IDファブリックとは。

デジタル・トランスフォーメーションの時代において、ほとんどの企業組織は、オンプレミスの資産、レガシー・アプリケーション、そしてさまざまなクラウドベースのサービスを含む、ハイブリッドおよびマルチクラウド環境を管理しています。これらのシステムにはそれぞれ独自のIAMソリューションがあるのが一般的です。つまり、組織は複数のユーザーディレクトリとIDシステムを管理する必要があります。

分断されたIDシステムの急増は、ユーザー・エクスペリエンスを低下させ、悪意のある攻撃者が利用できる可視性とセキュリティーのギャップを生み出す可能性があります。IBM® X-Force Threat Intelligence Indexによると、IDベースの攻撃は最も一般的な攻撃ベクトルの1つであり、侵害の30%を占めています。

IDファブリックは、組織のデジタルエコシステム全体で分断されたIDシステムを統合する上で役立ちます。この統合により、アクティビティを監視し、あらゆるアプリケーションとプラットフォームにおけるすべてのユーザーに対して、一貫したIDガバナンス、認証、承認対策を適用することが容易になります。

この集中型のアプローチにより、ユーザー アクティビティの可視性が向上し、組織のセキュリティー体制と運用効率が強化され、より合理化されたユーザー・エクスペリエンスがサポートされます。

IDファブリックにより、組織がさまざまなアプリ、資産やサービスにおける異種のIDシステムを統合することが可能になります。組織は、統一されたアクセス・ポリシーを適用し、ユーザー・アクティビティを監視し、脆弱性に対処し、すべてのシステムにわたって一貫したセキュリティ制御を実装できます。

IDおよびアクセス管理システムは、重要なIDセキュリティツールです。このシステムはデジタルIDを保護し、不正なアクティビティーをブロックし、適切な人物が適切な理由で適切なリソースにアクセスできるようにします。

ただし、ほとんどの組織では、複数のユーザー・ディレクトリーに接続された複数のIAMソリューションを管理しています。少なくとも、ほとんどの組織では、内部ユーザー用に1つのIAMソリューションを使用し、顧客やその他の外部ユーザー用に別の顧客IDおよびアクセス管理（CIAM）ソリューションを使用しています。

しかし、多くの組織は、2つを超えるIDシステムを扱っています。各レガシー・アプリ、クラウド・プロバイダー、オンプレミス・システムには、独自のIAMソリューションとディレクトリー・サービスが存在する場合があります。

これらのIDに関するサイロは、各システムが異なる認証情報、権限レベル、セキュリティ対策を求めるため、一貫性のないユーザー体験を引き起こします。

さらに、切断されたIDシステムは、重大なセキュリティー・リスクをもたらします。ユーザーIDはサイバー攻撃における最大の標的です。X-Force Threat Intelligence Indexによると、認証情報の盗難は、侵害の被害者が直面する最も一般的な被害です。

一元的なアプローチがなければ、FIDOパスキーを使用したパスワードレス認証、リスクベース認証（RBA）、リアルタイムID脅威管理などの強力なサイバーセキュリティー対策を適用することが困難になる可能性があります。一部のIAMシステムでは、これらの対策の一部をサポートしていない場合さえあります。

IDファブリック・ソリューションは、アプリ、資産、クラウド・プロバイダーにわたるデジタルIDの管理と保護を統合したレイヤーを提供します。組織は、ユーザー・アカウントとアクティビティに関するより詳細な可視性を獲得し、すべてのシステム、アプリケーション、プラットフォームにわたってユーザーを保護するポリシーとプロセスに対する、一貫した制御を強化できます。

医療従事者がIDファブリック・アーキテクチャーを使用して、医療従事者向けのより安全で効率的なシステムを作成する方法について考えてみましょう。

一般的な医療従事者は、スケジューリングシステム、患者記録システム、遠隔医療プラットフォーム、他の医療従事者とデータを共有するためのシステムなど、さまざまなテクノロジー・ツールに依存しています。

