ID管理とアクセス管理(IAM)は、適切なエンティティー(人またはもの)が適切なリソース(アプリケーションまたはデータ)を必要なときに、使用したいデバイスを使用して妨害なく使用できるようにするセキュリティー手順です。 IAMは、各エンティティーへの単一のデジタルIDの割り当て、ログイン時の認証、特定のリソースへのアクセスの許可、それらのIDのライフサイクル全体にわたる監視と管理を、IT管理者ができるようにするシステムとプロセスで構成されています。
IAMの対象とする利用者は、従業員にとどまりません。 組織は、契約業者やビジネス・パートナー、リモートやモバイルの利用者、顧客にもセキュアなアクセスを提供する必要があります。 デジタル・トランスフォーメーションにより、IDはモノのインターネット(IOT)のデバイス、ロボット、APIやマイクロサービスなどのコードにも割り当てられるようになりました。 マルチクラウド・ハイブリッドIT環境とSaaSソリューションにより、IAMを取り巻く状況はさらに複雑になっています。
ユーザーと重要なエンタープライズ資産の間に位置するIDとアクセス管理(IAM)は、あらゆるエンタープライズ・セキュリティー・プログラムの重要なコンポーネントです。 IAMは、ランサムウェアを仕掛けたり、データを盗んだりしたい犯罪ハッカーにとって一般的なネットワーク侵入ポイントである、ユーザー資格情報の漏洩やパスワードの簡単な解読から保護します。
適切に行われれば、IAMはビジネスの生産性を高め、デジタル・システムが摩擦なく機能するようにできます。 従業員がどこにいてもシームレスに働くことができる一方、一元化した管理により、仕事に必要な特定のリソースにのみアクセスすることができます。 さらに、システムを顧客、契約業者、供給業者に開くことにより、効率を高め、コストを削減することができます。
IAMシステムの重要なタスクは、エンティティが誰であるか、または何であるかを認証することです。 ほとんどの基本認証は、人がログイン画面にユーザー名とパスワードを入力する際に行われます。 IAMシステムはデータベースをチェックし、それらが記録と一致することを確認します。 最新の認証ソリューションは、資産の保護を向上させるためのより高度なアプローチを提供します。
認証と許可
ユーザーがシステムで検証される場合は、そのユーザーがアクセスできる情報や、そのユーザーが表示を許可されている情報をそのシステムが認識する必要があります。
シングルサインオン(SSO)ソリューションは、ユーザーの生産性を高め、摩擦を減らします。 個人が1つのセットのログイン資格情報(ユーザー名とパスワード)を一度入力すれば、複数のアプリケーションにアクセスできて、それらの間をシームレスに切り替えることができます。
多要素認証(MFA)は、アプリケーションにアクセスするために、ユーザー名に加えて2つ以上のID資格情報を提示することをユーザーに要求することにより、保護レイヤーをさらに追加するものです。 たとえば、パスワードと、メールやテキスト・メッセージで送信された一時コードを入力することが求められる場合があります。
アダプティブ認証とも呼ばれるリスクベース認証ソリューションは、高いリスクの存在を検出したときにのみ、ユーザーにMFAを要求します。 これはたとえば、IPアドレスに基づいて、ユーザーのロケーションが予想と異なる場合、またはマルウェアが検出された場合などです。
IDとアクセスを管理するシステムがなければ、真のデータセキュリティは実現できません。 IAMソリューションは適切に実装されると、複数のアプリケーション、ロケーション、デバイスにわたってデータにアクセスすることができるようになり、労働者の生産性を高めることができます。 また、他の組織、ベンダー、ビジネス・パートナーとのコラボレーションも促進することができます。
IAMソリューションを実装する最善のアプローチは、既存のレガシー・システムの監査を行うことです。 ギャップと機会を特定し、利害関係者と早期かつ頻繁にコラボレーションします。 すべてのユーザー・タイプとアクセス権限のシナリオを提示し、IAMソリューションが満たす必要がある目標の中核セットを定義します。
デジタルIDと許可方法の割り当てに加えて、IT管理者には各エンティティーにアクセス権限と特権を付与する方法が必要です。 現在のアクセス管理のベスト・プラクティスは、「最小特権」です。 これは、各エンティティーまたはアプリケーションに、タスクの実行またはジョブの実施に必要なリソースのみへのアクセス権を、必要な最短の時間のみ割り当てることです。
組織全体でIDデータを収集して分析するプロセスまたはフレームワークはIDガバナンスと呼ばれます。堅固なIDガバナンス・プログラムを使用することは、規制要件を満たして組織に対するリスクを制御するときに役立つ可能性があります。
IAMとAI
人工知能(AI)はID管理とアクセス管理において次第に変革的な役割を果たすようになってきており、それによって組織は認証とアクセス管理にきめ細かい適応的なアプローチを行えるようになっています。 AIはまた、ユーザーとエンティティーの行動分析(UEBA)で不審なアクティビティーを識別するために不可欠です。 悪意のあるログイン、短期間での大量のログイン試行、不明な場所、認識されていないデバイス、会社の仮想私設網(VPN)上のユーザーであるかどうかなどの指標は、悪意のあるアクティビティーを示す可能性があります。 AIは、リアルタイムまたはほぼリアルタイムの調査でこれらの指標にフラグを立てて、ハッキングの試行を阻止することができます。
