紫色の六角形のパターン
詳細を見る

IAMとは? IDおよびアクセス管理へのガイド

このガイドでは、IDおよびアクセス管理(IAM)について知っておくべきこと、それが重要な理由、そして組織のニーズに合ったソリューションを導入する方法について説明します。

IAMとは?

ガートナーによれば、IDおよびアクセス管理は、適切なユーザーやデバイスが、適切なタイミングで、適切なリソースに、適切な理由でアクセスできるようにするためのIT規律です。 「リソース」という言葉は、アプリケーション、ネットワーク、インフラストラクチャ、およびデータを意味します。

さらに、IAMは、内外の脅威から組織を守るためのポリシーとテクノロジーのフレームワークでもあります。 言い換えれば、IAMはユーザーアクセスを簡素化すると同時に、データ漏洩やインサイダー攻撃などのサイバーセキュリティインシデントを防止するということです。

IAMフレームワークは、「デジタルID 」を確立し、維持することを目的としています。 要するに、デジタルID は、オンライン上の個人、組織、デバイス、アプリケーション、またはその他の実体の表現です。 このエンティティには、当該エンティティに一意に関連付けられる属性が含まれるため、コンピュータシステムやサービスが真正性を検証することができます。

デジタル IDの最も基本的な例は、ユーザー名とパスワードの組み合わせです。 例えば、ウェブサイトやプラットフォームでアカウントを作成する場合、通常、ユーザー名(固有の識別子)とパスワード(認証手段)を選択します。 この組み合わせにより、特定のプラットフォーム内でのユーザーIDが確立されます。

しかし、いったん確立されると、デジタルIDを発行する組織もそれを管理する、言い換えれば、不正アクセ スから確実に保護する必要があります。 ユーザーアカウントをクラックする悪質業者は、アクセス権を悪用し、機密情報を盗み、マルウェアやウイルスなどでインフラを感染させる可能性があります。

そのため、IAMソリューションは、強固な監視コントロールやその他のセーフガードによってID管理を簡素化し、最初の認証後でも潜在的な脅威を軽減できるようにしています。

ユースケース: 消費者向けIAM

多くの組織は、デジタルオンボーディングエクスペリエンス中に消費者を確認するためにIAMフレームワークを使用しています。 例えば、銀行の顧客はオンラインまたはモバイルアプリで新しい当座預金口座を申し込むことができます。

IAMシステムを使えば、いつでもどこでも、銀行は申込者の身元を安全に確認しながら、サービスに安全にアクセスさせることができます。 顧客がアプリやアカウントにアクセスしようとすると、システムがユーザーとそのデバイスの信頼性を確認します。これはほんの数秒で行われます。

ユースケース: 職場のためのIAM

一部の企業がオフィスに戻りつつあるとしても、ハイブリッドワークは今後も続くでしょう。 Gallupの世論調査によると、米国では遠隔地勤務可能な仕事のうち、完全な現場勤務はわずか21%です。 ハイブリッド型が52%、リモート型が27%です。

ポイントは? 企業はかつてないほど多くのデジタルIDを発行しています。 正社員、契約社員、消費者の間で、これだけの量を管理するのは容易ではありません。 幸いなことに、IAMソリューションが助けになります。

主要なシステムは、物理的/論理的アクセスを建物に提供し、対面する従業員のセキュリティを強化することができます。 もちろん、バーチャルプライベートネットワーク(VPN)や、SaaS(Software-as-a-Service)アプリケーションへの安全なアクセスも提供し、分散した労働力を保護します。 さらに、契約者のアクセス権をリアルタイムで制御し、不審な行動がないか常にユーザーの行動を監視することができます。

ユースケース: 市民のためのIAM

公共部門は、デジタル市民認証のためにIAMを頻繁に使用しています 。 例えば、IAMツールは、政府機関によるパスポート、国民ID、運転免許証の発行、管理、検証を支援することができます。 さらに、教育、医療、福利厚生プログラムなど、必要不可欠な政府サービスやプラットフォームへの安全なアクセスを市民に提供します。

同様に、IAMは、モバイルIDクレデンシャルや空港のセルフサービスキオスクを通じて、 国境を越えた旅行を容易にします。 デジタル市民IDは、安全な公開鍵基盤(PKI)ベースの証明書を通じてデジタルIDを市民と結びつけ、取引を可能にすることもできます。

IAMが重要な理由とは?

