IDガバナンスおよび管理（IGA）とは

組織がオンプレミス・システム、クラウド・サービス、SaaS（Software as a Service）アプリ全体で何千ものユーザー・アカウントを管理するようになるにつれて、誰が何にアクセスできるかを追跡することがますます複雑になります。

各デジタルID（ユーザー、デバイス、アプリケーションを表すもの）は、重要なシステムや機密データへの潜在的なゲートウェイとなります。適切なガバナンスが欠如すると、この広大なエコシステムは重大なセキュリティリスクとコンプライアンス上の課題を引き起こします。

IBM®によるデータ侵害のコストに関する調査によると、盗難または侵害された認証情報は最も一般的な初期侵害ベクトルであり、データ侵害の原因の内16%を占めています。ハッカーが正規の認証情報を入手すると、ネットワーク内の自由に移動し、機密データやシステムにアクセスできるようになります。

IDガバナンスおよび管理ソリューションは、IDベースの攻撃から保護し、潜在的なデータ侵害を防ぐのに役立ちます。

IGAツールは、ユーザー・プロビジョニングを自動化し、アクセス・ポリシーを実装し、オンボーディングからオフボーディング時のデプロビジョニングまで、IDライフサイクル全体を通して定期的なアクセス・レビューを実施できます。これらの機能により、組織はユーザーの権限とアクティビティーをさらに監視できるようになり、特権の誤用や悪用の検知と阻止が容易になります。

IGAソリューションは、一般データ保護規則（GDPR）、医療保険の相互運用性と説明責任に関する法律（HIPAA)、サーベンス・オクスリー法（SOX 法)などの規制への継続的なコンプライアンス確保にも役立ちます。IGAは、機密性の高いシステムとデータへのアクセスが正しく割り当てられ、定期的にレビューされるようにするだけでなく、内部監査と外部監査の両方をサポートする監査証跡を生成する上でも役立ちます。

IGAとIDおよびアクセス管理（IAM）は、IDセキュリティ内の関連してはいるものの異なるフレームワークです。IAMはユーザーがデジタル・リソースにアクセスする方法を扱い、IGAはユーザーがアクセス権を適切に使用できるようにします。

IAMは、パスワード管理、認証、日常的なアクセス権限の付与、アカウント管理など、IDセキュリティの運用面を処理します。IGAは、ガバナンス機能（監督、ポリシーの執行、コンプライアンス機能など）を追加することで、IAMを拡張します。

IAMとIGAは、一連の補完的な質問に対処するものだとと考察できます。

• IAM：ユーザーはリソースにどのようにアクセスするのか、またそれらのリソースを使用して何ができるのか？

• IGA：ユーザーにこのアクセス権を与えるべきか、また当社の統制がコンプライアンス要件を満たしていることを証明できるのか？

実際には、組織はIAMツールとIGAツールを一緒に実装します。たとえば、金融アナリストがマーケティング部門に異動する場合、IAMはアクセス権限の変更の技術的側面を処理し、IGAはそれらの変更が企業のポリシーに準拠していることを確認する際に役立ちます。

IGAソリューションは、複雑化するエンタープライズIT環境、変化するサイバー脅威のランドスケープ、拡大するコンプライアンス要件を組織が管理するためのソリューションとして登場しました。

エンタープライズ・ネットワークは現在、オンプレミス システム、プライベートおよびパブリック・クラウド・プロバイダー、リモート・ワークステーション、多数のSaaSアプリケーションに広がっています。この複雑さにより、手動によるIDガバナンスがほぼ不可能になり、セキュリティー・リスクが増大します。

IGAソリューションは、一元化された可視性、異種のシステムを連携させるコネクター、およびコアワークフローへのオートメーションを通じて、複雑なIT環境に対応するのに役立ちます。

