の低リスク権限を蓄積して高リスクスコアに達したユーザーに特別な承認スキームを適用し、セキュリティホットスポットの作成をそもそも避けるのは良い考え方です。 リスクスコアがアイデンティティガバナンスの標準の一部として処理されると、他にも多くの選択肢があります。リスクの高いアプリケーションの特定、たとえば管理者が多いアプリケーション、孤立した特権アカウントの自動無効化、特権ロールのオンデマンド と 時間制限付き割り当ての 促進または強制 などです。

リスク情報が通常のアイデンティティガバナンスプロセスのすべてに 浸透することは、セキュリティ専門家にとって大きな 驚き ではないでしょう。 たとえばロールマイニングはリスク情報なしでも 有用な支援 を提供できます。 ロールマイニングは 類似するアクセス権限のクラスター を特定し、新しいロールの作成を提案します。 しかしロールマイニング活動を正しい権限の組み合わせに 焦点を当てるのはしばしば困難です。 ロールマイニングアルゴリズムは権限が何を意味するかを理解せず、互いにどれほど 類似しているかにのみ重点を置きます。 これは 方向感覚を失わせるもの であり、人々が 重要でないロールに多くの 注意を向け、重要なロールを 見逃すよう 誤誘導する可能性があります。 しかしリスクデータによって補完されると、ロールマイニングはサイバーセキュリティツールボックスの不可欠なツールになり得ます。 リスク情報はロールマイニング活動を重要な 高リスクの権限の組み合わせに 焦点 できます。 高リスクの権限組み合わせがロールとして 形式化されると、維持管理と見直しがはるかに容易になり、全体的なリスクはより管理しやすく になります。

同様の効果は外れ値検知機構にも見られます。 外れ値は、同じ カテゴリ の他のユーザーと異なるアクセス権限を持つユーザーです。 外れ値検知アルゴリズムは 近似的であり、曖昧な概念を扱います。 また、組織内のアクセス権限が完全に統合されていないことはかなり普通 です。 多くのユーザーは組織での長いキャリア の間に多くの 固有の権限を蓄積し、実質的に 外れ値になります。 したがって、特にアイデンティティガバナンスプロセスが 展開 される初期段階では、大量の外れ値が存在する可能性が高いです。 ここでもリスク管理は不可欠な支援 を提供できます。 高いリスクスコアを持つ外れ値に優先順位を付けられます。

リスクモデルは、一見して分かりにくい集中リスク領域を明らかに できます。 高リスクロールが特殊な承認と見直しスキームの対象となり、高リスクロールを持つユーザーが少数であることを保証するのは自然です。 しかし多数のユーザーに与えられた中リスクロールも 高リスク状況を生み出し、潜在的な攻撃対象領域を大幅に高めます。 すべての中リスクロールに特殊な承認と見直しスキーム を適用することは通常現実的ではありません。 特に広く使われている中リスクロールに対する頻繁再認定キャンペーンは 膨大な労力を必要とし、しばしば 無意味な追認作業になります。 リスクモデルはそのようなロールを 容易に特定できます。 しかし再認定はそのようなロールが もたらすリスクを低減する効率的なソリューションではないため、まったく別の機構を 採用しなければなりません。 理想的なソリューションは、そのようなロールを自動的に割り当ておよび解除し、巨大な再認定キャンペーンの必要性を実質的になくすことです。 しかしその自動化はポリシーの存在を前提します。ロールメンバーシップを自動的に管理するために使えるルールです。 単純ケースでは、自動ロール割り当てのルールはかなり明らかである可能性があります。 セキュリティ専門家はロールの内容、目的、メンバーを手作業で分析することでルールを判断 できるかもしれません。 しかし複雑ケースではルールが明らかではなかったり、そのようなロールが 数が多く手作業分析が実行困難 になったりします。 そのようなケースでは、ポリシーマイニング を使ってロール割り当ておよび解除 の自動ルールを 提案できます。 ポリシーマイニング はロールマイニングに似た パターン認識 機構です。 しかし既存ロールのメンバーを分析し、一般的組織上の単位、作業責任、勤務地などの 類似性 を探します。 一般的なパターンが特定されると、一般的属性に基づく自動ロール管理のルールを確立 できます。

私たちは組織上のプロセスとポリシーの "集合知"を活用しています。 組織のすべてのポリシーを知っている単一人物はいません。 それを知っている単一 部門、部門、チームさえありません。 ポリシーは 無数の断片 に divided され、組織全体の多くの人々に分散しています。 ポリシーは 明示的に規定されておらず、形式化されておらず、自動化に十分な詳細で 文書化 されていません。 直接使うことはできません。 幸い、ポリシーの実践的な 側面 はすでに組織内に実装されています。 ロールは 暗黙のポリシーに従って作成され、ロールを作成した人々によって決定されています。 ロールはポリシーに従ってユーザーに割り当てられ、多くの個々の承認者の判断に guided されています。 ポリシーはそこにあります。アカウント、権限、ロール、組織上の単位、属性の巨大な山 の中に 隠されています。 私たちは マイニング機構を使ってポリシーを抽出し、データの中に 隠されたポリシー側面を見つけします。 マイニング機構は 隠れたパターンとルールを明らかにし、形式化・自動化すべき組織ポリシーの断片を提案できます。 リスク モデリング は マイニングアルゴリズムの上に適用され、注意を集中し労力に優先順位を付け します。