組織は常に、アクセスコントロールがサイバーセキュリティパズルの不可欠なピースであることを知っています。 しかし現在では、進化するIT環境の複雑さと相互接続性を考慮し、IDが欠かすことのできない要素であることを認識する人が増えています。

つまり、COVID-19パンデミックの間、デジタル変革が加速したのです。 何年での進化を飛び越えた人もいます。 マルチクラウド環境、人工知能(AI)、自動化、リモートワークの台頭により、企業はますます分散した環境でより多くの種類のエンティティへのアクセスを提供しています。 簡単に言えば、管理しきれないほどのIDを持っているということです。

一方、サイバー犯罪者も同様に急速に進化しています。 AIを駆使した巧妙な攻撃戦略を組み合わせ、フィッシング詐欺、マルウェア、ランサムウェアなどの群れでユーザーを狙っているのです。 IAMがなければ、IT部門は誰がどのリソースにアクセスできるかを可視化できないため、脅威を封じ込めるのは飛躍的に難しくなります。 さらに悪いことに、漏洩したユーザーから特権アクセスを取り消すことはできません。

幸運なことに、IAMテクノロジーはセキュリティとアクセシビリティのバランスをとることを可能にしています。 組織は、生産性や顧客体験を妨げることなく、ユーザーやデバイスにきめ細かなアクセス権限を設定できます。 IAMツールは、全体的な権限を制限するのではなく、個別に保護を実施することができます。

IAMセキュリティとゼロトラスト

IAMは、ゼロトラストアーキテクチャを構築するための重要な基盤です。 簡単に言えば、ゼロトラストは厳格なID管理を提唱し、すべての接続、デバイス、およびユーザーを潜在的脅威と想定するセキュリティモデルです。 これは、暗黙の信頼の上に成り立っている従来のセキュリティモデルとは対照的です。

ゼロトラストセキュリティには3つの原則があります:

  1. 継続的認証: 組織は、特定のセッションを通じて継続的にチェックされる数多くのリスク要因に基づいて、安全なアクセスを許可しなければなりません。 言い換えれば、ID、ロケーション、デバイス、サービスなどに基づいてエンティティを検証しなければなりません。
  2. 影響範囲を制限する: チームは常にデータ漏洩を想定し、ユーザーアクティビティとネットワークトラフィックを最大限に可視化することで、異常を発見し、脅威を検知しなければなりません。
  3. 最小特権アクセス: エンティティは、その役割や機能を果たすために必要な許可のみを持つべきです。 例えば、従業員は自分の職責に関係のない機密データベースにはアクセスできないようになっているべきです。

ゼロトラストはその中核であり、ID管理を重視しています。 これに対してIAMは、その3原則を大規模に実施する方法を提供し、ひいてはセキュリティを強化します。

ゼロトラストについてもっと知りたいですか? 最新のソリューションをご覧ください。

詳細はこちら

IAMのメリット

適切なIAMツールは、いくつかの顕著な利点を引き出すことができます:

  • コンプライアンス: 組織は、データプライバシー規制と契約要件を遵守しなければなりません。 IAMシステムにより、正式なアクセスポリシーを実施し、ユーザー活動の監査証跡でコンプライアンスを証明することができます。
  • 生産性: 複雑なセキュリティ対策はユーザーエクスペリエンスを混乱させ、顧客を苛立たせ、従業員の生産性を妨げます。 最良のIAMツールは、複数のログインなしで複数のリソースへのセキュアなアクセスを許可することを可能にする - シングルサインオン(SSO)として知られる機能です。
  • データ保護: IAMツールは、セキュリティチームが進行中のインシデントを検出し、潜在的なリスクを調査するのを支援し、脅威を迅速かつ確実に根絶できるようにします。
  • IT自動化: 手作業に頼るのではなく、IAMはパスワードのリセットやログ分析といった重要なタスクを自動化します。 これにより、IT部門は時間と労力を節約し、より重要な責務に集中することができます。

IAMの仕組みとは?

