ホーム
Topics
IDアクセス管理
公開日:2024年1月22日
寄稿者:Matthew Kosinski、Amber Forrest
IDおよびアクセス管理(IAM)とは、ユーザーがデジタル・リソースにアクセスする方法と、それらのリソースを使用して何ができるかを扱うサイバーセキュリティー分野です。IAMシステムは、ハッカーの侵入を防ぎつつ、業務の遂行に必要な権限のみをユーザーに付与し、それ以上の権限を持たせないようにします。
平均的な企業ネットワークには、人間のユーザー(従業員、顧客、請負業者)と人間以外のユーザー(ボット、IoT、エンドポイント・デバイス、自動化されたワークロード)の両方が存在します。リモートワークやクラウド・コンピューティングの台頭により、これらのユーザーはますます分散化しており、アクセスする必要のあるリソースも分散しています。
組織は、オンプレミス、リモート、クラウドベースの場所に分散しているアプリと資産に対するこのようなユーザー全員の行為を追跡するのに四苦八苦しているかもしれません。この制御の欠如は深刻なリスクをもたらします。ハッカーは、検出されずにネットワークに侵入できます。悪意のあるインサイダーがアクセス権を悪用する可能性があります。無害なユーザーであっても、誤ってデータ保護規制に違反するかもしれません。
IAMイニシアチブは、アクセス制御を効率化し、資産の正当な使用を中断することなく資産を保護できるようにします。IDおよびアクセス管理システムは、ユーザーの役割、コンプライアンスのニーズ、その他の要因に応じてカスタマイズされた権限を備えた個別のデジタルIDをすべてのユーザーに割り当てます。このようにして、IAMは、適切なユーザーのみが適切な理由で適切なリソースにアクセスできるようにしながら、不正なアクセスやアクティビティーがブロックされるようにします。
IBM Verifyを使用してフロー・デザイナーで組織のIAMを簡素化する方法をご覧ください。
IAMの目的は、ハッカーの侵入を阻止すると同時に、許可されたユーザーが必要なすべてのことを簡単に行える一方で、許可された範囲以上のことをできなくすることです。IAMの実装では、この目標を達成するためにさまざまなツールや戦略が使用されますが、それらはすべて同じ基本構造となる傾向にあります。
一般的なIAMシステムには、ユーザーのデータベースまたはディレクトリーがあります。このデータベースには、各ユーザーが誰であるか、コンピューター・システムで何ができるかについての詳細が含まれています。ユーザーがシステム内を移動すると、IAMはデータベース内の情報を使用してユーザーの身元を確認し、ユーザーのアクティビティーを監視し、データベースで実行できると指定されたことだけをユーザーが実行できるようにします。
IAMの仕組みをより深く理解するには、IAMイニシアチブの4つのコア・コンポーネント(IDライフサイクル管理、アクセス制御、認証と許可、IDガバナンス)に注目することが役立ちます。
IDライフサイクル管理は、システム内のすべての人間および人間以外のユーザーのデジタル・ユーザーIDを作成し、維持するプロセスです。
ユーザーのアクティビティーを監視し、カスタマイズされた権限を適用するには、組織は個々のユーザーを識別する必要があります。IAMは、各ユーザーにデジタルIDを割り当てることでこれを実現します。デジタルIDは、各ユーザーが誰または何であるかをシステムに伝える識別属性の集まりです。多くの場合、IDにはユーザーの名前、ログイン認証情報、ID番号、役職、アクセス権などの特性が含まれます。
デジタルIDは通常、中央のデータベースまたはディレクトリーに保存され、信頼できる情報源として機能します。IAMシステムは、このデータベース内の情報を使用してユーザーを検証し、ユーザーに何を許可するか、何を許可しないかを決定します。
一部のIAMイニシアチブでは、ITチームまたはサイバーセキュリティー・チームが手動でユーザーのオンボーディングを処理し、時間の経過とともにIDを更新し、システムから離れるユーザーをオフボードまたはプロビジョニング解除します。一部のIAMツールではセルフサービス・アプローチが可能です。ユーザーが情報を提供すると、システムが自動的にユーザーのIDを作成し、適切なアクセス・レベルを設定します。
