ブログ記事
アイデンティティ アクセス管理(IAM)とは
アイデンティティ アクセス管理(IAM)の定義、原則、ベスト プラクティスを解説します。
IAMの定義
アイデンティティ アクセス管理(IAM)とは、組織がデジタル アイデンティティ(ID)を管理、保護し、重要な情報に対するユーザー アクセスを制御するために使用するフレームワークとプロセスを指します。システムには、ユーザー登録、ID認証、ロール ベース アクセス制御、コンプライアンス監査、レポート作成などの機能が搭載されています。
IAMシステムは、機密情報とシステムを未認証のアクセスや侵害から保護し、ユーザーのデジタルID、アクセス権限の許可、セキュリティ ポリシーの管理を簡素化、自動化します。
IAMに関連する主要な概念
デジタルID
デジタルIDとは、ネットワーク上またはオンライン上に存在する個人、組織、電子端末に関する一連の情報のことです。デジタルIDは、次のようなさまざまな特性やデータ属性で構成されます。
- 生年月日
- ドメイン
- メール アドレス
- IP(インターネット プロトコル)アドレス
- 病歴
- オンライン検索アクティビティ(閲覧履歴、電子取引など)
- 購入履歴、購買行動
- 社会保障番号
- ユーザー名、パスワード
デジタル リソース
デジタル リソースには、デジタル形式で存在し、電子的にアクセスできるあらゆる資産が含まれます。デジタル リソースは通常、コンピューターとネットワークを使用して保存、処理、伝送されます。IAMにおけるデジタル リソースの例には、次のものがあります。
- API:複数のソフトウェア プログラム間の相互通信を可能にし、ソフトウェア アプリケーションを構築、操作するために使用される、一連のルールとプロトコル
- クラウド サービス:インターネット経由でコンピューティング パワー、ストレージ、アプリケーションを提供するサービス
- データベース:構造化されたデータ コレクション(SQLデータベース、NoSQLデータベース、クラウドベースのデータ ウェアハウスなど)
- デジタル証明書:SSL/TLS証明書、および通信、トランザクションのセキュリティ保護に使用されるその他の形式のデジタル認証
- デジタル コンテンツ:画像、動画、オーディオ ファイル、アニメーション、インタラクティブ メディア
- メール、コミュニケーション プラットフォーム:デジタル コミュニケーション ツール(メール サービス、インスタント メッセージング アプリ、ソーシャル メディアなど)
- ファイル、ドキュメント:コンピューターやクラウド ストレージ サービスに保存されているテキスト ファイル、スプレッドシート、プレゼンテーション、PDF(Portable Document Format)、その他の種類のドキュメント
- IoT(モノのインターネット)端末:インターネットに接続し、データを収集、伝送する端末
- ネットワーク リソース:IPアドレス、DNS(Domain Name System)レコード、ルーター、ファイアウォール、その他のネットワーク インフラ コンポーネント
- ソフトウェア アプリケーション:クラウドベースのアプリケーション、モバイル アプリケーション、デスクトップ ソフトウェア、企業システム
- 仮想マシン、クラウド インスタンス:物理サーバーまたはクラウド インフラ上でホストされる、仮想化されたコンピューティング環境
- Webページ、Webサイト:WebブラウザーからアクセスできるHTMLドキュメント(情報サイト、電子商取引プラットフォーム、企業ブログなど)
ID管理とアクセス権限管理の比較
ID管理とアクセス権限管理は混同されがちですが、役割はそれぞれ異なります。ID管理は、エンティティが、提示されているユーザーまたはマシンであることを確認することを目的としています。一方、アクセス権限管理では、検証済みのID情報を使用して、エンティティが使用できるリソースとその使用方法を決定します。
IAMとID管理の比較
