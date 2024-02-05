国や地域の官公庁・自治体にとって、IDは堅牢なセキュリティー実装の核心です。多くの個人が機密の個人データを商業団体や官公庁・自治体に毎日開示しているため、公的機関は資産を保護するために厳格なセキュリティー対策を講じる必要があります。
2021年5月に発表された米国の大統領令14028では、この堅牢なセキュリティーの必要性が強調されており、国のサイバーセキュリティー体制の強化が求められています。この大統領令は、IDおよびアクセス管理（IAM）システムのモダナイゼーションを強調することで、デジタル資産を保護し、サイバー脅威を軽減することの重要性を強調しています。同時に、連邦ID、認証情報、アクセス管理（FICAM）プログラムは、IDとアクセスを保護するための政府のアプローチを形成する上で極めて重要な役割を果たしてきました。
この記事では、これらの原則をさらに深く掘り下げ、FICAMシステムを導入する利点を明らかにし、ベスト・プラクティスについての洞察をご紹介します。
連邦ID、認証情報、アクセス管理（FICAM）は、連邦組織がリソースへのアクセスを管理、監視、保護するのを支援するために設計されたセキュリティー・プロトコルの包括的なフレームワークです。FICAMは、許可された個人のみが正当な理由で認可されたリソースにアクセスできるようにし、不正アクセスの試みから組織を保護します。
FICAM（連邦ID、認証情報、アクセス管理（FICAM））は、米国連邦政府関連機関向けのICAMプロトコル、方法論、システムの拡張版です。これにより、ファイル、ネットワーク、サーバー、物理的な場所などの安全なリソースへのアクセスを管理できるようになっています。
ICAMセキュリティーは、アイデンティティー（ID）、認証情報、アクセスという3つの基本的な柱に基づいて構築されています。次のセクションでは、各概念の概要を説明し、FICAMがどのようにそれらを導入しているかを解説します。
アイデンティティーとは、個人を定義する属性の集合を指します。米国政府のコンテキストでは通常、ここには政府機関が収集した個人情報または生体認証情報が含まれます。ID管理とは、組織によるユーザーIDの設定、維持、削除を可能にするポリシーのオーケストレーションを意味し、IDの検証、ユーザー・アカウントの管理、正確なアカウント記録の維持に不可欠です。
ID管理の重要な部分はガバナンスであり、セキュリティー・リスクやコンプライアンス違反を特定するための分析を含む、ICAMの機能と活動を指針とします。
認証情報管理：認証情報は、本質的に個人のアイデンティティーを裏付けるものです。アカウント登録、情報の保守、リソースの提供に不可欠な特定のロジックを通じてIDと関連付けられたアクセス認証情報は、認証情報管理によって発行、監視、更新、取り消しを行うことができます。
アクセス管理では、許可された個人のみがリソースにアクセスしたり、リソースに対する特定のアクションを実行できるようにします。さらに、アクセス管理の原則には、政府機関が他者から発行されたID、属性、認証情報を受け入れられるようにする連邦向け運用コンポーネントが含まれます。これにより相互運用性が向上し、インテリジェントなアクセスの決定が容易になります。これは、アクセス・ポリシーとルールの定義や、ユーザーの認証、承認、権限の決定に極めて重要です。
FICAMは、官公庁・自治体のテクノロジー・エクスペリエンスのセキュリティーと有効性を強化することを目的とした5つの戦略的目標を定めています。これらの目標は、連邦法の遵守を促進し、デジタル官公庁・自治体サービスへのアクセスを合理化し、セキュリティーを強化し、信頼できる相互運用可能でコスト効率の高い環境を促進するためのものでもあります。
ICAMセグメントアーキテクチャは、リソースへの信頼性が高く
相互運用性のあるアクセスを実現するために、組織がさまざまなセグメントの個人をどのように識別、認証、承認すべきかを明確にしています。セキュリティー体制と効率性の改善、個人情報の盗難やデータ侵害のリスクの軽減、個人を特定できる情報（PII）の保護の強化に役立ちます。
FICAMの核心は、エンタープライズ・アイデンティティの実践、ポリシー、情報セキュリティー分野に焦点を当てた政府機関のための包括的なフレームワークです。ITシステム、アプリ、ネットワークに共通のフレームワークを提供し、FICAMを形成する標準とポリシーについて情報を提供します。
OMB Circular A-108、OMB 19-17、大統領令13883、NIST SP 800-63-3など、FICAMプログラムの設計の背後にあるアーキテクチャー原則は、いくつかの連邦法、ポリシー、および標準によって規定されています。すべての標準のリストはこちらから確認できます。
IBMのテクノロジーを活用することで、提供されているアーキテクチャー・サンプルを実装してFICAMの導入を容易にすることができます。
