アクセス管理は、ユーザーのデジタルリソースへのアクセス権を管理するサイバーセキュリティー分野です。アクセス管理のツールとプロセスは、必要なリソースにアクセスできるのが認可されたユーザーだけとなるようにし、内部ユーザーと悪意のある外部者の両方による不正アクセスを阻止するのに役立ちます。
アクセス管理とID管理は、より広範なサイバーセキュリティー分野であるアイデンティティーおよびアクセス管理(IAM)を構成する2つの柱です。IAMは、ITシステム内でプロビジョニングを行い、デジタルIDとユーザー権限を保護します。
ID管理は、システム内のすべてのユーザー(従業員、顧客、契約社員などの人間ユーザー、およびAIエージェント、IoTやエンドポイント・デバイス、自動化されたワークロードなどの非人間ユーザー)について、IDを作成し維持することを含みます。
アクセス管理は、これらのユーザーが組織のデータ、オンプレミスのリソース、クラウドベースのアプリや資産に安全にアクセスできるようにすることを含みます。アクセス管理の中核的な機能には、ユーザーアクセス・ポリシーの管理、ユーザーIDの認証、有効なユーザーに対するシステム内での特定アクションの実行許可が含まれます。
クラウド・コンピューティング、Software-as-a-Service(SaaS)ソリューション、リモートワーク、生成AIの普及に伴い、アクセス管理はネットワーク・セキュリティーの中核要素となっています。組織は、より多様な種類のユーザーが、より多様な種類のリソースに、より多くの場所からアクセスできるようにする必要があります。その一方で、データ侵害を防ぎ、不正ユーザーを排除しなければなりません。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
米国国立標準技術研究所(NIST)によれば、アクセス管理の中核的な機能には次のものが含まれます。
ほとんどのアクセス管理システムでは、きめ細やかなアクセス・ポリシーによってユーザーのアクセス権限が管理されます。組織は、アクセス・ポリシーを設定するために複数の異なるアプローチを取ることができます。
一般的なアクセス制御フレームワークの1つは、ユーザーの権限が職務に基づいて決定されるロールベース・アクセス制御(RBAC)です。RBACは、ユーザーのアクセス権限を設定するプロセスを合理化し、ユーザーに必要以上の高い権限を付与するリスクを減らします。
例えば、システム管理者がネットワーク・ファイアウォールの権限を設定するとします。
組織は、RBACの代替として、またはRBACと併用して、他のアクセス制御フレームワークを使用できます。これらのフレームワークには、次のものが含まれます。
ほとんどの組織のアクセス制御フレームワークは、最小特権の原則に従っています。ゼロトラスト・セキュリティー戦略によく関連付けられる最小特権の原則は、ユーザーがタスクを完了するために必要な最小限の権限のみを持つべきであるとするものです。将来のセキュリティーリスクを防ぐため、タスク完了後には権限を取り消す必要があります。
認証は、ユーザーが自ら主張する本人であることを確認するプロセスです。
ユーザーがシステムにログインしたり、リソースへのアクセスを要求したりする際、ユーザーは「認証要素」と呼ばれる認証情報を送信し、自身の身分を証明します。たとえば、人間のユーザーはパスワードまたは生体認証指紋スキャンを入力する一方で、人間以外のユーザーはデジタル証明書を共有する場合があります。
アクセス管理ツールは、提出された要素を、ユーザーについて保存している認証情報と照合します。一致すれば、そのユーザーにアクセスが許可されます。
パスワードは最も基本的な認証形式ですが、最も弱い認証形式の1つでもあります。今日のほとんどのアクセス管理ツールは、より高度な認証方法を使用しています。これらの手法には次のようなものがあります。
承認は、検証されたユーザーにリソースへの適切なレベルのアクセス権を付与するプロセスです。
認証と承認は深く関係しており、通常、認証は承認の前提条件です。ユーザーの身元が確認された後、アクセス管理システムは、中央のデータベースまたはポリシーエンジンに記録された事前定義のアクセス・ポリシーに基づいて、そのユーザーの権限を確認します。その後、システムはセッション中にその特定の権限をユーザーに付与します。