IAMとID管理は、サイバー セキュリティの広い範囲では関連性があるものの、対象領域はそれぞれ異なります。ID管理は、IDを管理することに主眼を置いています。一方、IAMは、リソースへの安全かつ適切なアクセス権限を確保するために、アクセス制御の取り組みを強化します。
ID管理 | IAM |
---|---|
ユーザーのデジタルIDライフサイクルへの対応に主眼を置いています | ID管理を統合し、IDが企業ポリシーとセキュリティ要件に従って使用されるようにします |
主な機能は次のとおりです。 | 主な機能は次のとおりです。 |
IAMとID管理が企業に不可欠な理由
企業は、セキュリティとコンプライアンスをサポートし、組織の生産性を向上させるために、IAMを導入する必要があります。
IAMは、従業員だけでなく、契約社員、パートナー、顧客、端末、コード セグメント(API、マイクロサービスなど)の管理にも使用されます。
IAMシステムを通じて、IT管理者に信頼できる唯一の情報源を提供できます。これにより、レコードを作成、維持し、従業員の入社や退職に応じて、リソースに対するユーザー アクセス権限を適切に管理できます。
企業ネットワーク内のさまざまなエンティティのID情報を追跡することは、容易なことではありません。ID管理システムは、認証されたユーザーのみが、使用を許可されている特定のアプリケーション、コンポーネント、システムにアクセスできるようにすることで、企業を保護します。
さらに、IT部門はID管理システムを使用して、ユーザーのアクセス権限にビジネス ポリシーを適用できます。たとえば、機密情報にアクセスする際にセキュリティ保護されたアイデンティティ管理を要求するなど、従属条件を設定できます。
IAMとID管理の利点
- 最小権限の原則を適用
詳細なアクセス制御を活用して、リソースへのアクセス権限を必要最小限に留めます。 - オンボーディングとオフボーディングを自動化
ユーザーの入社、ロール(役割)の変更、退職に応じて、アクセス権限を自動的に付与、変更、取り消すことができます。 - シングル サイン オン(SSO)を有効化
ユーザーが単一のIDを使用して、複数のシステムにログインできるようにします。 - 生産性の向上
ユーザーによるリソースへのアクセスを高速化し、さまざまなユーザー アカウント関連のタスクを自動化することで、IT部門の作業時間を短縮できます。 - 脆弱なパスワードを排除
パスワード ポリシーを実装し、強力なパスワード要件を適用できます。 - 潜在的なリスクを特定
人工知能(AI)を活用して、データ アクセスの異常を検出できます。 - パフォーマンスの測定
IDプログラムの有効性を追跡できます。 - 内部関係者の脅威を低減
行動解析を通じて、内部ユーザーの異常なアクセス権限のパターンを特定できます。 - コンプライアンスの簡素化
すべてのユーザー、アプリケーション、データについて、アクセス権限の統制、使用状況の追跡、ポリシーの適用を行い、法規制遵守に関するレポート作成を自動化できます。 - ゼロトラストのサポート
単純な認証決定だけにとどまらず、各ユーザーに関する最新の包括的なIDレコードを活用して、必要なときに必要なリソースへのアクセス権限のみを付与できます。
IAMとID管理の仕組み
ID管理システムでは、まず、管理下にある各エンティティのデジタルIDを作成します。これにより、ライフサイクル全体にわたる保守、変更、監視のサポートを含め、デジタルIDを管理できるようになります。
企業は、必要なアクセス権限のみを付与するために、IAMシステムを活用して、ユーザー名とパスワードによる広範なアクセス権限を許可するのではなく、IDに基づいて構成された、狭い範囲のアクセス権許諾を割り当てることができます。
これらのシステムを使用して、ネットワーク内のどのユーザーが、どのリソース、端末、資産にアクセスできるのかを制御できます。これにより、リソースへの未認証のアクセスを阻止し、セキュリティと生産性を高め、リスクと脆弱性を低減できます。