ここに掲載されている図は、FICAM実装について必要な部分を強調するリファレンス・アーキテクチャーです。アクセスに関する決定の一貫性と標準化を図るためには、ポリシーの適用と決定ポイントを一元化することが推奨されます。その後、プロバイダーのOOTBコンポーネントを活用するか、機関内の既存のソリューションと統合することで、セキュリティーに関する意思決定を強化できます。これらのコンポーネントは、多要素認証、エンドポイント・デバイス分析、SIEMツールからの脅威フィードなどの機能を提供することで、FICAMアーキテクチャーを強化できます。
ポリシーと標準に準拠し、ICAMを適切に実装するには、次のガイドラインを考慮してください。
オープンスタンダードに基づいたソリューションで、無数のパートナーと統合できるIBM Security Verify SaaSのようなベンダーを選択すれば、堅牢なIDおよびアクセス管理のための広範な統合と相互運用性が実現します。
多要素認証は、アクセス侵害のリスクを軽減し、各ユーザーのIDに対する信頼を強化します。FIDO Allianceが提供するパスキーやVerify SaaSなどの認定製品などのフィッシング耐性の高い方法を導入することで、セキュリティー体制を強化します。
適応型アクセスを脅威インテリジェンス・フィードと組み合わせると、認証攻撃に対する堅牢な防御が実現できます。この統合により、ユーザー・ログインに関連するコンテキスト分析が強化され、計算されたリスク・スコアに基づいて、十分な情報に基づくアクセス決定を推奨します。
「適応型」プロバイダーを評価するときは、システムによって生成された推奨事項の品質に注目してください。ユーザーエージェントタイプ、位置情報、IPアドレスリスクなどの「静的」コンテキストを収集するだけでは不十分です。タイピング速度、マウスの動きなどの生体認証コンテキストを評価するなど、コンテキストの拡張を検討してください。ほとんどのベンダーは静的コンテキストを提供していますが、生体認証の変化を検知したり、エンドポイント上の仮想マシンの存在を検知したりする機能を提供するベンダーはほとんどありません。
このアクセス制御モデルは、属性に基づいてアクセス権限を設定し、管理者がアクセス・ポリシーを柔軟に管理できるようにし、セキュリティー、データ・プライバシー、コンプライアンスとのギャップを効果的に修正します。最も機密性の高い認証情報をさらに保護するには、特権アクセス管理ツールと組み合わせることを検討してください。
相互運用性を高めるには、OAuth2などのオープンスタンダードのICAM機能を導入してください。これらのリソースを保護し、認証を強化するために、APIアクセス管理の実装を検討してください。
上記のガイドラインを遵守し、IBM Security Verify SaaSを活用することで、組織はセキュリティー体制を強化し、コンプライアンスを維持し、機密情報を効果的に保護できます。
FICAMを実装すると、連邦政府機関が重要なセキュリティー関連の課題に対処できるようになります。個人情報の盗難やデータ侵害のリスクを軽減し、コンプライアンスを促進し、フェデレーションとPIV資格情報の互換性を通じて連邦機関をつなぎ、セキュリティーを強化するための標準化されたフレームワークを提供します。
IBMのIDおよびアクセス管理テクノロジーの活用は、連邦ID、認証情報、およびアクセス管理（FICAM）プログラムを実施する官公庁・自治体や連邦機関にとって極めて重要です。IBMのソリューションは、既存のインフラストラクチャーとシームレスに統合できるように細心の注意を払って設計されているため、政府機関は現在のシステムに大規模な変更を加えることなく、セキュリティーを強化できます。この相互運用性は、特にさまざまなレガシー・システムが運用されていることが多い官公庁・自治体の環境では、中断することなくセキュリティー対策を強化できるため、非常に重要です。さらに、IBMのテクノロジーはOAuthやFIDO2などの最新プロトコルのサポートに長けており、政府機関がセキュリティーが充実した使いやすいアクセスを維持し、多様で進化するデジタル環境でデータの整合性と機密性を維持できるように支援します。
さらに、IBMのソリューションは、レガシー環境に対する広範なサポートを提供しています。この主要な機能は、依然として古いテクノロジーに依存している機関にとって非常に貴重なものです。これにより、政府機関は高度なセキュリティーおよびコンプライアンス機能の恩恵を受けながら既存のシステムを引き続き使用できるため、セキュリティーに対するバランスの取れた適応性のあるアプローチが可能になります。さらに、IBMのテクノロジーが提供する個人識別情報検証 （PIV）および共通アクセスカード（CAC）資格情報の包括的なサポートは、政府関連の分野では重要な役割を果たします。これにより、機密情報およびシステムへの安全かつ信頼性の高いアクセスが容易になり、各機関はアクセスを綿密に制御できるようになり、不正アクセスや潜在的なセキュリティー侵害から保護されます。
本質的に、IBMのIDおよびアクセス管理テクノロジーは、セキュリティーに対する多面的で適応性のあるアプローチを提供します。これにより、官公庁・自治体は公的機関の業務における多様なランドスケープの中で、セキュリティー体制を強化し、資産を保護し、進化するセキュリティー基準に準拠し、オペレーションの効率とユーザーの利便性を維持できるようになります。