IDファブリックを導入することで、実務者は単一のIDを通じてこれらすべてのシステムにアクセスできるようになります。この方法は、複数のログインを要求するよりも便利であるだけでなく、組織がすべてのプラットフォームで同じアクセスレベルとセキュリティ制御を適用できるようにします。たとえば、医師は各システム内のすべての患者のデータにアクセスできますが、自分以外の患者のデータにはアクセスできません。

一元化されたポリシー適用により、データ・プライバシー法の遵守が確保され、正当なユーザーが実際に必要な権限よりも多くの権限を持っている場合を含め、不正アクセスを防止できます。

IDファブリックは、組織のネットワーク内に数多く存在する異種のIDサービスを統合型IAMインフラストラクチャーに統合して同期することで機能します。

多くのIDファブリックは、アプリケーション・プログラミング・インターフェース（API） に大きく依存しています。APIは、分断されたシステムが安全に通信し、IDデータを交換し、一貫したIDおよびアクセス管理ポリシーを適用できるようにします。ファブリックによっては、OAuth やSecurity Assertion Markup Language（SAML）などの標準化された通信プロトコルを使用してIAMシステムと接続します。

IDファブリックの実装にはさまざまなオプションがあります。一部のベンダーは、IDシステムをすぐに接続するための総合的な機能を備えたIDファブリック・プラットフォームを提供しています。さまざまなポイント・ソリューションを統合することにより、最高クラスのアプローチを導入する組織もあります。特殊なニーズを持つ組織は、カスタムコードとAPIを使用して独自のIDファブリックを構築する場合があります。

IDファブリックの性質と構造は異なる場合がありますが、ほとんどの組織では、これらの要素を組み合わせてファブリックを作成します。

Identity Orchestrationソフトウェアは、異種のIAMシステムを調整して、一貫性のあるスムーズなIDワークフロー（ユーザーログイン、オンボーディング、アカウントプロビジョニングなど）を作成します。

Identity Orchestrationプラットフォームは、ネットワーク内のすべてのIDシステムの中央コントロール・プレーンとして機能します。すべてのIDツールはオーケストレーション・プラットフォームと統合され、統一されたファブリックを作成します。

Identity Orchestrationツールは、ユーザーが単一の認証情報で複数のアプリケーションにアクセスできるようにするシングル・サインオン（SSO）システムを作成するためによく使用されます。

ID脅威検知および対応（ITDR）ソリューションは、システムを監視し、データ侵害やその他の問題につながる可能性のある、権限昇格やアカウント乗っ取りなどのIDベースの脅威を検出して修復します。

ITDRソリューションが潜在的に悪意のある動作を検知すると、セキュリティー・チームに警告を発し、機密データへのアカウント・アクセスを即座にブロックするなどの自動応答を開始します。

レガシー・アプリケーションは、多要素認証（MFA） やゼロトラストアーキテクチャーなどの最新のセキュリティ対策を必ずしもサポートしているわけではありません。多くのIDオーケストレーションプラットフォームやIDファブリック・ソリューションは、これらのアプリケーションを高速化するためのローコードおよびノーコード・ツールを提供しています。これらのツールは、レガシー・アプリ上でIDワークフローを構成するための視覚的なドラッグ・アンド・ドロップ・インターフェースを提供します。たとえば、アプリがMFAをサポートしていない場合、Identity Orchestrationツールはそのアプリを別のMFAソリューションに接続し、2つのシステムの間に合理化されたワークフローを作成できます。

適応型認証とも呼ばれるリスクベース認証（RBA）は、組織の資産にアクセスしようとする各ユーザーのリスク・レベルをリアルタイムで評価します。RBAは、これらのリスク・アセスメントに基づいて認証要件を動的に調整します。

RBAは、入力速度、デバイスの使用状況、物理的な位置情報などのユーザー行動を評価し、ユーザーのリスク・レベルを判定します。ユーザーが典型的な行動を示している場合（既知のデバイスを使用し、同じ場所からログインしているなど）は、リスクが低いとみなされます。彼らは、IDを確認するためにパスワードを入力するだけで済むかもしれません。