IAMシステムは、情報源を継続的に監視します。情報源に何らかの変更が発生した場合、IAMシステムは変更に関する新しい情報を取得して再計算し、ポリシーを適用して、その情報を他のシステムに配信します。通常、これらのシステムには、データを処理するために使用する一連のルールとスクリプトがあります。
適切なIAMシステムの選定
IAMソフトウェアを評価する際は、ベースラインのニーズ評価を事前に行うことが重要です。ベースラインのニーズは、組織によって異なります。ここでは、IAMソリューションを選定する際に考慮すべき、重要な領域をいくつか提示します。選定の指針としてご活用ください。
業種
基本的なIAMシステムは、多くの組織に必要な機能を提供します。ただし、一部の業種では、独自の要件を設けています。一部のソリューションは、さまざまな業種(医療、金融サービスなど)に合わせてカスタマイズされており、特定のニーズ(コンプライアンス、高度なセキュリティ、地理的に分散したユーザー層など)に対応する機能を搭載しています。
オンプレミスとクラウドの導入の比較
クラウドID管理ソリューション(IDaaS)は、多くの組織にとって第一選択肢となっています。ただし、一部の組織は、オンプレミスまたはハイブリッドのオプションを必要としています。各導入オプションの概要、利点、利用可能なサポートを理解することが重要です。
組織の規模
IAMソフトウェアに対するニーズは、組織の規模に応じて異なります。これらのソフトウェアは、IT環境、事業拠点、ユーザーの所在地、ワークロードに最適な機能とツールを提供できる必要があります。組織の規模に関するもう1つの重要な考慮事項は、成長予測です。大幅な成長が見込まれる組織は、ニーズの変化に応じて拡張できるシステムを選択する必要があります。
サポート要件
最初に検討すべきことは、導入や実装に関するサポートです。IAM、ID管理プロバイダーを評価する際は、各プロバイダーが提供するサポートが、組織のニーズと一致しているかどうかを判断する必要があります。
システムの運用を開始すると、継続的な保守と監視が必要になります。組織は、保守と監視を自社だけで行うかどうか、ベンダーのサポートを受ける必要があるかどうかを判断する必要があります。
ユーザー層
組織は、IAMシステムを評価する際、自社のユーザー層を考慮する必要があります。たとえば、人間のユーザーが従業員だけに限定されるのか、外部ユーザー(契約社員、顧客、パートナーなど)も含まれるのかを検討します。また、人ではないエンティティ(端末、アプリケーション、クラウド ストレージなど)も考慮する必要があります。
必要な機能
IAMソフトウェアを選定するときは、機能の優先順位付けを行うことが重要です。多くのベンダーは、基本的な機能セットを提供しています。一方、拡張機能については、多くの場合、ベンダーごとにサービスが異なります。
ID管理システムを評価する際は、システムが次の機能や特徴を提供しているかどうかを確認する必要があります。
管理
- ユーザーとアクセス権許諾を一括変更可能
- クラウド、オンプレミスで導入した既存、新規アプリケーションの自動プロビジョニング
- オペレーション、監視、保守向けの、わかりやすく使いやすいコンソールとツール
- セルフサービスのパスワード管理により、ユーザーはITサポートなしでパスワードを設定、変更可能
認証、アクセス
- 複数のシステム(レガシー アプリケーション、クラウド アプリケーション、ネットワーク リソース、サーバーなど)にログイン可能
- 認証技術を搭載またはサポート(ワンタイム パスワード、生体認証、ナレッジベース、キー カード、携帯電話ベースのトークンなど)
- 認証情報の提供方法を含む、スムーズな認証ユーザー エクスペリエンス
- 企業のネットワーク内外のユーザーに対するサード パーティ(顧客、契約社員、パートナー)アクセス権限の付与
IDディレクトリ
- すべてのユーザー名と属性を含む、クラウドベースのディレクトリ オプション
- アプリケーションをプロファイル マスターとしてサポート(ディレクトリは、アプリケーション内のユーザー プロファイルを、該当するユーザー プロファイルの継続的に信頼できる情報源として扱います。マスター アプリケーション内のプロファイルに変更が生じた場合は、他のアプリケーションのプロファイルにも、その変更が反映されます)