多くのIDガバナンス・ソリューションは、多様な環境で一元的な可視性と制御を可能にする統合ダッシュボードと管理コンソールを提供しています。

たとえば、組織は頻繁にIGAツールを使用して、クラウドサービス、オンプレミス・システム、およびサードパーティ・アプリケーションにわたるすべてのユーザー権限を単一のインターフェースから確認しています。これにより、組織はアプリケーションがホストされている場所に関わらず、一貫したアクセスポリシーを維持することが可能になります。

IGAソリューションには、コネクターや、組織のテクノロジー・スタック内のアプリケーションとプラットフォームをリンクする事前構築済みのインターフェースが含まれており、統一されたIDガバナンスを実現できます。コネクタは、ユーザーデータを同期し、システム間でアクセス・ポリシーを変換し、以前はサイロ化されていたアプリケーション全体で一貫した制御を維持するために役立ちます。

たとえば、金融サービス会社は、コネクタを使用して、コア・バンキング・システム、顧客関係管理（CRM）プラットフォーム、HRデータベースを中央のIGAツールと統合できます。この統合により、従業員の役割が変更された際に、すべてのシステム間でアクセス権を簡単に調整できます。

IGAソリューションは自動化を使用してID管理ワークフローを合理化し、時間のかかる手動プロセスを排除し、ITチームが対応する必要があるヘルプデスク・チケットの数を削減します。IGAツールは、一般的に以下をサポートします。

• セルフサービスのアクセスリクエスト：ユーザーは直感的なポータルを通じて機密データやシステムへのアクセスをリクエストできます。
  
  
• ワークフローの自動プロビジョニング：アカウントの作成、権限の割り当て、アクセスレビューなどの日常的なワークフローを行うための手動プロセスを排除します。
  
  
• 役割の最適化：ユーザーが実際に権限を使用する方法に基づいて、役割の定義とデフォルトのアクセス権限の改善を提案します。

IGAソリューションがなければ、ITスタッフは新入社員の受け入れに際し、複数のシステムのユーザー・アカウントを手作業で作成する必要があります。IGAツールは、ユーザーの役割に基づいて、必要なすべてのシステムにわたってアカウントをリアルタイムかつ自動的にプロビジョニングすることで、このプロセスを合理化できます。

サイバー攻撃は進化しており、脅威アクターはネットワークインフラストラクチャーではなく、IDを標的とするケースが増えています。ユーザーがどこからでも、どのデバイスからでも会社のリソースにアクセスできる場合、従来の境界ベースのセキュリティではもはや十分ではありません。

IBM® X-Force Threat Intelligence Indexによると、有効なアカウントの悪用はハッカーが企業ネットワークに侵入する最も一般的な方法の1つであり、サイバー攻撃の30%を占めています。

IGAソリューションは、最小権限の原則を適用することで、攻撃対象領域を減らし、被害を抑えることができます。つまり、ユーザーには職務の遂行に必要なアクセス権のみが過不足なく付与されます。

IGAソリューションは、他の方法でも組織のセキュリティー体制の改善に活用できます。

• プロビジョニング解除とポリシー適用の自動化：ユーザーが組織を離れた場合、またはセキュリティー・ポリシーに違反した場合、アクセス権を直ちに削除します。
  
  
• 定期的なアクセス・レビュー：プロジェクト完了後に、開発者が本番システムへの管理アクセス権を保持し続けている状況を検知するなど、過剰な権限の特定と取り消しを行います。
  
  
• ゼロトラストの実装：ユーザーが自分の役割に必要なアクセス権のみを持つようにすることで、ゼロトラスト・アーキテクチャをサポートします。
  
  
• リスク・ダッシュボードへのアクセス：ユーザーが通常営業時間外に機密財務データにアクセスした場合に強調表示するなど、潜在的なセキュリティーの脆弱性を視覚化して意思決定を改善します。

昇格されたアクセス権を持つ高リスクの特権アカウントに対する保護を強化するために、組織では、多くの場合、管理者アカウントなどの特権アカウントのセキュリティ保護に特に重点を置いた特権アクセス管理（PAM）ツールと IGAを統合します。