IAMには3つの重要な要素があります。 最初の2つ、ID管理とアクセス管理は、それぞれ認証と承認に関するものです。 違いは以下の通りです:

  • 認証とは、ユーザー(またはエンティティ)が本人であることを確認するためのプロセスです。 従来は、ユーザー名とパスワードの入力が必要でしたが、ハッカーはこの方法を簡単に回避する方法を知っています。 そのため、多要素認証(MFA)のような、より強力で洗練された技術を求める組織が増加しています。
  • 承認は、ユーザーがどのような特定のアプリケーション、ファイル、データにアクセスできるかを確認するプロセスです。 これは「アクセスコントロールポリシー」と呼ばれるルールを設定することで機能し、常に認証後に行われます。

最後に、3つ目の要素はマネジメントです。 これは、IAMプロセス、システム、活動を継続的に管理、監督、分析し、規制遵守、セキュリティ、業務効率を確保するものです。 より簡単に言えば、脅威を発見し、脆弱性を修正するために、IDとアクセス権を監視するプロセス全般を指します。 

各コンポーネントは、いくつかの必須機能とサービスに依存している。 いくつかの注目すべきものについて、詳しく説明します:

IDのガバナンス

IAMテクノロジーは、以下のツールを使用してオンボーディングとIDガバナンスを合理化できます: 

  • オーセンティケーター: ハードウェアトークン、デジタル証明書、デバイス分析、ワンタイムパスコードなど、さまざまな方法を使用してデジタルIDを検証します。
  • モバイル認証: デジタルIDをモバイルデバイスに埋め込むことで、重要なアプリケーションへのアクセスを提供するスマートクレデンシャルを作成します。
  • ID証明: 自撮り写真と政府発行の身分証明書を比較する生体認証を使って、数秒でユーザーをオンボーディングします。
  • 適応認証: リアルタイムでコンテキスト分析を活用し、アクセスを許可するか、リスクベースのステップアップ認証プロンプトを追加してユーザーにチャレンジします。

アクセス制御

IAMソリューションは、以下のような数多くのツールを使って安全なアクセスを可能にします:

  • SSO: ログインプロセスを合理化し、ユーザーが必要なすべてのアプリケーションで1組の認証情報を活用できるようにします。
  • パスワードレスログイン: 高信頼性のパスワードレスログインにより、認証情報の盗難リスクを排除します。 PKIを使用することで、デジタル証明書がインストールでき、ユーザーのモバイルデバイスが信頼できるエンドポイントに変換されます。 一度認証されれば、MacやPCにBluetooth接続することで、近接するすべてのクラウドおよびオンプレミスアプリケーションへの安全なアクセスが可能になります。
  • VPN認証: 暗号化されたVPNを使用して、ユーザーが主要なアプリケーションに素早くアクセスし、クレデンシャルの盗難から保護します。
  • 認証情報発行: ユーザーが、ウェブサイト、VPN、アプリ、その他の重要なサービスへのアクセスをほぼ即座に許可するモバイルスマートクレデンシャルを要求できるようにします。

管理およびモニタリング

適切なソリューションがあれば、高度な脅威からの保護、IDの管理、セキュアなトランザクションも可能になります:

  • 不正検出: 支払い詐欺を自動的に軽減することで、顧客データとブランドの評判を守ります。
  • パスワードのリセット: パスワードを忘れたユーザーのためのセルフサービスオプションで、コストを削減し、ヘルプデスクのチケットを減らしましょう。 
  • デバイスの安全なプロビジョニング: 新入社員、既存社員、退社する社員のデバイスの発行と返却プロセスを自動化します。

