2016Cloud Identity Summit(CIS)のテーマはエンタープライズセキュリティの進化と革命(r/evolution)で、アイデンティティを企業ネットワークの境界ではなくセキュリティの防御線として用いることである。
CISは“identity as a service”をフォーチュン 100の50%以上にソリューション提供するPing Identityによって毎年一回開催されている。サミットはアイデンティティ研究家、実践家そしてコンサルタントがエンタープライズにおけるアイデンティティとセキュリティ周辺のトレンド、挑戦とソリューションを議論する場である。
境界におけるセキュリティの考慮とアイデンティティによるセキュリティを統合することは今年のCISの主要なメッセージの一つだった。この着目点において、Ping Identityとthe Identity Defined Security Alliance (IDSA) のパートナは更にこれらへの考慮を行うためにこれらの議論に対して新しいアイデンティティ統合フレームワークの開発に着手した。このフレームワークは、統合されたアイデンティティを中心とするセキュリティソリューションを構築する際に企業が注意する必要がある機能性のマップを提供する。Optiv社は今年の4月にIDSAに加入した。Optivの役割は、フレームワークにより提案された手引き、パターン、秘訣を市場に提供することである。Optivはこの記事で更に詳細なフレームワークの情報を共有している。
サミットは6月6-9日にかけてニューオーリンズで開催された。Ping Identity社、GoogleとMicrosoftその他の発表者により基調講演が行われた。100近くの企業の多数の発表者によりセッションが進められた。期間中の4日間は経験、手引、警告が盛りだくさんであった。Ping IdentityとGoogleは発表者のほぼ20%を提供し、トピックの選択を主導した。Optiv、MicrosoftとAuth0社のような他の関係者はこの分野における各企業の技術分野に特化したセッションや上級者用講座を開催した。
アイデンティティとアクセス管理はエンタープライズにとってクラウド上での主要領域であり、開発される全てのアプリケーションのために必要な構築材料である。アイデンティティの管理は表現の管理である。基調講演では、Ping IdentityのCTOであるPatric Harding氏がブロックチェーン技術の限界を分析し、ジレンマを解決するアプローチとして分散セッション管理に対するPing Identityの努力を明らかにした。
基調講演には12の発表があった。それらの概要は以下であり、可能なものは追加の資料も付記した。
Ping IdentityのCEOであるAndre Durand氏はセキュリティ及びアイデンティティ領域における20年間の経験を出席者に紹介した。これはより多数のサービスやデバイスがエンタープライズに参加し、リスクと情報漏洩の開示の危険が増大した世界の戦略を検討するためである。
書籍や映画で有名なFrank Abagnale氏は彼のFBIやコンサルタントの生活の物語を共有した。彼の講演は偽造品に関する問題やサイバー犯罪に関するものであった。加えて、彼はTrusona社への関与について議論した。Trusonaとは正当性を主張する取引に関連する個人に対して高い信頼性を構築することに主眼を置いたスタートアップ企業である。
クラウドとモバイルはアイデンティティとセキュリティの進化を牽引している。それがPatrick Harding氏が基調講演で提示したメッセージである。最近のインタビューで、Harding氏はビジネスはIoTと関連技術において予想以上に進化の早い世界が現実化してきており、アイデンティティもこれらのデバイスのために設計される必要があると述べた。自動化され、動的な認証標準が必要とされている。
Patrick Harding氏のブロックチェーンの制限に関する資料はこちら: https://twitter.com/robbreck/status/740277490770313216
また、サミットのスポンサーであるAxiomatics社はホワイトペーパでアイデンティティとセキュリティの問題について検討している。アイデンティティとアクセス管理の進化と革命
サービスとしてのアイデンティティのエンタープライズによる活用のための商品は2020年には40%を占めると予想されている。この背景に対し、MicrosoftのAlex Simmons氏は業界の進歩の方法、主要な勝ちのシナリオや協業の機会について発表を行った。