アクセス・ポリシーに基づいてユーザーの権限を制限することで、アクセス管理ツールは、権限を悪意を持って乱用する内部脅威と、権限を誤って使用してしまう善意のユーザーの両方を防ぐのに役立ちます。
ユーザーのID検証に失敗した場合、アクセス管理システムはそのユーザーを承認せず、そのアカウントに関連付けられた権限の使用をブロックします。これにより、外部の攻撃者が正規ユーザーの権限を乗っ取り、悪用することを防ぐことができます。
アクセス管理ソリューションは大きく2つのカテゴリーに分類できます。従業員などの内部ユーザーのアクセスを制御するツールと、顧客などの外部ユーザーのアクセスを制御するツールです。
組織の内部ユーザー(スタッフ、管理職、管理者など)は、多くの場合、業務アプリ、メッセージングアプリ、社内データベース、人事システムなど、複数のシステムへのアクセスを必要とします。
企業の内部リソースのほとんどは機密情報と見なされ、悪意のあるハッカーから保護する必要があります。しかし、すべての内部ユーザーがすべての内部リソースへの同程度のアクセスを必要とするわけではありません。組織には、ユーザーのアクセス権限を詳細レベルで制御できる高度なアクセス管理ツールが必要です。
一般的な内部アクセス管理ツールには、次のようなものがあります。
IAMプラットフォームは、ID管理とアクセス管理の中核機能を1つのシステムに統合した包括的なソリューションです。IAMプラットフォームの一般的な機能には、ユーザー・ディレクトリー、認証ツール、アクセス・ポリシー管理、アイデンティティー脅威の検出と対応(ITDR)機能があります。
特権アクセス管理(PAM)は、アクセス管理の一分野であり、高度な権限を持つユーザーアカウント(管理者アカウントなど)や、機密データの操作などの特権アクティビティーを管理・保護します。
多くのITシステムでは、高度な権限を持つアカウントは、悪意のある攻撃者が深刻な損害を与えるために利用できる高価値の標的であるため、特別な保護が施されています。
PAMツールは、認証情報の保管庫やジャストインタイム(JIT)アクセス・プロトコルを使用して、特権IDを他と分離します。JITは、ユーザーに恒久的な昇格権限を与えるのではなく、要求に応じて、特定のリソースへの特権アクセスを期間限定で認可します。
アイデンティティー・ガバナンスおよび管理(IGA)ツールは、組織のアクセス・ポリシーとアクセス制御が、セキュリティー要件や法規制の義務を満たしていることを確保するのに役立ちます。
IGAソリューションは、各ユーザーのライフサイクル全体にわたって、コンプライアンスに準拠したアクセス・ポリシーを定義・実装するためのツールを提供します。一部のIGAツールは、ユーザーのオンボーディングやプロビジョニング、アクセスレビュー、新規アクセス要求、退職ユーザーのアクセス解除など、主要なコンプライアンス・ワークフローの自動化にも役立ちます。これらの機能により、組織はユーザーの権限とアクティビティーをさらに監視できるようになり、特権の誤用や悪用の検知と阻止が容易になります。
ZTNAソリューションは、「決して信頼せず、常に検証する」というゼロトラストの原則に従うリモートアクセスツールです。
従来のリモートアクセスツール(VPNなど)は、リモートユーザーを企業ネットワーク全体に接続します。これに対し、ZTNAは、ユーザーがアクセス権を持つ特定のアプリやリソースのみに接続します。
さらに、ZTNAモデルでは、ユーザーが暗黙的に信頼されることはありません。ユーザーのIDや所在地に関係なく、すべてのリソースへのすべてのアクセス要求は検証および確認されなければなりません。
組織は、多くの場合、外部ユーザーがリソースへ安全にアクセスできるようにする必要があります。顧客は、ECプラットフォーム上の自分のアカウントにアクセスする必要がある場合があります。ベンダーは、請求システムにアクセスする必要がある場合があります。ビジネス・パートナーは、共有データにアクセスする必要がある場合があります。外部アクセス管理ツールは、こうした外部ユーザー専用に提供されます。
内部アクセス管理と外部アクセス管理の両方に同じツールを使用する組織もありますが、この戦略は常に実行可能とは限りません。内部ユーザーと外部ユーザーでは、必要なものが異なる場合があります。例えば、外部ユーザーはセキュリティーよりも利便性を優先することが多い一方、内部ユーザーはより強力な保護を必要とする高い権限が必要です。