リスクベースの優先順位付けにより、最悪の問題に 注意を集中してサイバーセキュリティプログラムを迅速に開始できます。 高リスク領域に焦点を当てることで、潜在的な効果が最も大きい点でリスクを減らし、組織全体のリスクを急速に下げます。

ガバナンス

3つ目の手順は govern することです。すべてが円滑に動き、継続的改善が確実に進むようにします。

セキュリティは スプリント ではなく、終わりのないマラソン です。 ロールをマイニングし、ポリシーを構成し、リスクをモデル化するだけでは不十分です。 作業は何度も繰り返されなければなりません。 ロールは維持管理され、割り当ては 見直され、データは修正され、ポリシーは更新・改善されなければなりません。 サイクルは終わりません。

さらに、同じことを何度も繰り返すだけでも不十分です。 Bruce Schneier はかつて「攻撃は常に良くなり、悪くなることはない」と言いました。 世界は変化しており、サイバーセキュリティプロセス、プログラム、実務も進化しなければなりません。

"What is measured, improves" は典型的な 管理格言 です。 信頼性があり測定可能な 洞察 はあらゆるガバナンスの鍵であり、サイバーセキュリティとアイデンティティも例外ではありません。 しかしサイバーセキュリティとアイデンティティ分野には意味のある指標があまり多くありません。 ユーザー数やロール数を 監視するのは簡単ですが、あまり 意味のある情報をあまり提供しません。 Risk でさえ 把握しにくい扱いの難しい指標 です。 "Medium リスク" とは正確には何を意味するのでしょうか。 どれだけのリスクが許容できるのでしょうか。 どれだけのリスクが 多すぎる なのでしょうか。 そもそもリスクを 測定する単位は何でしょうか。

Risk は 絶対的・客観的な値ではありません。 正確に 測定することはできず、組織間で比較することは 極めて困難 です。 全体的なリスクが 42.56 であること、またはリスクレベルが "low" であることを知っても、大きな意味はありません。 しかし risk は 適切な文脈に置かれ、相対的に使われる場合、非常に 有用な指標 です。 リスクレベルが他よりリスクが高いシステム部分を特定するために使えることを見てきました。 これはホットスポット、セキュリティ改善の焦点を当てるべき場所 を特定するために extremely useful です。 しかしガバナンス 観点 からは、risk はさらに別の 重要な役割を果たします。 個々のリスク価値はあまり useful ではありませんが、時間 over のリスク価値変更を observe すると不可欠 洞察 が得られます。 全体的なリスク価値が着実に低下しているなら、私たちは良いサイバーセキュリティ業務をしていると分かります。 リスク価値が 長期間にわたり一貫して上昇 するなら、プロセスには 大きな改善 が必要です。 リスク価値が 急上昇 するなら、それは重要な警告 sign です。 全体的なリスク価値の 傾向 を見ることで、サイバーセキュリティ労力について多くを 学べます。 リスク動向はサイバーセキュリティガバナンスの不可欠な指標 です。

しかしリスク価値動向を watch したいなら、組織上のリスクに関する信頼できる、最新、頻繁情報が必要です。 これは自動化なしには practically 現実的ではありません。 しかしアイデンティティガバナンスへのリスクベース方法はリスク評価の crucial 部分を提供でき、それを確実に、real データに基づき、迅速に、ほぼリアルタイムに提供できます。 21世紀の proper サイバーセキュリティガバナンスを、アイデンティティガバナンスシステムのサポートなしに想像することは非常に困難です。

動機づけの概要

Cybersecurity は大きな trouble の中にあります。 攻撃は悪化しています。 状況は last few years だけでも worse に変わりました。 攻撃が悪化する中、サイバーセキュリティ専門家は厳しい状況を過ごしています。 Cybersecurity talent と real expertise を acquire するのは非常に困難です。 セキュリティチームはスタッフと時間が不足しています。 すべての問題に一度に address することはできません。 Prioritize しなければなりません。

Cybersecurity は risk 管理 がすべてです。 100% 安全 であることは理論上さえ 困難 です。 しかし reasonably 安全 であることは 可能です。 セキュリティ practitioner は risk に従って prioritize し、最も高いリスクの 領域 に first に address しなければなりません。 しかしリスクベース prioritization が作業するには、最も高いリスクがどこにあるかを知る必要があります。 悪い知らせ があります。 古いリスク評価方法はもはや実際には機能しません。 手作業リスク分析は時間がかかりすぎ、労力を必要 しすぎます。 結果は spreadsheet が finished される前に古くなったです。 攻撃er はそれよりはるかに fast に move します。 リスクベースのセキュリティが再び機能するには、抜本的に新しい方法が必要です。 リスク評価は自動化されなければなりません。 実データに基づき、継続的に、リアルタイムにリスクホットスポットを特定しなければなりません。 これが、変化の速い脅威を捉える方法です。