IAMの実装

IAMテクノロジーの導入は、ほぼすべてのユーザーに影響を与えるため、重要なステップです。 設定を誤るとセキュリティ態勢に隙間ができ、放置するとデータ漏洩につながる可能性があります。 そのため、ID プロバイダを決定する際には、いくつかのベストプラクティスに従うのが最善です:

1. ITランドスケープの評価

まず、現在のIT環境と、すでに進行中のクラウドベースのデプロイメントなど、将来追加されるIT環境をマッピングすることから始めましょう。 インフラ、アプリケーション、データリポジトリ、その他の資産を評価します。 これは、どのリソースに安全なアクセス制御が必要かを特定するのに役立ちます。 

次に、従業員、請負業者、パートナー、顧客といったユーザーについて検討します。 誰がどのシステムにアクセスする必要があるでしょうか? この作業により、IAMソリューションの範囲がビジネス要件に対して十分に包括的であることが確認できます。 さらに、最小特権アクセスの原則を徹底するのにも役立ちます。

2. 規制遵守要件の確認

事業規模、業種、事業地域によって、異なるデータプライバシー法の適用を受ける場合があります。 例えば、欧州のエンドユーザーにサービスを提供する場合、一般データ保護規則(General Data Protection Regulation)の適用を受ける可能性があります。 選択したIDプロバイダが、特定の法的義務によって概説されている最低基準を満 たしていることを確認しましょう。

3. 展開モデルの決定

IAMシステムの導入には3つの方法があります:

  • オンプレミス: この選択肢は、初期費用と継続的なメンテナンスの両面で、多額の投資を必要とします。 IAMインフラをよりコントロールできるようになりますが、時間の経過とともにアップグレードするのが難しいことが多くなります。
  • クラウド: 対照的に、クラウドベースのID-as-a-Service(IDaaS)のデプロイは、はるかにコスト効率が高く、スケーラブルです。 IDプロバイダが基礎となるインフラを管理するため、実装がはるかに迅速で、最小限の初期設定しか必要としないことが多いのです。
  • ハイブリッド: クラウドとオンプレミスの両方の機能を活用することもできます。 このアプローチにより、ビジネスニーズに基づき、さまざまなユースケースに最適なモデルを選択することができます。

4. 段階的なアプローチを採用する

なぜ噛み切れないほど噛もうとするのでしょう? プロセスを急がず、少しずつIAMの基盤を構築しましょう。 段階的なアプローチにより、時間をかけてさまざまなコンポーネントを導入することができ、ユーザーも新しいプロセスに適応しやすくなります。

5. 監視と適応

設定したIAM戦略を忘れてはいけません。 導入後は、ソリューションのパフォーマンスに細心の注意を払いましょう。 IDプロバイダーと相談し、改善策を練りましょう。そうすれば、潜在的な脅威から常に守られます。

Entrust Identityが理想的なソリューションである理由

Entrust Identity as a Serviceのインフォグラフィック

従業員、消費者、一般市民のアイデンティティ保護は、未制御のアクセス、データ侵害、および不正取引を防ぐための鍵です。Entrust Identityは、ゼロトラストフレームワークを実現するために必要な強固な基盤を提供するIAMポートフォリオです。 IAMスイートの1つとして、Entrust Identityは、比類のない数のユースケースと展開オプションをサポートしています。

例えば、当社のクラウドベースのIDaaSプラットフォームを見てみましょう。 ひとつのソリューションで、次を実現できます:

  • 脆弱なパスワードの排除
  • インサイダー脅威の抑制
  • 認証の異常を検出
  • ITコスト削減
  • 報告とコンプライアンスの改善
  • 生産性の向上

Entrust Identityの詳細と、Gartner®がアクセス管理の2023年マジック・クアドラント™で当社をチャレンジャーに指名した理由をご覧ください。

詳細はこちら