一部のIGAソリューションでは、コンプライアンス違反やデータ侵害を防ぐために、リアルタイムの脅威検知および修復機能も提供されます。

GDPR、HIPAA、SOX、その他の義務などのコンプライアンス要件は、組織によるデータの扱い方についてルールを課します。違反した場合の罰則は重大になる可能性があります。たとえば、GDPR違反の場合、最大2200万ドルまたは企業の世界年間収益の4％のいずれか高い方の罰金が科される可能性があります。

IGAソリューションは、組織がコンプライアンスを合理化するために使用できる制御とドキュメンテーションを提供します。

• ポリシーの自動適用：アクセス権限と承認が規制要件に準拠している状態を確保します。
  
  
• 包括的な監査証跡：監査で使用するためのコンプライアンスに関するエビデンスとして、アクセス関連のすべてのアクティビティを記録します。
  
  
• 通常のアクセス認証：ユーザーのアクセス権をレビューして、各ユーザーの役割と責任に応じて適切に設定されていることを確認します。
  
  
• コンプライアンス・ダッシュボード：ユーザー・アカウントのコンプライアンス状況をリアルタイムで可視化します。

たとえば、医療従事者は、IGAツールを使用して、職責に基づいて患者記録へのアクセスを制限し、記録にアクセスした人の詳細なログを維持することで、HIPAAコンプライアンスを強化できます。

IGAのツールとプラクティスは、オンボーディングからオフボーディングまで、ユーザーのライフサイクル全体を通じてデジタルIDとアクセス権限を管理することに重点を置いています。

IGAの2つの主要なコンポーネントには、IDライフサイクル管理とアクセス・ガバナンスが含まれます。

IDライフサイクル管理では、従業員が組織において加入、異動、または退職する際に、ユーザーIDの作成、変更、無効化が行われます。これにより、新規ユーザーが初日から適切なアクセスを受け、オフボーディング中にそのアクセスが即座に削除されるようにすることができます。

従業員が役割を変更した場合、IGAツールは古くなった権限を自動的に取り消し、更新された責任に基づいて新しい権限を割り当てます。

主要なIDライフサイクル管理プロセスには次のようなものがあります。

• オンボーディング：ユーザー・アカウントと初期アクセスのプロビジョニング。
  
  
• 属性の変更：ユーザー属性（セキュリティ・クリアランス、部門、プロジェクトの割り当てなど）が変更された場合のアクセス権の更新。
  
  
• オフボーディング：ユーザーが組織を退職した際にアクセスをデプロビジョニングします。

アクセス・ガバナンスは、誰がどのリソースにアクセスできるかを監視し、長期にわたってアクセスが適切であることを確実にするために役立ちます。ポリシーの適用、アクセスレビュー、コンプライアンスに重点を置いたID管理の監視レイヤーを提供します。

主なアクセス・ガバナンス機能には、次のものがあります。

• ロールベースのアクセス制御（RBAC）
• 職務の分離（SoD）の徹底
• アクセス認証とレビュー
• 権限管理

ロールベースのアクセス制御（RBAC）は、各ユーザーに個別の権限を割り当てるのではなく、組織内での役割に基づいてユーザーに権限を割り当てます。たとえば、財務ロールはユーザーに購入を許可し、人事ロールはユーザーに人事ファイルの閲覧を許可する場合があります。

IGAソリューションのロール管理機能は、組織が長期にわたるロールを定義、管理、維持するのに役立ちます。

RBACを使用すると、IGAソリューションは個々の権限を1つずつ割り当てることなく、数千人のユーザーのアクセスを管理できます。従業員が入社、部署異動、または退職する際、管理者は数十の個別システム権限を再設定する代わりに、標準化された役割を割り当てたり削除したりするだけで済みます。

