如果光是聽到身份治理與管理(IGA) 這幾個字就讓你壓力山大 —— 你並不孤單。
在雲端應用持續擴張、IT 環境日益複雜、威脅層出不窮的今天,
根據近期首席資訊安全長(CISO)調查 ,
1. 使用者存取審查(UAR)耗時費力,規挑戰重重
存取審查(User Access Reviews, UAR)已成為幾乎每個組織必備的合規要求。任何參與此流程的人
而這並非單一部門能獨自完成——合規經理、
隨著合規範圍的廣泛性,挑戰只會被放大:
- 80% 的CISO表示他們必須同時遵循兩種以上的 UAR 相關的法規;
- 55% 甚至需符合五項種以上的合規要求;
- 84% 預期未來三年,法規壓力將只增不減。
2. 使用者佈建流程依舊緩慢且高度仰賴人工作業
身份生命週期管理的關鍵,在於確保員工或外包人員在入職、
調查顯示, 55% 的企業組織從帳號建立到取得完整權限需要的平均時間超過七天。這
這對希望團隊「即刻上線」的主管來說,無疑是一種壓力。
3. 每七筆權限,就有一筆是不適當的
過度授權、閒置帳號、或未明身份的使用者帳號,
統計顯示:企業在進行存取審查時,平均需撤除約 13.7% 的授權項目,被判定為「不當權限」。換句話說,每七筆權限,
對中大型企業而言,這意味著每一季都得撤除成千上萬筆授權,
為什麼身份治理會如此困難?
儘管挑戰重重,許多企業仍在使用為「地端環境」設計的傳統 IGA 系統。與此同時,企業對雲端與 SaaS 服務的依賴日益加深——每個應用可能包含數百萬筆授權項目——
這場「完美風暴」的三個推手包括:
1. 82% 的企業在應用程式接入(onboarding)上遇到困難
IGA 的效益取決於納入治理的應用範圍。如果某應用未被 IGA 納管,就無法執行開通或撤銷權限的自動化流程。然而,傳統 IGA 解決方案往往整合速度慢、流程繁瑣且難以擴展,
2. 84% 的企業仍主要依靠人工流程
從權限申請、審核、核發、到撤銷,
目前,僅 6% 的企業達到 IGA 全自動化。
3. 僅 10% 的企業成功定義並維護有效的角色模型
理論上,基於角色的存取控制(RBAC)可以簡化權限治理;
如今,雲端採用使得運算環境日益去中心化;應用程式擁有者、
即使集中式的角色團隊把脈絡整合在一起以定義良好的角色,
以自動化改造身分治理與管理(IGA)
20 年前有效的治理機制,早已無法應付今日的身分管理挑戰。
以使用者存取審查(UAR)為例,
- 步驟 1:審查準備
自動化可自動彙整授權資料、對應 HR 與目錄服務中的使用者身分,並建立審查任務。
這不僅簡化應用整合,還確保資料清晰、描述準確,
- 步驟 2:執行審查
AI 可預先標記「常見合法授權」,縮短審查清單、減少重複工作,
- 步驟 3:撤銷權限
自動撤權與封閉式追蹤機制(Closed-loop tracking)能顯著縮短合規佐證時間,提升準確度。
- 步驟 4:稽核準備
傳統稽核需人工整理資料,而自動化可預先生成完整稽核包(
同樣地,透過自動化佈建流程,企業能加速新員工入職流程、減少 60% 的工單量、平均降低 20% 的過度授權高風險。
AI 也能協助定義與維護角色,簡化人員異動的管理作業流程。
事實證明,這種「AI+自動化」的 IGA 模型,不僅可快速部署,更能大規模擴展至上百套應用系統治理。
實現無縫身份治理:最後一塊拼圖
根據 CyberArk 2025 Identity Security Landscape,49%
即使已有部分身份控管機制,其覆蓋範圍仍不均衡:
- 雲端基礎設施與工作負載覆蓋率低於到 40%
- DevOps 環境僅 35%
- AI 與大型語言模型(LLMs)控管僅 32%
- 服務帳號僅 23%
儘管這些區域都是風險增長最快的領域之一。
也因此,32% 的企業計劃在今年投資於身份治理與合規(IGA)與法遵相關建設
IGA:身分安全戰略的關鍵拼圖
當然,現代 IGA 只是全面性身份安全策略的其中一個關鍵要素。與身份與存取管理 (IAM) 及 特權存取管理 (PAM) 並行運作的核心組件。
三者協同運作,可:
結語:是時候,讓身分治理跟上業務速度了
別再為 IGA 煩惱了。
現在正是善用 AI 與自動化 的力量,讓身分治理重新與業務節奏對齊的時刻。
作者:Deepak Taneja 為 Zilla Security 共同創辦人暨 CyberArk 身分治理業務總經理。
