如果您一聽到身分治理和管理 (IGA) 就感到壓力沉重，您並不孤單。

隨著雲端服務普及與威脅環境日益複雜，數位身分與存取權限的管理難度正呈倍數成長。如今，多數組織在支撐合規性、生命週期管理與安全性這三大核心動能時，顯得力不從心。根據針對資訊安全長 (CISO) 的調查，目前的治理痛點主要集中在以下三點：

權限審核已成為各產業的法遵剛需，但執行過程極其耗時。相關人員必須從海量數據中整理、比對並驗證權限是否合理，以滿足稽核員對「權限最小化」的要求。這並非單一團隊的工作，從法遵經理、應用程式負責人到各級主管，都必須投入大量精力。更嚴峻的是，80% 的資安長表示必須同時符合兩項以上的法規，甚至有 55% 的人需應付五項以上的規範，且 84% 預期未來三年的法遵壓力只會持續增加。

確保員工或約聘人員在入職、調動或離職時獲得正確權限，對於企業營運至關重要，但現實中卻鮮少能快速達成。調查顯示，55% 的組織平均需耗時超過七天才能完成權限發放。這意味著新進人員在首週幾乎無法產出，造成管理層極大的挫折感。有時為了趕進度而過度授權，反而埋下更嚴重的資安隱憂。

從過度授權到殭屍帳號，不當權限往往潛伏數月而不被察覺。平均而言，企業在進行權限審核時，高達 13.7% 的權限被判定為不當且須回收。換言之，每七個權限中就有一個是多餘的。在大型企業中，這代表每季都有數萬筆權限需要被處理，單靠人力幾乎是不可能的任務。

關鍵在於許多組織仍使用二十年前設計的舊式 IGA 系統。這些系統適合本地端環境，卻無法跟上現代 SaaS 應用的擴張速度：

82% 的組織在將新系統導入治理平台時遇到阻礙，導致治理覆蓋率偏低。

高達 84% 的企業仍依賴手動方式進行審核與發放，僅 6% 的組織達成全自動化。

只有 10% 的組織能成功維護有效的角色模型，因為中心化的管理團隊往往缺乏各業務部門的實際語境。

要解決權限激增的壓力，現代化 IGA 必須具備自動化核心，將人力負擔降低 80%：

• 準備階段：自動清理數據並對齊 HR 資料庫，確保審核項目清晰易懂。
• 審核階段：利用 AI 預審已獲核准的常規項目，大幅縮減主管需檢視的名單。
• 回收階段：自動執行撤銷並產出閉環追蹤報告，縮短合規舉證時間。
• 稽核就緒：預先打包完整的電子證據包，無需再讓稽核人員於系統中翻找資料。

這套以 AI 與自動化為核心的方法，已證明能有效協助企業在短時間內將治理規模擴展至數百個應用程式。

根據 CyberArk 發布的《2025 年身分安全概覽》，近半數組織仍缺乏對雲端權限的完整可視化。

當然，現代身分識別管理架構 (IGA) 只是全面身分安全策略中不可或缺的一部分。 IGA 與身分和存取管理 (IAM) 以及特權存取管理 (PAM) 協同運作，有助於確保合規性，支援最小權限訪問，並符合零信任原則。 IGA 還能減少人工工作量，提高效率，並協助組織滿足監管要求，同時避免安全團隊過度勞累。

是時候停止為身分治理而焦慮，並利用人工智慧的力量，使身分治理與業務發展的速度保持一致了。

Deepak Taneja 是 Zilla Security 的共同創辦人兼 CyberArk 的身份治理總經理。

準備好更聰明地擴展規模了嗎？ 收聽 Deepak Taneja 在 Security Matters 播客上的訪談— 「新的身分危機：人工智慧時代的治理」 — 他在訪談中探討了人工智慧如何改變身分治理，以及這對在當今複雜的數位環境中工作的安全團隊意味著什麼。