職務の分離（SoD）は、職務の分掌とも呼ばれるセキュリティ原則で、単一の個人が過剰なアクセス権限を保有しないようにすることで、利益相反を防止します。

IGAソリューションは、詐欺や悪用につながる可能性のある権限の組み合わせを特定して防止することで、SoDの実施をサポートします。

たとえば、調達プロセスでは、同じ人物が新しいベンダーをシステムに追加することと、そのベンダーへの支払いを承認することの両方はできないようにする必要があります。IGAソリューションは、この取り決めをSoD違反としてフラグを立て、完全にブロックするか、追加の承認を必要とすることができます。

アクセス認証では、ユーザーのアクセス権を定期的にレビューし、長期にわたって適切な状態を維持します。これらのレビューでは通常、マネージャーまたはリソース所有者が、チームメンバーが現在のアクセス権限を必要としていることを確認します。

IGAソリューションは、自動的かつ定期的にレビューを開始することで、アクセスのレビューを合理化するのに役立ちます。金融システムへのアクセスなど、リスクの高いアクセス権は、低リスクの権限よりも頻繁に確認される場合があります。

一部のIGAソリューションは、ユーザーが必要としない可能性のある未使用のアクセス許可にフラグを付けるなど、使用パターンに基づいてアクセス変更を推奨することもできます。

エンタイトルメント管理は、アクセス・ガバナンスのより詳細なコンポーネントであり、ユーザーがシステム内で持つ権限に焦点を当てます。つまり、アクセス・ガバナンスはユーザーがアクセスできる対象について監督し、エンタイトルメント管理はユーザーがそのアクセス権を使って実行できる操作を監督します。

たとえば、会計システムでは、エンタイトルメント管理は、どのユーザーが財務記録を閲覧、編集、または削除できるかなどのきめ細かい制御に対処します。

その他のエンタイトルメント管理機能には、以下のものがあります。

• エンタイトルメントのカタログ化：ユーザー権限のインベントリーを維持する。
  
  
• アクセス・リスク・アセスメント：特定のエンタイトルメントに関連するリスク（顧客の与信限度額を変更する機能など）を評価する。
  
  
• ポリシーベースの制御：機密財務データへのアクセスに監督者の承認を要求するなど、最小権限の原則を維持するため、アクセス要求時にセキュリティー・ポリシーを適用する。
  
  
• アクセス分析：アクセス・パターンに関する洞察を提供し、ユーザーが重要なシステムに対して過剰な権限を持っている場合の検知など、組織が潜在的なセキュリティー・リスクに事前対応的に対処できるようにします。

人工知能（AI）の進歩は、IGAに新たな課題と新たな機会をもたらしています。

脅威アクターは、新しい生成AIツールを使用して IGAワークフローとコントロールを標的にしています。たとえば、AIを使用してディープフェイクや説得力のあるフィッシングメッセージを生成することで、攻撃者は正当なユーザーを騙して認証情報を伝えせることができます。さらに高度なアクターは、機械学習（ML）ツールを使用して許可構造を分析し、IGA制御を回避するためのポリシー回避の機会を特定する可能性もあります。

同時に、ベンダーはAIを使用して、IGAソリューションを静的なコンプライアンス・チェックポイントから適応型リスク管理システムに変換しています。IGAソリューションでAIを活用している例としては、次のようなものがあります。

• インテリジェントなアクセスの推奨：MLツールを使用してユーザーの役割、職務、ピア・グループを分析し、オンボーディングや異動の際に適切な権限を自動的に提案することで、従来のRBACプロセスを改善します。
  
  
• AI駆動型の異常検知：AIアルゴリズムを通じてベースラインとなるユーザーの行動パターンを確立し、標準的なIGA制御では見逃してしまう可能性のある不審な活動に自動的にフラグを付けます。
  
  
• AIを活用したアクセスレビュー：権限レベル、使用状況、SoDの影響に基づいて権限を評価およびスコアリングすることで、IGAシステムはリスクの高いアクセスを手動でレビューするために優先順位を付け、リスクの低い意思決定を自動化できます。