IDおよびアクセス管理とは：IAMの説明

IAMは、構造化されたプロセスを採用して、企業のリソースにアクセスしようとするすべての試みを管理します。IAM管理ソリューションは、認証情報をデータベースと照合して認証し、その後エンティティの権限を確認して認可し、適切なレベルのアクセスのみを付与します。IAMの4つの柱は以下のとおりです。

管理

このプロセスは「ID管理」または「IDライフサイクル管理（ILM）」とも呼ばれ、前述のとおり、ユーザーIDの作成、維持、削除を行います。人間と人間以外のユーザーには、ユーザーの名前、役職、ログイン認証情報、アクセス権などの区別される属性の集合で構成される、個別のデジタルIDが割り当てられます。これらのIDは中央のデータベースに保存されます。次に、IAMシステムがデータベースから情報を抽出し、ユーザーとその権限を検証します。通常、ITチームとサイバーセキュリティチームはユーザーの作成と削除を手動で行います（プロビジョニングとプロビジョニング解除）。しかし、一部のIAMシステムでは、ユーザー作成のための組織的な定義のルールを提供することで、このプロセスを自動化することもできます。

認証

認証は、ユーザーIDを検証する方法です。ユーザーがシステムにログインするか、リソースへのアクセスを要求すると、IDを確認するために何らかの認証情報を入力します。この認証情報は認証要素と呼ばれ、人間の場合はパスワード、MFA、2要素認証（2FA）、指紋スキャン、人間以外のエンティティの場合はデジタル証明書などが含まれます。次に、IAMシステムがデータベースと認証情報を照合し、一致があればアクセスを許可します。

認可

認可と認証はリンクされたプロセスであり、認証が先に行われなければ認可は発生しません。ユーザーがIDを証明すると、IAMシステムが再びデータベースを参照し、ユーザーに割り当てられている権限を確認し、ユーザーが本来持つべき権限を承認します。

監査

これは重要なステップです。IAMシステムが適切に動作していること、ユーザーが権限を悪用していない（アクセスすべきでないリソースにアクセスしていない）ことの2つを確保するためです。また、一般データ保護規則（GDPR）などの義務により、組織はユーザーアクセス権限を何らかの方法で制限する必要があるため、規制コンプライアンスにとっても重要です。

IAMの4つの柱は相互に連携して、悪意のあるアクターによる不正アクセスを防ぐとともに、ユーザーが適切なリソースや情報に適切なタイミングでアクセスして必要なすべての操作を実行できるようにします。

従来のIAMツールやソリューションは、一般的に組織の物理的なオンプレミスにあるサーバーによって管理されています。しかし、ほとんどの企業は、スケーラビリティ、費用対効果、セキュリティ強化のために、SSOやMFAなどの機能を備えたクラウドベースのIAMソリューションに目を向けています。また、一元化された管理と自動化されたプロセスにより、ユーザーアクセスが簡素化され、コンプライアンスと業務効率が向上するため、リモートワーカーやマルチクラウド環境を抱える組織にとって特に優れたソリューションです。以下に、企業が現在採用しているクラウドベースのIAMツールとソリューションの事例をいくつか紹介します。

サービスとしてのID（IDaaS）プラットフォーム

サービスとしてのID（IDaaS）ソリューションは、特にオンプレミスソリューションと比較して柔軟なID管理を提供します。IDaaSソリューションは、複数のパブリッククラウドとプライベートクラウドにまたがってWindows、Mac、Linux、モバイルデバイスからユーザーがログインする複雑なネットワークに最適です。リモートユーザー、請負業者、顧客ごとに個別のシステムを用意する必要がなくなり、すべてのシステムにわたってアクセス制御を確保できます。