カスタマーIDおよびアクセス管理(CIAM)ツールは、顧客や組織外のその他のユーザーに対するデジタルIDとアクセスセキュリティーを管理します。
他のアクセス管理ツールと同様に、CIAMシステムはユーザーを認証し、デジタルサービスへの安全なアクセスを可能にします。主な違いは、CIAMツールが、段階的プロファイリング(ユーザーが時間をかけてプロフィールを完成できる機能)やソーシャルログインなど、ユーザーフレンドリーな機能を通じてユーザー体験を重視している点です。
アクセス管理ツールは、認可されたユーザーが所在場所に関係なく機密リソースへ安全にアクセスできるようにするのに役立ちます。
その結果、ネットワークはより安全かつ効率的になります。ユーザーは業務に必要なアクセスを途切れることなく利用できる一方で、脅威アクターや不正ユーザーは排除されます。
組織がハイブリッドやマルチクラウド環境を採用するにつれて、集中型のオンプレミスITネットワークは過去のものとなっています。境界防御型のセキュリティー・ソリューションや戦略では、世界中に分散したデバイス、ユーザー、アプリ、データベースにまたがるネットワークを効果的に保護することはできません。
さらにハッカーは、IDの攻撃対象領域にますます注目し、認証情報を盗んでネットワークへ侵入しています。IBM® X-Force Threat Intelligence Indexによると、サイバー攻撃の30%は有効なアカウントの盗難と悪用に関連しています。
アクセス管理ツールは、アクセスそのものを保護することで、防御の重点を境界から個々のユーザー、リソース、機密データへと移します。認証ツールはユーザーアカウントをハイジャックから保護し、認可ツールはユーザーが自らの権限を正当な目的のみに使用することを確実にします。
アクセス管理ツールは、定期的なアクセスレビューの実施や、ユーザーが組織を離れたり役割を変更した際のアクセス解除など、一部のセキュリティー業務を自動化するのにも役立ちます。これらのツールは、時間の経過とともにユーザーが必要以上の権限を徐々に、かつ気付かれないまま持つようになってしまう「権限の肥大化」と呼ばれる問題への対策にも役立ちます。
アクセス管理ツールは、安全性を損なうことなく、ユーザーが必要なリソースへ容易にアクセスできるようにします。例えば、シングル・サインオン(SSO)システムを使えば、ユーザーは一度認証するだけで複数のリソースにアクセスできます。生体認証を利用すれば、ユーザーはパスワードよりも破られにくく、かつ入力が容易な指紋スキャンなどの固有の認証情報でログインできます。
アクセス管理ツールは、ユーザーのプロビジョニングとアクセス解除のプロセスを効率化できます。例えば、ロールベースのアクセス制御フレームワークでは、事前に定義されたポリシーに基づいて、ユーザーに適切な権限を自動的に割り当てることができます。システム管理者の定型業務が減り、新入社員は手動でのアクセス承認を待たずにすぐに業務を開始できます。
ペイメント・カード業界データ・セキュリティー基準(PCI DSS)や一般データ保護規則(GDPR)などのデータプライバシーおよびセキュリティー規格や規制では、特定の種類の機密情報に対して組織が厳格なアクセス制御を維持することが求められます。
これらに準拠しない場合の代償は高くつく可能性があります。例えば、GDPRの重大な違反には、最大で2,000万ユーロまたは前年度の全世界売上高の4%のいずれか高い方の罰金が科される可能性があります。
アクセス管理ソリューションは、中央で定義されたアクセス権限を適用し、必要なユーザーだけが正当な理由でデータにアクセスできるようにすることで、組織がコンプライアンス要件を満たすのに役立ちます。
一部のアクセス管理ツールは、ユーザーのアクティビティーやアクセス要求を記録し、コンプライアンスの証明や違反の特定に役立つ監査証跡を作成することもできます。
アクセス管理ツールは、効率性、セキュリティー、コンプライアンスを向上させることで、組織のコスト削減に貢献できます。
例えば、強力な認証ツールは多くのIDベースの攻撃を阻止し、セキュリティー脅威によるダウンタイムを減らすことができます。ユーザー権限が自動的にプロビジョニングされることで、ITチームが対応するヘルプデスクへの問い合わせ件数が減る可能性があります。また、アクセス・ポリシーがコンプライアンスに準拠していれば、組織が罰金や法的費用に直面する可能性も低くなります。