- 幅広いIDリポジトリ(Active Directory、LDAPなど)との質の高い統合
プラットフォーム
- ユーザー インターフェースをカスタマイズ可能
- 信頼性の高いクラウドベース サービス
- ワークロードが大きい場合でも最適なパフォーマンスを維持
- ユーザー数の増加に対応できる拡張性
- ベンダーは適切なセキュリティ プロトコルを遵守し、適切な認証を取得済み
- オペレーション管理のために、事前に構築されたカスタマイズ可能なレポートを提供
- 監査要件をサポートするログ機能
- 外部サービス プロバイダーに対して、IDプロバイダーとしての役割を果たすことが可能
- ブラウザーベースのアプリケーションに対するクロスブラウザーのサポート
- クラウド、オンプレミスのアプリケーションとの統合をサポートするAPI
プロビジョニング
- 関係者とマネージャーは、定義されたワークフローに基づいて、アクセス権限の変更要求を承認または拒否可能
- 日付に基づいて複数のアプリケーションへのアクセス権限を終了可能
- オンプレミス、クラウドのアプリケーションに対するアカウントとアクセス権限の自動作成、変更、削除
- プロファイル双方向同期により、プロビジョニング システムまたはアプリケーションで変更が行われた場合に、アプリケーション間でプロファイル属性の一貫性を維持
- ポリシー管理機能により、管理者はアクセス ポリシーを作成し、要求、プロビジョニングのプロセス全体でポリシー制御を適用可能
- 更新されるすべてのシステムにおいて、プロファイル属性を必要な形式に変換可能
- ロール管理機能により、管理者は、一連の認証権限に関連付けられたロールを作成可能
- ユーザーは、アプリケーションへのアクセス権限を要求可能。ユーザーがポリシー要件を満たしている場合は、アクセス権限を自動的にプロビジョニング可能(セルフサービス アクセスなど)
システム、アプリケーションのサポート
- 企業ポリシーで許可されている場合、ユーザーは自身の端末から企業アプリケーションにアクセス可能
- さまざまなモバイルOSに対応するモバイル機能
- ネイティブ/クラウド アプリケーションへのシングル サイン オン(SSO)
- 主要なクラウド/オンプレミス アプリケーションへの標準統合
IAMの実装における課題
IAMの実装における主な課題は、次のとおりです。
- ユーザーの期待を理解し、適切に管理
- 関係者の要件に対応
- コンプライアンス標準の統合
- 複数のユーザー ソース、認証要素、オープンな業界標準を考慮する際に必要な知識とスキルの欠如
- IAMを大規模に実装するための専門知識
クラウドとオンプレミスの導入の比較
多くのソリューションと同様に、IAMは、オンプレミスからクラウドに移行される傾向にあります。クラウドでホストされるIAMソリューションは、IDaaS(Identity as a Service)カテゴリの一部です。IDaaSの導入には、次のような多くの利点があります。
- 分散型冗長システムにより、信頼性とセキュリティを向上
- 効率性の向上
- SLA(サービス品質保証)による稼働時間の増加
- システム、インフラの購入と保守の必要性を減らすことで、コストを削減
- クラウドのIAMのみを使用するか、オンプレミスのIAMソリューションと併せて導入するかを選択可能
IAMの標準
IAMソリューションは、企業のすべてのシステム、ユーザー、ロールに対するアクセス権限を包括的に可視化するために、他のさまざまなシステムと統合する必要があります。そうした統合を容易にするために、IAMプラットフォームは、次のような標準をサポートしています。
Oauth 2.0
Oauthは、Webサイト、モバイル アプリ、IoT、その他の端末に対する安全なアクセス権限を提供する、オープン標準のID管理プロトコルです。伝送時に暗号化されたトークンを使用するため、認証情報を共有する必要はありません。最新バージョンのOauth 2.0は、主要なソーシャル メディア プラットフォームや消費者向けサービスで使用されている人気のフレームワークです。