特権アクセス管理（PAM）ソリューション

一部のユーザーアカウントは、サイバー犯罪者にとって高価値の標的となります。サイバー犯罪者は、機密情報にアクセスしてハッキングに成功すると、組織に甚大な損害を与える可能性があります。企業を外部（場合によっては内部）からの攻撃から保護するために、通常はシステム管理者などのロールを持つこれらのユーザーには、特権アクセス管理（PAM）ソリューションを通じてより高い許可レベルが割り当てられます。これらのソリューションは、特権IDを他のIDから分離し、認証情報ボールトとジャストインタイムプロトコルを使用してセキュリティを強化します。

顧客IDおよびアクセス管理（CIAM）ソリューション

IAMと顧客IDおよびアクセス管理（CIAM）は、どちらも認証手段（パスワード、MFAなど）を使用して特定のシステムやリソースにアクセスできるユーザーを管理しますが、IAMとCIAMは同じではありません。ほとんどの場合、IAMシステムは、ユーザーがシステムやリソースにアクセスする際の障害を減らします。通常は、ユーザー名、パスワード、生体認証情報を組み合わせるだけで、システム内に個人情報を保存する必要はありません。しかし、お客様にとっては、話は別です。多くの場合、クレジットカード番号や社会保障番号など、あらゆる機密情報がシステムに保存されています。そのため、CIAMシステムは通常、顧客データにアクセスできるユーザーを組織の中で制限するなど、アカウントへのアクセスをより厳格な方法で実施しています。

フェデレーションID管理（FIM）システム

フェデレーションID管理（FIM）システムは、複数の独立したID管理システムにわたってユーザーのIDをリンクし、許可されたユーザーが単一の認証情報セットを使用して複数のドメインやアプリケーションにアクセスできるようにします。ユーザーはセキュリティを維持しながら、毎回別々にログインすることなくシステム間を迅速に移動できます。SSOをサポートしていますが、この概念をさらに進めています。FIMは、IDプロバイダーとサービスプロバイダーの間で、オンライン上のユーザー属性（場所、電話番号など）について明確な合意と信頼関係を前提とします。認証情報が確認されると、ユーザーは複数のプラットフォームにわたって認証されます。

APIアクセス管理ツール

APIツールは、クラウド中心の環境における組織のデータとビジネスロジックへの主要なゲートウェイです。そのため、組織はAPIツールを管理するツールを備えていることが重要です。APIアクセスツールは、アプリケーション、開発者、その他のサービスとAPIのインタラクションに関する規則の管理、セキュリティ、監視、適用を支援する、特化型のソフトウェアソリューションおよびプラットフォームです。APIアクセスは通常、API管理プラットフォーム（Google Apigee、Azure API管理など）、専用のAPIセキュリティソリューション（Salt Security、Traceableなど）、IAMプラットフォーム（Okta Auth0、WSO2 Identity Serverなど）によって管理されます。

IDのガバナンスと管理（IGA）

IDのガバナンスと管理（IGA）は、IAMの管理とコンプライアンスの側面に焦点を当て、アクセスポリシーが正しく設計され、長期にわたって遵守されるようにします。これには、アクセスと認定資格のレビューによって、ユーザーが引き続き権限を持っているかどうかを定期的に検証する、プロビジョニングとプロビジョニング解除のための自動化されたILM、複数のユーザーに重要な機能を分割するための職務分離（SoD）の実施などが含まれます。これは、1人のユーザーがプロセス全体を包括的に制御できないようにすることで、不正やエラーを防止するためです。

IAMソリューションとツールにはさまざまなタイプがありますが、連携してリソースを保護し、IDを管理する統合フレームワークを作成するには、すべてのタイプに特定の主要コンポーネントが含まれている必要があります。その構成要素には、以下が含まれます（一部は上記で説明されています）。

ユーザーのID管理

前述のとおり、これはIAMの管理プロセスの別名であり、関連するすべての識別属性（名前、ロール、部門など）を含むデジタルIDの作成、メンテナンス、セキュアな保存に焦点を当てています。これにより、すべての個人と人間以外のエンティティが、システム内で一意のデジタルIDを持つようになります。