個別のデジタルIDにより、組織がユーザーを追跡できるだけでなく、企業はより詳細なアクセス・ポリシーを設定および適用できます。IAMを使用すると、企業はすべての承認済みユーザーに同じ権限を付与するのではなく、異なるIDに異なるシステム権限を付与できます。
現在、多くのIAMシステムはロールベースのアクセス制御(RBAC)を使用しています。RBACでは、各ユーザーの権限は、その職務と責任のレベルに基づいています。RBACは、ユーザーのアクセス権限を設定するプロセスを合理化し、ユーザーに必要以上の高い権限を付与するリスクを減らします。
ある企業がネットワーク・ファイアウォールにアクセス許可を設定しているとします。営業担当者は、仕事上でアクセス権を必要としないため、まったくアクセス権を持たない可能性があります。初級のセキュリティー・アナリストには、ファイアウォールの構成の表示はできても、変更はできない場合があります。最高情報セキュリティー責任者(CISO)は、すべての管理アクセス権を持ちます。会社のSIEMをファイアウォールと統合するAPIは、ファイアウォールのアクティビティー・ログを読み取ることができますが、それ以外の文書は何も表示されません。
セキュリティーを強化するため、IAMシステムはユーザーのアクセス権限に最小権限の原則を適用することもあります。ゼロトラスト・サイバーセキュリティー戦略と関連付けられることが多い最小権限の原則では、ユーザーにはタスクを完了するために必要な最小限の権限のみを付与し、タスクが完了したらすぐに権限を取り消す必要があると規定されています。
最小権限の原則に従って、多くのIAMシステムには、特権アクセス管理(PAM)用の独自の手法とテクノロジーがあります。PAMは、システム管理者など特権ユーザー・アカウントのアカウント・セキュリティーとアクセス制御を監督するサイバーセキュリティー分野です。
特権アカウントは他のIAMロールよりも慎重に扱われます。それらの認証情報が盗まれると、ハッカーがやりたいことを何でもできるようになってしまうためです。PAMツールは、セキュリティーを強化するために認証情報ボールトとジャストインタイムのアクセス・プロトコルを使用して、特権IDをその他のIDから分離します。
各ユーザーのアクセス権に関する情報は通常、各ユーザーのデジタルIDの一部としてIAMシステムの中央データベースに保存されます。IAMシステムはこの情報を使用して、各ユーザーに個別の権限レベルを適用します。
認証と承認は、IAMシステムが実際にカスタマイズされたアクセス制御ポリシーを適用する方法です。
認証とは、人間であるか否かを問わず、ユーザーが本人であることを確認するプロセスです。ユーザーがシステムにログインするか、リソースへのアクセスを要求するとき、ユーザーは本人確認のために認証情報を送信します。例えば、人間のユーザーはパスワードを入力するかもしれませんが、人間以外のユーザーはデジタル証明書を共有することがあります。IAMシステムは、これらの認証情報を中央データベースと照合します。一致すればアクセスが許可されます。
ユーザー名とパスワードの組み合わせは最も基本的な認証形式ですが、最も弱い形式の1つでもあります。そのため、現在、ほとんどのIAM実装では、より高度な認証方法が使用されています。
多要素認証(MFA)では、本人確認のために2つ以上の認証要素を入力する必要があります。一般的な要素には、ユーザーの電話に送信されるセキュリティー・コード、物理的なセキュリティー・キー、指紋スキャンなどの生体認証などがあります。
シングル・サインオン(SSO)を使用すると、ユーザーは1セットのログイン認証情報を使用して複数のアプリやサービスにアクセスできます。SSOポータルはユーザーを認証し、他のリソースのセキュリティー・キーとして機能する証明書またはトークンを生成します。SSOシステムは、Security Assertion Markup Language(SAML)などのオープン・プロトコルを使用して、さまざまなサービス・プロバイダー間でキーを自由に共有します。
リスクベース認証とも呼ばれる適応型認証は、AIと機械学習を使用してユーザーの行動を分析し、リスク・レベルの変化に応じて認証要件をリアルタイムで変更します。リスクベースの認証方式では、リスクの高いアクティビティーに対し厳格化した認証を要求することで、ハッカーや内部脅威が重要な資産に到達することが困難になります。
