コンテキストが鍵になる：Gartner社 2019年版「アクセス管理のマジック・クアドラント」

記事をシェアする:

アクセス管理とは、適切な人が適切なリソースにアクセスして高い生産性を発揮するようにするための規則です。シングル・サインオン (SSO)、多要素認証 (MFA)、許可を含むアクセス管理ツールは、資格を持つエンド・ユーザーと、彼らがアクセスする必要のあるデジタル・リソースとの間のゲートウェイとして機能し、この規則を徹底させます。従業員、消費者、市民、パートナーへのアクセス権限付与に不可欠のアクセス管理プラットフォーム（英語）は、あらゆる場所に導入されていますが、エンド・ユーザーの視界に触れない場合に最もうまく機能することが多く、水面下で機能してユーザーの属性に基づいてユーザーを特定し、サービス中断を最小限に抑えます。

Gartner社による2019年版「アクセス管理についてのマジック・クアドラント」では、アクセス管理テクノロジーと、これに影響を与える傾向についての専門家による最新情報を提供しています。Gartner社は当リサーチの中で、「2022年までに、User and Entity Behavior Analytics (UEBA) 機能やその他のコントロールを活用し、継続的な認証、許可、オンライン不正検知を提供するアクセス管理実装環境が、現在の10%未満から60%に上がる」と予測しています。

ほとんどのアクセス管理実装環境がワンタイム・アクセスを提供

今日のアクセス管理実装環境の大多数が、最初の認証をデジタル・リソースに送ります。これは、ユーザーの IDと属性の一回限りの検証です。この検証は、ユーザーが能動的に提供する知識ベースのプルーフ（ユーザー名/パスワードおよび別の種類のワンタイム・パスワード）を基準に、あるいはもっと受動的にユーザーの地理位置情報/IP/ブラウザー/デバイスに基づいて行われます。認証イベントはユーザー・セッションの開始時に 1回行われ、場合によってはセッションがタイムアウトしたときにもう 1回行われます。しかし、ユーザーのログオン後はどうなるのでしょうか？

例えば、あるユーザーが既知の資格情報で銀行のアプリケーションにログインし、いつものように自分の口座残高をチェックした後、通常とは異なり、新しい口座と銀行支店コードに多額の送金を開始したら、どうなるでしょう？あるいは、ある企業のある従業員が営業時間外にカスタマー・リレーションシップ・マネジメント (CRM) プログラムから大量のファイルのエクスポートを開始したら、どうなるでしょう？こうしたリスクの高い行為（ユーザーが悪意のあるアクティビティーを開始した場合）によって、アクセス管理プラットフォームに、何かが不適切である可能性があることが警告される必要があります。その時点で、アウト・オブ・バンドの検証メソッドからユーザーに対して、本人であることの確証を提示するようプロンプトが出されます。

適応性とコンテキストの重要性

組織は、正当なユーザーと悪意のあるユーザーとを見分ける必要があります。それも、ログイン時だけでなく、デジタル・ジャーニーを通して見分けることが必要です。ほとんどのアクセス管理プラットフォームは、認証の最初の瞬間にユーザーとその属性を効果的に識別しますが、リスクの高いアクセスを防ぐためにセッションに介入することはできません。効果的に介入するためには、アクセス管理プラットフォームはそのエンド・ユーザーに関するより多くのコンテキスト、通常のエンド・ユーザーやデバイスなどの通常の行動パターンが使用可能である必要があります。また、ユーザー・セッションの開始時だけでなく、セッション中にも、ユーザーに対して再認証を求めるプロンプトを出せるようにする必要があります。それには、アプリケーション自体への広範な統合が必要です。継続性とコンテキストが、アクセス管理の未来への鍵となります。

2019年に Gartner社は、当レポートに含まれる 14社のベンダーの評価にこの能力に対する重みづけを加えました。レポートによると「このマジック・クアドラントにおけるベンダーの製品およびサービスに対する Gartner社の評価には、CARTA (Continuous Adaptive Risk and Trust Assessment：継続的で適応性のあるリスクおよび信頼の評価) のための ID実証機能が組み込まれている、あるいは統合されているアクセス管理 (AM) ソリューションを提供するベンダーの主要能力に関する評価が新しく加えられました。」とあります。