あるいは、未知のデバイスや新しい場所からログインするユーザーは、よりリスクが高いとみなされる場合もあります。RBAシステムは、ユーザーを指紋スキャンなどの追加のアクセス制御手段の対象とする場合があります。

ディレクトリー・サービスは、システムやアプリケーションのユーザーに関する情報を保管および管理するリポジトリーです。組織のIT環境全体でディレクトリー・サービスを同期すると、組織はすべてのユーザーに対する、単一かつ権限のあるビューが得られます。これにより、組織はディレクトリーごとに個別のポリシー・セットを必要とせずに、すべてのシステムのすべてのユーザーに統一されたIDセキュリティー・ポリシーを適用できます。

IDガバナンスおよび管理（IGA）ツールは、オンボーディングからプロビジョニング解除、オフボーディングまで、ライフサイクル全体を通じてユーザーIDを管理するのに役立ちます。IGAの目的は、アクセスポリシーとユーザーアクティビティが一般データ保護規則（GDPR）や医療保険の相互運用性と説明責任に関する法律（HIPAA）などの規制に準拠していることを確認することです。

IGAツールは、ユーザー・プロビジョニング、アクセス・ポリシーの施行、アクセス権レビューの実施などのアクティビティーの自動化と合理化に役立ちます。

特権アクセス管理（PAM）ツールは、特権アカウント（管理者アカウントなど）と特権アクティビティ（機密データの操作など）を管理・保護します。

特権アカウントは、ハッカーが深刻な損害を引き起こすために使用できる価値の高いターゲットであるため、標準アカウントよりも強力な保護が必要です。PAMは、認証情報の保管やジャストインタイム・アクセスなどの高度なセキュリティー対策を適用し、ユーザーが昇格された権限を取得する方法と、それを使用して行動することを厳密に制御します。

断片化されたIAMシステムとユーザー・ディレクトリーはIDサイロを生み出す可能性があり、組織には個別のシステムごとに異なるIDとアクセス制御を管理する必要が生じます。IDファブリックを実装すると、これらのサイロをなくし、IDおよびアクセス管理を合理化できます。

IDファブリック・アーキテクチャーは、切断されたIDサービスを統合することで、各ユーザーに対して単一のデジタルIDを作成します。これにより、組織は、各ユーザーのアクセス・クラウド環境、レガシー・システム、アプリケーションに従う統一された権限とポリシーを設定、適用できます。これにより、ユーザーがアクセスするアプリケーションやシステムに関係なく、一貫したユーザー・エクスペリエンスを確保できます。

IDファブリックは、システムの拡張性もサポートします。組織は、新しいツールや資産をネットワークに導入することで、IDシステムが中断される可能性があるかどうかを心配する必要はありません。新しいリソースはそれぞれ同じファブリックに統合されます。

組織は多くの場合、最新のサイバーセキュリティ技術と慣行を実装するための一元的な管理ポイントとしてIDファブリックを使用します。たとえば、組織が多要素認証（MFA）を強制したり、どのユーザーにも本質的に信頼しないゼロトラストアプローチを適用したい場合があります。

複数のIAMソリューションとユーザー・ディレクトリーが存在する断片化されたシステムの中では、組織がこれらのサイバーセキュリティー対策を一貫して実施することは困難です。しかし、IDファブリックを使用することで、組織はIDセキュリティー・ポリシーを統一的に可視化し、制御できるようになります。安全なアクセスを一元的に実施し、システム全体のユーザーの行動を追跡、分析して、潜在的な脅威を検知できます。

組織は、多くの場合、データ保護とコンプライアンスへの取り組みを簡素化するために、一元化されたIDファブリックを活用します。ユーザーの役割に基づいて機密データへのアクセスポリシーを適用し、ユーザーがそのデータをどのように使用しているかを追跡し、最小権限の原則が遵守されていることを確認できます。

統一されたシステムでデジタルIDを管理することで、組織はコンプライアンス基準を適用し、すべてのシステムとアプリケーションでユーザー・アクティビティーを同時に記録できます。この機能により、監査証跡やコンプライアンスレポートを規制機関に提供することが容易になります。