認証

これは、ある個人またはエンティティが、その人が自称している本人であることを確認するプロセスであり、アクセスプロセスの最初のゲートです。ユーザーは、パスワード、生体認証、MFAなど、IDを提供するよう要求されます。正しければ、ユーザーに一時的な信頼が付与され、認可に進みます。

認可とアクセス制御

このプロセスで、IAMシステムは、認証されたIDが許可される内容とアクセス可能なリソースを決定します。IDは、要求されたリソース（ユーザーがファイルを開こうとしたなど）と照合され、適切な権限が付与されます。つまり、アクセス権が付与されていれば、ファイルを開くことができます。

ロールベースと属性ベースのアクセス（RBACとABAC）

一般的に、アクセス制御ツールは、人間と人間以外のユーザーの両方に対して認可ポリシーを定義して適用できるようにします。以下の2つの一般的なフレームワークがあります。

• ロールベースのアクセス制御（RBAC）：アクセス権は、ユーザーの職務またはロールに基づいて付与されます。ユーザー権限の設定が合理化され、必要以上の権限をユーザーに許可するリスクが軽減されます。
• 属性ベースのアクセス制御（ABAC）：アクセス権限は、ユーザーに紐付けられた属性の組み合わせに基づいて決定されます（つまり、職種が「開発者」かつ所属が「エンジニアリング部門」かつ「社内ネットワーク」からのアクセスであることです）。これは、RBACよりもはるかに粒度の高い制御です。
   

特権アクセス管理（PAM）

PAMは、IAMの重要なサブセットであり、アクセスの多い特権アカウントのセキュリティに全面的に焦点を当てています。認証情報ボールトとセッションモニタリングを必要とし、ジャストインタイム権限を適用します。

IDフェデレーションとSSO

IDフェデレーションは、2つの異なる組織またはシステムの間に信頼関係を確立して、ユーザーのIDを外部サービスプロバイダーが信頼し、受け入れることができるようにします。SSOでは、ユーザーはプライマリIDプロバイダーで一度認証を受けると、認証情報を再入力することなく他のすべてのアプリケーションやサービスにわたって認証されます。

監査とコンプライアンスの監視

これはIAMのアカウンタビリティの柱です。IAMでは、ログイン試行（成功または失敗）、アクセスリクエスト、ユーザー許可に対する管理者による変更など、システム内のすべてのID関連イベントを継続的に追跡し、記録します。IAMシステムは、疑わしいアクティビティの検出とコンプライアンスに重要な監査ログを生成します。GDPRやHIPAAなどの規制で必要とされる詳細なエビデンスを提供し、アクセス制御が実施され、定期的にレビューされていることを示します。

ガバナンスとライフサイクル管理

IAMシステムのこのコンポーネントは、長期にわたり、IAMシステムがコンプライアンスを維持し、効率的かつ正確に運用されることを確保します。ライフサイクル管理は、プロビジョニングからプロビジョニング解除まで、IDの管理を自動化してセキュリティギャップを解消します。これは、前述の追跡および監査レポートが実施されるプロセスでもあります。

IAMシステムは、組織のセキュリティと運用にとって不可欠ですが、実装とメンテナンスは決してシンプルではありません。IAMの目標は明確ですが、その達成までの道のりは、技術面と運用面での複雑なハードルが存在します。レガシーシステムと新しいクラウドプラットフォームの統合から、膨大な数のIDの管理まで、企業は多くの場合、セキュリティギャップ、ボトルネック、スタッフやエンドユーザーの不満につながる問題に直面しています。以下に、よくある課題とその対処方法を紹介します。

レガシーシステムとの統合

クラウドベースのIAMシステムとレガシーソリューションとの統合の技術的ハードルは、非常に大きいものです。その主な理由は、多くのレガシーアプリケーションやデータベースが、IAMプロトコル（SAML、OAuth、SCIM）を使用して通信するように構築されていないためです。統合には通常、広範な回避策が必要であり、小さな変更であっても予期しない障害や監査レッドフラグが発生するリスクがあります。しかし、ミドルウェアとIDブローカーは、モダンとレガシーの間のギャップを埋め、古いコードを書き換えることなく、レガシーアプリケーションにモダン認証ポリシーを適用できるようにします。また、SAML、OAuth、カスタムAPIを使用して、重要度の高いレガシーアプリケーションを更新してIAMと連携させることもできます。

