企業がAI、クラウドネイティブアーキテクチャ、大規模な自動化を採用するにつれて、アイデンティティはもはやバックエンドのセキュリティー機能だけではなくなりました。システムが人間と機械の両方を信頼し、認可し、監視する方法を決定する制御層になりつつあります。この変化は2つの大きな変化によって推進されています。第一に、企業システムはクラウドプラットフォーム、API、サービス全体で高度に分散化されています。第二に、AI駆動の開発と自動化が、システムの構築と展開の速度を加速させています。これらの変化は、現代の環境において信頼と制御をどのように実装すべきかを再定義しています。AI生成の出力がインフラストラクチャ、API、自動化されたワークフローと相互作用する場合、課題はシステムが機能するかどうかだけでなく、信頼でき、制御でき、確実に監査できるかどうかです。Rishav Bhandariは、企業認証、クラウド配信、大規模自動化システムに携わってきました。彼の経験は、エンタープライズ規模のIAMシステム、クラウドエンジニアリング、DevOps配信にわたります。彼の観点から、アイデンティティはもはやログインとアクセスだけの問題ではありません。現代の企業システムにおける信頼、制御、説明責任の基盤となりつつあります。成功する組織は、AIを最も速く採用する組織ではなく、その周りにより強力な制御層を構築する組織です。
ご自身とあなたの職歴についてお聞かせください。
私はInfosysで8年以上、さまざまな領域の企業システムに取り組んできました。Vodafoneでアイデンティティおよびアクセス管理から始め、大規模な数百万のユーザー認証を処理しました。そこから、クラウド配信とデジタルトランスフォーメーションに移り、最近では自動化とAI駆動の開発実践に携わっています。私が気づいたのは、アイデンティティ、クラウドセキュリティー、AIガバナンスがすべて収束しているということです。アイデンティティについて語らずにクラウドセキュリティーについて語ることはできません。両方を理解せずにAIガバナンスについて語ることはできません。この収束こそが、企業技術にとって今この瞬間を興味深いものにしています。
アイデンティティ、クラウド配信、自動化に携わってきました。その組み合わせは、企業アーキテクチャに関するあなたの考え方をどのように形成しましたか?
これらの3つを同じ会話として見ることを強いられました。キャリアの初期には、アイデンティティを設定して維持するインフラストラクチャと考えていました。クラウドは単にサーバーがどこにあるかについてでした。自動化は物事をより速く行うことについてでした。私が気づいたのは、それらはすべて信頼と制御に関するものだということです。ユーザーが主張する通りの人物であることをどのように信頼しますか?クラウドリソースが正当であることをどのように信頼しますか?自動化されたアクションが認可されていることをどのように信頼しますか?これらは異なる形をしたアイデンティティの質問です。そのように見ると、アーキテクチャは根本的に変わります。
なぜアイデンティティは、バックエンドのセキュリティー機能だけでなく、中心的な制御層になったのですか?
2つのことが起こりました。第一に、システムが分散化されました。すべてが1つのデータセンターにあった時代には、ネットワークセキュリティーが境界でした。今では、制御できないネットワーク全体のクラウド、API、サービスがあり、ネットワーク境界は機能しません。アイデンティティが主要な境界になります。第二に、アイデンティティの範囲が劇的に拡大しました。もはやユーザーだけではありません。相互に通信するサービス、API、スケジュールされたジョブ、インフラストラクチャアズコード、AIシステムです。すべてに認証と認可が必要です。その拡大により、アイデンティティはバックエンドの懸念事項から、システムの設計と運用方法を形成するアーキテクチャ上の懸念事項へと移行しました。
組織が大規模にAIと自動化を採用するにつれて、アイデンティティはどのように変化していますか?
マシンアイデンティティは人間のアイデンティティと同じくらい重要になっています。サービス、Lambda関数、AIシステムにはすべてアイデンティティが必要です。課題は規模です。数百人の従業員がいても、数千のサービスとエージェントがある可能性があります。その規模でアイデンティティを管理するには、まったく異なるアプローチが必要です。失効も異なります。人間が離れる場合はアクセスを失効させます。サービスに問題が発生した場合は、数日ではなく数秒でアクセスを失効させる必要があります。そして説明責任は複雑です。AIシステムでは、システムが行うべきことを行ったのか、誰かが誤って設定したか悪用したかを理解する必要があります。それにはより良い監査証跡とガバナンスが必要です。
強力なガバナンスなしでAI、クラウドサービス、アクセス制御を接続する場合の最大のリスクは何ですか?