IBMがアクセス管理のリーダーと評価

IBMは、ビジョンの完全性と実行能力から評価され、Gartner社 2019年版「アクセス管理のマジック・クアドラント」でリーダーの 1社に位置づけられました。本レポートの評価対象である IBMのアクセス管理の製品ポートフォリオには、ソフトウェアまたは software-as-a-service (SaaS) 形式のデプロイメント・オプションが含まれます。これによりお客様には、ビジネスに最適なフォーム・ファクターでアクセス管理を提供し、必要に応じてハイブリッド・デプロイメントのアプローチへと組み合わせられる柔軟性も提供できるとIBMは考えます。

IBMのアクセス管理用プラットフォームには、深いコンテキストが組み込まれています。アプリケーションへのアクセスを従業員に提供している組織の場合、統合エンドポイント管理 (UEM) プラットフォーム である IBM MaaS360により、これを実現します。

IBMは最近公開された Gartner社 2019年版「統合エンドポイント管理 (UEM) ツールのマジック・クアドラント（英語）」でも評価され、リーダーの 1社に位置づけられました。

UEMとアクセス管理ツールを連携させれば、既知のデバイスから企業のリソースに対する従業員のアクセスをパスワード不要にすることができます。従業員が未確認のデバイスや、準拠していない管理対象デバイスからリソースにアクセスしようとすると、検証の第2要素が提示されるまで、アクセスはブロックされるか制限されます。消費者または外部ユーザーにアクセスを提供している組織の場合、IBM Trusteer により、ユーザーの行為と脅威に関する詳細なコンテキストが取り込まれ、顧客のライフサイクルを通して不正アクティビティーを防止することができます。最初の登録エクスペリエンスからトランザクションまで、アプリケーションに完全に統合された継続的なリスク・アセスメントにより、アクセス管理はセッション内のユーザーの行為における変化に基づいた検証手段を実行できます。不正検知とアクセス管理が連係して機能することで、「適応アクセス」が現実になります。

アクセス管理へのコンテキストの提供

多くのベンダーがアクセス管理ソリューションを提供しています。コンテキストが鍵となる世界において、ユーザーとそのアクセスについてよりスマートな決定を行うために必要な専門知識とユーザー/デバイス/脅威のコンテキストをアクセス管理に提供しているのは、IBMと考えています。

詳しくは Gartner社「アクセス管理のマジック・クアドラント」をご覧ください（英語）

Gartner社「Magic Quadrant for Access Management」、Michael Kelley 氏、Abhyuday Data 氏、Henrique Teixera 氏、2019年 8月 12日
Gartner社「Magic Quadrant for Unified Endpoint Management Tools」、Chris Silva　氏、他、2019年 8月 6日

免責事項：ガートナーは、ガートナー・リサーチの発行物に掲載された特定のベンダー、製品またはサービスを推奨するものではありません。また、最高のレーティング又はその他の評価を得たベンダーのみを選択するようにテクノロジーユーザーに助言するものではありません。ガートナー・リサーチの発行物は、ガートナー・リサーチの見解を表したものであり、事実を表現したものではありません。ガートナーは、明示または黙示を問わず、本リサーチの商品性や特定目的への適合性を含め、一切の責任を負うものではありません。

【関連情報】

IBMのIDとアクセス管理ソリューションの概要
統合エンドポイント管理 (UEM) プラットフォーム 「IBM MaaS360 with Watson」の概要

【お問い合わせ】

メールでのお問い合わせはこちらから

【著者情報】

Lane Billings

Laneは IBM Securityのアクセスおよび認証担当 Worldwide Product Marketing Managerです。テネシー州メンフィス出身で、現在はテキサス州オースティンに拠点を置き、バーベキューと音楽をこよなく愛しています。Laneは、IDおよびアクセス管理と、企業および消費者のための現実世界におけるその実装について、執筆活動を行っています。

この記事は次の記事の抄訳です。
Context Becomes Key: The ‘2019 Gartner Magic Quadrant for Access Management’ (英語)