通常のデバイスや場所からログインするユーザーの場合、このような日常的な状況ではリスクがほとんどないため、パスワードを入力するだけでよい場合があります。同じユーザーが信頼できないデバイスからログインしたり、特に機密情報を表示しようとする場合、より高いリスクの行動になるため、指定する要素を増やすことがあります。
ユーザーが認証されると、IAMシステムはデータベース内のデジタルIDに関連する権限をチェックします。IAMシステムはユーザーに、その権限で許可されたリソースへのアクセスとタスクの実行のみを許可します。
IDガバナンスは、ユーザーがアクセス権を使用して行う行為を追跡するプロセスです。IAMシステムはユーザーを監視して、権限を乱用していないことを確認し、ネットワークに忍び込んだ可能性のあるハッカーを捕まえます。
IDガバナンスは規制を遵守する上で重要です。企業は通常、一般データ保護規則(GDPR)やPayment Card Industry Data Security Standard(PCI-DSS)などのセキュリティー要件に合わせてアクセス・ポリシーを策定します。IAMシステムは、ユーザーのアクティビティーを追跡することで、企業がポリシーが意図したとおりに機能することを確認できます。IAMシステムは、企業が必要に応じてコンプライアンスを証明したり、違反を特定したりするのに役立つ監査証跡を作成することもできます。
ユーザーの認証やアクティビティーの追跡など、主要なIAMワークフローの多くは、手動で行うのが困難か完全に不可能です。代わりに、組織はテクノロジー・ツールを利用してIAMプロセスを自動化します。
これまで、組織はポイント・ソリューションを使用してIAMのさまざまな部分を管理していました。例えば、1つのソリューションでユーザー認証を処理し、別のソリューションでアクセス・ポリシーを適用し、3つ目のソリューションでユーザー・アクティビティーを監査していました。
今日、IAMソリューションは多くの場合、すべてを実行するか、複数のツールを1つに一体化する包括的なプラットフォームです。IAMプラットフォームにはさまざまな種類がありますが、それらはすべて次のような共通のコア機能を共有する傾向にあります。
一部のIAMソリューションは、特定のエコシステム向けに構築されています。例えば、Amazon Web Services(AWS)IAM プラットフォームとGoogle Cloud IAMプラットフォームは、それぞれのクラウドでホストされているリソースへのアクセスを制御します。
Microsoft、IBM、Oracleなどが提供する他のIAMソリューションは、ホストされている場所に関係なく、企業ネットワーク内のすべてのリソースに対して機能することを目的としています。これらのIAMソリューションは、SAMLやOpenID Connect(OIDC)などのオープン標準を使用して、アプリケーション間でユーザー認証情報を交換することで、あらゆる種類のサービスのIDプロバイダーとして機能できます。
IDおよびアクセス管理ソリューションは、オフプレミスに移行し、 サービス型ソフトウェア(SaaS)モデルを採用するケースが増えています。「サービス型ID」(IDaaS)または「サービス型認証」(AaaS)と呼ばれるこれらのクラウドベースのIAMソリューションは、オンプレミスのツールにはないかもしれないいくつかの機能を提供します。
IDaaSツールは、分散ユーザーがさまざまなデバイス(Windows、Mac、Linux、モバイル)からログインしてサイト上やプライベートクラウド、パブリッククラウドにあるリソースにアクセスする複雑な企業ネットワークで役立ちます。オンプレミスのIAMツールは、さまざまな場所にいる非常に多くの各種ユーザーやリソースにすぐに対応できない場合がありますが、IDaaSでは対応できることがほとんどです。
IDaaSを使用すると、組織はIAMサービスを請負業者、顧客、その他の従業員以外の役割に拡張できます。そのため、ユーザーごとに異なるシステムを使用する必要がなくなるため、IAMの実装が簡素化されます。
IDaaSツールを使用すると、企業は、新しいユーザー・アカウントの作成、アクセス・リクエストとIDガバナンスの認証など、IAMのより時間とリソースを消費する部分の一部をアウトソーシングすることもできます。
IAMイニシアチブは、サイバーセキュリティー、事業運営など、さまざまなユースケースの実現に活用できます。