最大のリスクは盲点です。誰かが意思決定を行うためにAIシステムを展開しますが、誰もセキュリティーへの影響を理解していません。システムには広範な権限が与えられます。それらを絞り込むことが複雑に見えたからです。そして何かがうまくいかなくなります。私は、侵害された場合に壊滅的な損害を引き起こす可能性のある本番データベースへのアクセス権を持つ自動化システムを見てきました。コンプライアンス違反も別のリスクです。AIシステムが何を行ったかを監査できない場合、または意思決定を追跡できない場合、コンプライアンスに準拠していません。また、ベンダーロックインと誤った自信もあります。安全だと思っているが、システムが大規模なAI向けに設計されていない場合です。
AIシステムと自動化されたワークフローにおいて、実際にゼロトラストとはどういう意味ですか?
ゼロトラストとは、どこから来たかに関係なく、デフォルトでは何も信頼しないことを意味します。人間の場合、それは毎回アイデンティティを検証することを意味します。マシンの場合、それはすぐに期限切れになる短期間の資格情報を意味し、侵害は時間制限されます。AIシステムの場合、それは権限について慎重であることを意味します。特定のリソースへの特定のアクセス、特定のアクション、システムが予期しないことを行った場合に失効させる能力。ゼロトラストは可観測性も意味します。何が起こっているかを見ることができない場合、それを実施することはできません。AIの課題は、予期しない動作がどのようなものかを定義することです。
企業は通常、アイデンティティ、クラウドセキュリティー、ガバナンスのどこで間違えますか?
彼らは制御よりも速度を優先します。迅速に移動するために広範な権限を付与します。絞り込むことが複雑に見えたため、すべてへのアクセスを持つAIを展開します。アイデンティティを後付けとして扱い、それについて考えずにクラウドアーキテクチャを設計し、その後それをボルトで固定しようとします。別の間違いは、クラウドプロバイダーがセキュリティーを処理すると仮定することです。プロバイダーはツールを提供しますが、正しく使用する必要があります。組織は問題が発生するまで可観測性に投資しません。何かが失敗した後にのみ、ログ保持、シークレット管理、監査証跡を理解します。人間側も重要です。ガバナンスは技術的なものだけではありません。プロセスとワークフローに関するものです。
組織はセキュリティー、運用速度、ユーザー体験のバランスをどのように取るべきですか?
重要な洞察は、摩擦はセキュリティーではなく、悪い設計から生じるということです。よく設計された安全なシステムは、正しいことを行うことを最も抵抗の少ない道にします。監査ログが面倒な場合、チームはそれらを避けます。権限に数日かかる場合、チームは広範なアクセスを要求します。失効が複雑な場合、チームはそれをスキップします。自動化に投資してください。プロビジョニング、権限要求、監査ログを自動化します。戦略の設計の早い段階でチームを巻き込みます。彼らの制約とニーズを理解します。特定の制御を求めている理由について透明性を持ちます。チームは理由を理解すると、より喜んで従います。
リーダーが今日、AI駆動のクラウド環境全体で制御を改善するために取ることができる実用的なステップは何ですか?
まず、持っているものを棚卸ししてください。どのAIシステムが存在し、どのようなアクセス権を持ち、何を行うかを知ってください。実用的にゼロトラストから始めてください。完璧なゼロトラストを一度にすべての場所に実装しないでください。重要なシステムから始めてください。ログ、メトリクス、アラートを通じて可観測性に投資してください。何が起こったか、なぜかを追跡できるように、強力な監査証跡を実装してください。シークレットを安全に管理し、定期的にローテーションしてください。AI計画の早い段階でセキュリティーとコンプライアンスチームを巻き込んでください。展開後に何かが安全かどうかを尋ねないでください。最後に、チームを継続的に教育してください。セキュリティーとガバナンスは設定して忘れるものではありません。
アイデンティティ、クラウドセキュリティー、AIガバナンスがどのように進化すると思いますか?
アイデンティティとガバナンスは、より自動化され、よりインテリジェントになります。機械学習は異常な動作を検出し、正常なものがどのようなものかを理解します。可観測性とAIシステムの動作の理解にもっと焦点が当てられるでしょう。現在、それはブラックボックスのままです。AI周辺の規制が増加するでしょう。AIが重要な決定を下すにつれて、規制当局はより良いガバナンスと説明責任を要求します。今良いガバナンスを持つ組織は先を行くでしょう。ポータブルアイデンティティにももっと焦点が当てられるでしょう。1つのクラウドプロバイダーにロックされません。組織が今準備すべきことは、アイデンティティとガバナンスが単なるセキュリティー問題ではないことを認識することです。それらはビジネス上の問題です。速度、信頼性、コンプライアンスに影響します。勝つ組織は、AIと自動化の周りに強力な制御層を構築する組織であり、それらの制御なしに最も速く移動する組織ではありません。