IAM、クラウド、IDaaS
IAM (クラウドから) :Identity as a Service(IDaaS)とマネージドIDサービス。
ID管理とアクセス管理サービスをクラウドから提供するベンダーの数が増加しています。 1つのアプローチは、Identity as a Service(IDaaS)として知られており、スタンドアロン・ソリューションの場合も、既存のオンプレミスIAMシステムの補完である場合もあります。 管理IDサービスでは、他の管理セキュリティー・サービス・ソリューションと同様に、セキュリティー・プロバイダーがクラウドまたはオンプレミスで実行されるエンタープライズIAMソリューションを監視および管理します。
クラウド用のIAM。
現在の企業は、アプリケーションとデータをオンプレミス、従来型システムとプライベートクラウド、さらには1つ以上のパブリッククラウド環境に持っています。 リソースがどこにあっても、ユーザーのアクセス権をできる限りシームレスに管理することが課題となっています。 ハイブリッドマルチクラウド環境全体でSSOとMFAをサポートできるIDおよびアクセス管理システムが理想です。
IAMとBYOD
現在のモバイルの世界では、従業員は自分の携帯電話、タブレット、ノートPC、またはウェアラブル・デバイスを使用してどこからでも自由に仕事をすることを望んでおり、組織はそれを実現するために個人所有デバイスの業務使用(BYOD)プログラムを採用しています。 IAMを統合エンドポイント管理プラットフォームと組み合わせると、組織はモビリティーを取り入れてBYODを安全に採用することができます。
IAMとIoT
よく知られた話を以下に示します。 ハッカーが水族館のスマートな温度計に不正侵入し、企業ネットワークにアクセスして顧客データを盗みました。 ネットワークに接続されたCCTVカメラでも同じことが起こりました。 この実例が示すのは、事実上あらゆるモノのインターネット(IoT)デバイスはハッキング可能であり、アクセス管理なしではネットワークはハッカーに大きく開かれているということです。 現在のIAMソリューションはIoTデバイスを、ネットワーク・アクセスの前に識別と許可が必要なエンティティーとして対応します。
リモートワークが当たり前となり、モバイル・デバイスの使用の浸透が最大化するとともに、ID管理とアクセス管理の領域は大幅に拡大しています。 保護されていないネットワークと、今までにないほどのユーザーの期待が組み合わさることにより、新規デバイス接続の殺到や、機密情報へのリモート・アクセスの要求の混乱、そしてユーザーが不正サイトにアクセスしてしまうことによるフィッシングやその他のWebベースの攻撃の迫りくる脅威が生じています。
人工知能(AI)は、パターンを認識し、指数関数的に(つまりリスクと同じ速度で)知識を拡張する能力があるため、IAMの将来の手段となります。
継続的な認証により、ユーザーのコンテキストは対話のたびに常に評価されます。 AIは時間、場所、さらにはユーザーの動作までも考慮しながら、あらゆる点において潜在的なリスクのレベルを計算して、微細な相互作用を分析することができます。 次世代のAVソフトウェア、ホストベースのファイアウォール、および/またはエンドポイント検出と対応(EDR)は進化を続け、組織内のセキュリティーをさらに強化します。
すべてのユーザーに適切なレベルの安全なアクセスを関連付けます。
クラウドIAMにリスク・ベース認証のための詳細なコンテキストを組み込むことで、スムーズで安全なアクセスをサービス利用者や従業員に提供します。
よりセキュアな将来のために、ID分析によりID管理とガバナンスをモダナイズします。
特権アクセスの管理、アプリケーションの制御、エンドポイントの特権セキュリティーの機能で、サイバー攻撃のリスクを低減し、デジタル・ビジネスを保護します。
サービス利用者ID管理とアクセス管理のための、魅力的でモダンで安全なデジタル・エクスペリエンスを設計します。
堅牢なアクセス管理とVerify SaaSへの直接接続により、ハイブリッドIAMのアプローチを実現して、IDaaSへの段階的な移行を簡素化します。
脅威の状況をグローバルな視点で把握し、サイバー攻撃のリスクを理解する
セキュリティーに関する最新のトレンドやニュースを常に把握してください。
今後のイベントまたはWebセミナーにご参加ください。
無料のセキュリティー・チュートリアルでスキルを伸ばします。
現在のセキュリティー・トピックと新たに台頭してきているセキュリティー・トピックに関するIBMの見解をご覧ください。
IBMのCIOオフィスが従業員とクライアント全体の次世代デジタル認証のためにIBM Security Verifyに切り替えた理由をご覧ください。
Commercial International銀行が、IBMのセキュリティー・ソリューションおよびコンサルティングを利用してデジタル・セキュリティーをモダナイズすることにより、組織としてセキュリティー豊富な環境を築いた方法についてご覧ください。