SAML(セキュリティ アサーション マークアップ言語)
SAMLは、IDアクセス制御ソリューションと他のアプリケーションとの間で認証/認可情報を交換するために利用される、オープン標準です。SAMLでは、XMLを使用してデータを伝送します。通常、IAMプラットフォーム上で、IAMソリューションと統合されたアプリケーションにサインインする機能をユーザーに提供するために、SAMLを使用します。
OIDC(OpenID Connect)
OIDCのリリースにより、OpenIDはOauthの認証レイヤーとして広く採用されるようになりました。SAMLと同様に、OIDCはシングル サイン オン(SSO)を実現するために広く利用されています。ただし、OIDCでは、XMLではなくREST/JSONプロトコルを使用します。これにより、OIDCは、ネイティブ アプリとモバイル アプリの両方に対応できます。一方、SAMLの主なユース ケースは、Webベースのアプリケーションです。
LDAP(Lightweight Directory Access Protocol)
長い歴史を持つID管理プロトコルの1つであるLDAPは、データ(ユーザー情報、端末情報など)を保存、整理し、ユーザーが組織データや個人データを検索できるようにします。また、ユーザーを認証し、それらのデータにアクセスできるようにします。LDAPは、オープンな業界標準プロトコルであり、アプリケーションがディレクトリ サービスと通信できるようにします。一般的に、LDAPは、シングル サイン オン(SSO)サポート、SASL(Simple Authentication and Security Layer)、SSL(Secure Sockets Layer)などのユーザー認証をサポートするために使用されます。
SCIM(System for Cross-Domain Identity Management)
SCIMプロビジョニングは、ユーザーIDの管理プロセスを簡素化するために開発されました。組織は、クラウド運用を効率化し、ユーザーを容易に追加、削除できます。これにより、コストを削減し、リスクを最小限に抑え、ワークフローを簡素化できます。また、クラウドベース アプリケーション間の通信も容易にします。
IAMとID管理のユース ケース
法規制遵守
IAMは、組織が規制要件を遵守できるようサポートします。具体的には、ユーザー アクセス権限、特権アクセス権限、データ ガバナンスを適切に管理できるようにします。IAMソリューションは、アクセス権限と特権アクセス権限の詳細情報、および機密情報に対する未認証のアクセスを防止するために導入されている、データ保護プロトコルに関する情報を提供するレポートを自動的に作成し、コンプライアンス監査を簡素化します。
BYOD(Bring Your Own Device)
IAMソリューションを活用すれば、さまざまな端末や場所をまたいで、膨大なデータや複数のアプリケーションへのアクセスを可能にすることで、従業員の生産性を向上できます。ID管理/IAMソリューションは、適切なID検証とアクセス制御を確実に実装し、管理者が私物端末をオンボーディングできるようにします。
IoT(モノのインターネット)
IAMソリューションを活用すれば、管理が難しいIoT端末にセキュリティ プロトコルを拡張できます。IAMソリューションでは、IoT端末をユーザーとして扱います。実績のあるID認証/認可方法を採用し、IAM機能を活用して監視を容易にします。
今後期待されるIDセキュリティの新たな要素
今後普及することが見込まれるIAMの新たなテクノロジーには、次のようなものが挙げられます。
- 動的なトラスト モデル
AIモデルを活用して、過去の行動やインタラクションに基づいて認可を調整できるようになります。 - 円滑なアクセス
高度なプライバシー プロトコルを導入し、物理チャネル、デジタル チャネル、携帯電話をまたいで、ユニバーサル生体認証を実現できます。 - ユニバーサルID