高い実装コスト

包括的でモダンなIAMソリューションのロールアウトには、ソフトウェアライセンス料以上の費用がかかります。複雑なIAMアーキテクチャに習熟したスペシャリストの雇用、新しいシステムと互換性のない旧システムのコンポーネントの交換、カスタマイズや統合サービスのコストなど、費用が膨らむ可能性があります。しかし、段階的な展開は、大規模なロールアウトよりも費用の制御に役立ちます。また、すべての古いシステムを統合するために費用を支払うよりも、メンテナンスとセキュリティにコストがかかるレガシーアプリケーションのモダナイゼーションを優先するほうがよい場合もあります。クラウドベースのIAMシステムは、従量課金モデルで運用できるというメリットがあり、従来のソリューションと比較してスケーラビリティと費用対効果に優れています。

ユーザーの抵抗と定着率の低下

過剰な複雑化や操作性の低下は、ユーザーの利便性を損なうだけでなく、IAMの取り組み自体の失敗を招きかねません。パスワードの変更が頻繁に行われたり、MFAの実装が不十分だったりした場合は、ユーザーがパスワードを書き留めることになり、紛失や盗難、不正なアカウント共有に対して非常に脆弱になります。パスのセキュリティを最も簡単な方法にするには、頻繁に使用するすべてのアプリケーションにSSOを実装する、生体認証を採用してパスワードを不要にする、アダプティブMFAを使用して、（別の国からのログインなど）ログインにリスクがあると思われる場合にのみユーザーに第2の要素の入力を要求します。 

ハイブリッドとマルチクラウド環境の管理の複雑さ

モダンITインフラストラクチャを1か所に集約することは珍しいことです。通常、組織はオンプレミスとクラウドのハイブリッド環境、またはマルチクラウド環境でIDを管理します。しかし、すべてのクラウドには独自のネイティブIAMフレームワークがあるため、一貫したポリシーを適用して膨大な量のID（特に人間以外のID）を管理することは非常に困難です。IDフェデレーションで認証を一元化し、人間以外のIDを人間IDと同じ厳格さで保護し、ポリシーを標準化します。後者については、コードとしてのポリシー（PaC）を確立し、ネイティブIAMの上位に位置するツールを使用して、ポリシー定義をすべてのプラットフォームに必要な技術規則に変換します。

進化するセキュリティ脅威への先手を打った対策

IDは主な攻撃対象の一つであり、ハッカーはユーザー認証情報を盗み出して検知されずにシステムに侵入することに長けています。一度侵入を許せば、被る損害やアクセスされる情報の機密性を鑑みても、その被害は壊滅的なものになりかねません。とはいえ、パスワードだけでなく、MFAや生体認証などのより強力な認証方式への移行は、セキュリティの改善において大きな前進です。PoLPとジャストインタイムアクセスを適用して、重要なシステムを保護し、最高レベルのセキュリティで管理者アカウントを保護します。また、IAMログに細心の注意を払い、異常な挙動を検知してフラグを付けます。

ガバナンスと規制コンプライアンス

組織は、ユーザーアクセスを適切に管理していることを監査人に証明できる体制を整える必要があります。機密データにアクセスできるユーザー、アクセスする理由、組織が定期的に監査を行っている証拠を示す詳細なログを求めるようになります。この量のデータを手動で収集するのは、ほぼ不可能です。しかし、IGAプラットフォームを活用すれば、アクセスレビュープロセスを自動化してマネージャーに許可の認証や取り消しを促し、監査人の確認が必要な文書証跡を作成できます。RBACまたはABACモデルを確立すると、ロールまたは属性に基づいて権限をグループ化できるため、コンプライアンスが簡素化され、アクセスの大規模な監査が容易になります。