マルチクラウド環境、AI、自動化、リモートワークの増加に伴い、デジタル・トランスフォーメーションでは、企業はより多くの種類のユーザーがより多くの場所でより多くの種類のリソースに安全にアクセスできるようにする必要があります。
IAMシステムは、従業員以外のユーザーや人間以外のユーザーを含め、これらすべてのユーザーとリソースのアクセス管理を一元化できます。現在、CIAMツールを組み込んだり統合したりするIAMプラットフォームが増えており、組織が同じシステムから内部ユーザーと外部ユーザーのアクセスを管理できるようになっています。
今日の企業は、リモートワークやハイブリッド・ワークを行っており、平均的な企業ネットワークには、古いオンプレミス・システムと、新しいクラウドベースのアプリケーションやサービスが混在しています。IAMソリューションは、これらの複雑な環境でのアクセス制御を合理化できます。
SSOや適応型アクセスなどの機能により、ユーザーは最小限の手間で認証を行いながら、重要な資産を保護することができます。組織は、すべてのシステムのデジタルIDとアクセス制御ポリシーを、単一の中央IAMソリューションから管理できます。包括的なIAMシステムは、資産ごとに異なるIDツールをデプロイするのではなく、IT環境全体の信頼できる唯一の情報源、管理、および施行を実現します。
IAMシステム、特にSSOをサポートするシステムでは、ユーザーはサービスごとに異なるアカウントを作成する代わりに、1つのIDで複数のサービスにアクセスできます。そのため、ITチームが管理する必要があるユーザー・アカウントの数が大幅に減少します。ユーザーが自分のIDを管理し、システム間でIDを移植できるようにするBYOI(Bring Your Own Identity)ソリューションを拡大すると、IT管理の簡素化に役立つ可能性があります。
IAMシステムは、役割と責任に基づいてユーザー権限を自動的に設定するRBAC手法を使用することで、ユーザー権限を割り当てるプロセスを合理化できます。IAMツールを使用すると、ITチームとセキュリティー・チームは、すべてのユーザーのアクセス・ポリシーを定義および適用するための単一のプラットフォームを利用できます。
GDPR、PCI-DSS、SOXなどの標準では、誰がどのような目的でデータにアクセスできるかについて厳格なポリシーが求められます。IAMシステムを使用すると、企業はこれらの標準を満たす正式なアクセス制御ポリシーを設定し、実施できます。企業は、監査中にユーザーのアクティビティーを追跡してコンプライアンスを証明することもできます。
IBMの「データ侵害のコストに関する調査 」によると、認証情報の盗難がデータ侵害の主な原因です。ハッカーは、必要以上の権限を持つ過剰にプロビジョニングされたアカウントをターゲットにすることがよくあります。こういったアカウントは通常、管理者アカウントほどには保護されていませんが、ハッカーがシステムの広範囲にわたってアクセスできるようになります。
ハッカーによる機密データへのアクセスにパスワード以上のものが必要になるように、IAMは追加の認証レイヤーを設けることで、認証情報ベースの攻撃を阻止できます。たとえハッカーが侵入したとしても、IAMシステムは横移動を防ぐのに役立ちます。ユーザーは必要な権限のみを持ち、それ以上の権限は持ちません。正規のユーザーは必要なすべてのリソースにオンデマンドでアクセスできますが、悪意のある攻撃者やインサイダーによる脅威ができることは限られています。
IBM Security Verifyファミリーは、IDガバナンスの管理、労働力と消費者のIDとアクセスの管理、および特権アカウントの制御を行うための、自動化されたクラウドベースおよびオンプレミスの機能を提供します。
IDとセキュリティーの専門家によるスキル、戦略、サポートを活用して、従業員と消費者のIAMプログラムを成功への道に導きましょう。
エンドポイントおよびハイブリッド・マルチクラウド環境における特権アカウントを発見、制御、管理、保護するための特権アクセス管理ツール。
オンプレミスおよびクラウドのライフサイクル、コンプライアンス、分析機能を通じてユーザーのアクセスとアクティビティーをプロビジョニング、監査、レポート。
レガシー・アプリケーションに最新の認証を容易に拡張し、一貫したユーザー体験を実現しながら、セキュリティー体制を改善します。