IDを統合、連携し、普遍化することで、独自のIDを使用することが標準になります。
IAMで企業を保護
IAMは、企業セキュリティ プログラムを構成する重要な要素の1つです。サイバー犯罪者が悪用する可能性のある、不注意または意図的に作成されたネットワーク エントリー ポイントから、重要な資産とシステムを隔離できます。IAMのさまざまな機能を活用すれば、ID管理の予算を削減できるだけでなく、新しいビジネス上の課題や機会に応じて、迅速かつシームレスに方向転換できます。
IAM/ID管理の用語集
アクセス権限管理
アクセス権限管理とは、ITリソースに対するアクセス権限を制御、監視、管理するために使用される、一連の慣行、ツールです。
AD(Active Directory)
ADとは、MicrosoftのユーザーIDディレクトリ サービスです。他のシステムと統合し、ユーザーのアクセス権限をプロビジョニング、プロビジョニング解除します。
認証
認証とは、ユーザー(個人、アプリケーション、サービス)にデジタル システムへのアクセス権限を付与する前に、ユーザーのIDを検証するためのプロセスです。認証に使用されるツールには、パスワード、ワンタイム個人識別番号、生体認証情報などがあります。
認可
認可とは、組織によって実装、維持されているアクセス権許諾設定に基づいて、ユーザーがアクセスできるアプリケーション、ファイル、データを検証するプロセスです。ユーザーのIDが認証されると、ユーザーの特権アクセス権限が認可されます。
生体認証
生体認証では、指紋、網膜、顔の特徴などの固有の特性を使用して、ユーザーのIDを検証します。
クラウド インフラ権限管理(CIEM)
CIEMとは、クラウド インフラ環境全体でID、アクセス権限、特権、アクセス権許諾を管理するために使用される、セキュリティ プロセスです。
プロビジョニング解除
プロビジョニング解除とは、ネットワーク内のアプリケーション、システム、データへのユーザー アクセス権限を削除する行為です。
IDaaS(Identity as a Service)
IDaaSとは、クラウドベースのIAMサービスです。
IDガバナンス/管理(IGA)
IGAポリシーは、IDライフサイクル全体を網羅する、ID管理とアクセス制御に対するポリシーベースのアプローチです。
IDプロビジョニング
IDプロビジョニングを活用すれば、ユーザー アカウントを管理し、ユーザーが適切なリソースにアクセスし、そのリソースを適切に使用しているかどうかを確認できます。
多要素認証(MFA)
MFAとは、アプリケーションや端末などのITリソースへのアクセスを認証するための、2つ以上の認証メカニズムを組み合わせたアクセス権限管理ツールです。
最小権限の原則
最小権限の原則とは、必要最小限の時間でタスクを実行するために必要なリソースに対する、最小限のアクセス権限またはアクセス権許諾のみをユーザーに付与する、セキュリティ アプローチです。
特権アクセス管理(PAM)
PAMでは、特権ユーザーが業務(実装、保守、更新など)を実行するために付与される、アプリケーション、システム、サーバーに対する広範なアクセス権限を管理します。PAMツールは、特権ユーザー アカウントとその他のユーザー アカウントを分離し、それらのアカウントに関連するアクティビティを綿密に追跡します。
ロール ベース アクセス制御(RBAC)
RBACを導入すれば、企業は、特定のカテゴリに属するユーザーが職務を遂行するために必要なアクセス レベルに基づいて、一連のアクセス権許諾を割り当てることで、高度なアクセス権限を作成、適用できます。RBACでは、ロール、職務、責任に基づいて、さまざまなユーザーに特権アクセス権限を付与できます。
職務分掌(SoD)
SoDとは、組織がエラーや不正行為を防ぐために使用するセキュリティ原則です。セグリゲーションとも呼ばれています。
シングル サイン オン(SSO)
SSOとは、ユーザーが単一の認証情報を使用して、複数のアプリケーションやサイトにアクセスできるようにする認証機能です。