内部脅威は組織にとって最悪のリスクの1つとして一貫して特定されています。 多要素認証やゼロトラスト手法などのネットワークベースの手法は、内部脅威には効率的ではありません。 そのような方法は、組織へのアクセスを獲得しようとする人々から守ります。 しかし内部者はすでにデータへの完全に正当なアクセスを持っています。 内部者は、悪意または過失によって甚大な損害を与えられます。彼らはすでに組織の内情を熟知しているからです。 何かが行われなければなりません。 しかし何十年にわたり、あまり多くは行われていません。 セキュリティ practitioner はいまだ古くなった 20th-century 方法に依存しています。

内部脅威は、あなたが管理している アイデンティティ、ユーザー、グループ、デバイス、権限に関連しています。 残念ながら、アイデンティティデータは通常アカウントとエンタイトルメントの巨大で tangled な pile にすぎません。 これは navigate が extremely 困難な複雑 labyrinth です。 しかし hope はあります。 アイデンティティ を管理するために設計されたシステムの種類があります。 アイデンティティガバナンスおよび管理 (IGA) システムはアイデンティティ labyrinth を navigate するよう設計されています。 それらはアイデンティティデータをプロセス と 分析する理想的な職位にあります。 しかし contemporary IGA システムは risk 概念を扱う装備が十分ではありません。 リスク管理という基本サイバーセキュリティ言語を話しません。 しかし、それは変更できます。

IGA システムに risk 概念を introduce できます。 Risk 概念をアイデンティティ管理のすべての 側面 に permeate させると、アイデンティティ管理は効率的に risk 管理 になります。 IGA システムはすでに現実世界のアイデンティティデータをリアルタイムに収集・分析するよう構築されているため、それはリアルタイムリスク評価にも直接つながります。 さらに良い news があります。 現代の IGA システムは従来のな usergroup の notion を大きく超えています。 21世紀の IGA システムは アプリケーションデバイス アイデンティティを扱います。 これはデータが reside するすべての 場所 を cover し、情報 asset も追跡する大きな潜在的なです。 IGA システムは real データを gather し、プロセスし、リアルタイムに分析し、常に最新な risk データを提供できます。 さらに、それだけではありません。 IGA システムはデータを gather するだけでなく、行動することもでき、迅速に行動できます。 リスクホットスポットは、何十年にわたり silently accumulating してきた unnecessary 権限を 削除することで、seconds で reduce できます。 Dangerous 権限はオンデマンドに割り当てられ、limited 時間 period だけ付与できます。 システムは suspicious 権限の組み合わせが 申請されたときにリアルタイム警告を提供できます。 リスクレベルは 長期間にわたって監視され、洞察を提供し、動向を分析できます。 そのような情報はサイバーセキュリティガバナンスの crucial 部分です。

IGA システムがサイバーセキュリティ概念を理解し始めると、可能性は無限に見えます。 攻撃er はすでに21世紀の方法を使っています。 Cybersecurity 技術が追いつく時です。

その他の注記

これは互いにサポートし合う 相互に支え合う包括的な機能集合、相乗効果を持つ機能でなければなりません。

結果の良い提示は crucial です。ダッシュボードを使い、サイバーセキュリティ言語で示します。

"資産" はどう扱うべきでしょうか。 アプリケーションによって 処理された/accessed される情報を割り当てできるでしょうか。 これはアプリケーションごとのリスクレベルの compute に使えるでしょうか。

MidPoint はリスク分析の the プラットフォームになれるでしょうか。 非アイデンティティリスクも incorporate するのでしょうか。 アプリケーションリスク、SBOM、サービス end点 などは現実的かもしれません。私たちはいずれにせよアプリケーションを扱っているからです。 ネットワークリスクレベルなど他のリスクもプロセスできるでしょうか。 クラウド時代ではそれがまだ関連するのでしょうか。

TODO: AI のロール - 訓練データ。 Bad 組織上の実務が AI によって 固定化 される可能性があります。 AI が 適切に機能し、systematically に組織上のリスクを高めるしないことを保証するにはリスク情報が必要です。

TODO: 一部の作業は業務単位に delegated でき、また delegated されなければなりません。 たとえば承認、見直し、再認定です。 しかしセキュリティスタッフは proper oversight を保つ必要があります。

TODO: リアルタイム データ、継続的 分析。

TODO: この方法は、リスクを 低減できず受容しなければならない高い残余リスク領域 の管理にも不可欠です。 リスクベースの方法は高リスク領域 に注意を集中し続け、残余 リスクを継続的な 監督 の下に置きます。