2015年に、Forrester社は企業のセキュリティ対策のための時系列順の12個の推奨事項が記載された報告書をリリースした。発表において、Forresterの副社長でありセキュリティとリスク専門の部署の研究家ディレクターであるStephanie Balaouras氏は12個の推奨事項をもとにどう企業がより安全なビジネスを構築できるかを概説した。全てはビジネスの態勢と有効性を改善していくゴールのためである。
資料: https://www.facebook.com/pingidentitypage/photos/pcb.10153705300396794/10153705291121794/?type=3&theater
Ping IdentityのCTPであるAndre Durand氏とGen. David Petraeus氏は政府と商業への世界的脅威について対話を行った。議論では、非対称な脅威の問題、攻撃の全く新しい次元であるサイバー空間と、政府が要求しているソフトウェア内のバックドアに対する大衆の拒絶に触れた。それらにはセキュリティの将来の挑戦のための計画にだと受け取れるステップの提案が含まれている。
TechCrunchの企業レポーターであるRon Miller氏は現在の情報セキュリティにおける著名なセキュリティリーダ達の議論をまとめた。彼はこの記事で彼が受けた議論の印象のいくつかを記述している。彼の主要な懸念の一つは企業内の部門と経営層、そしてアイデンティティとセキュリティという二つの関連するが別々の事柄の間がいまだに分断されているように思われることである。成功裏に進歩するためにはこれらの壁を完全に消滅させるか、減らしていくことが必要である。
Cloud and Identity Seminarの内容責任者であるAndrew Hindle氏は、議論で発言された「パスワードは誰も望んでいない有害な資産である」という一節を引用して共有した。
Optivの戦略ソリューション部門の副社長であるRobert Block氏とIdentity-Defined Securityアライアンスの他のリーダーはセキュリティに対する新しいアプローチに関する議論を主導した。防御線としてのアイデンティティとして問題となる、エンティティのアイデンティティに基づいたセキュリティ境界を定義することについて議論した。この概念ではアクセスと認証を決定するために固定のネットワークパラメータのみを用いることから脱出する。防御線としてのアイデンティティに関するより詳細な資料はここに提示されている。
この基調講演では、GoogleのEric Sachs氏がIDaaSの長所について語った。プロトコルと標準の世話はプロに任せ、事業は核となる価値に焦点を当てるべきである。これは一般的なx-as-a-Serviceの売り文句の一つである。このセッションはクラウドベースの戦略が有利であるかの理由を強調した、一歩進んだシナリオのユースケースを含んでいる。Sachs氏は経験や具体例からユーザの実際の反応に基づく認証の流れの統計値を共有した。例として、Sachs氏が共有したデータと統計値は彼のプレゼンテーションから閲覧することができる。
Mark LeLarge氏とJean Bolot氏による2009年の研究論文はインターネット上のセキュリティのための経済的報奨に関するアイデアを示した。これはインターネット保険に関する意見を形成している。
Trusona社のOri Eisen氏は基調講演でインターネットの片隅を探検し保障されたインターネットの必要性を提示した。
彼が提示した事例の一つでは、AP社のTwitterアカウントが乗っ取られたことによりUSの証券市場からほぼ1000億ドルが失われる結果を導いた。
資料: https://twitter.com/Steve_Lockstep/status/740905779486691328
TrusonaのCEOであるEisen氏は、Trusonaのホワイトペーパで、インターネット保障に関する他の意見を述べている。
Pamela Dingl氏、Bob Blakley氏とAndre Durand氏はアイデンティティとセキュリティに関する未来に焦点を当てた。Dingle氏とBlakley氏は作成したポリシーと標準が、現代の子供たちが従うフレームワークをまさに今創り出しているということを強調した。子供たちは彼らのアイデンティティを管理する必要を若いうちから意識し、その結果を潜在的に一生引きずることにならないようにする必要がある。
Durand氏とBlakley氏はサミットの内容を一緒になってまとめ、将来のアイデアを共有した。
Cloud Identity Summitでは多数のセッションと上級者用クラスが行われた。それらの発表者と内容のスケジュールがリストになっている。セッションのビデオは本記事執筆現在まだ公開されていない。