サイトマップ
購入のご案内

アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

アイデンティティ/アクセス管理(IAM)とは

アイデンティティ/アクセス管理(IAM)は、デジタルアイデンティティを持つユーザやエンティティに、ネットワークやデータベースなどのエンタープライズリソースに対する適切なレベルのアクセス権を付与する手法です。ユーザロールとアクセス権限は、IAM システムで定義および管理されます。

IAM ソリューションの機能

アイデンティティ/アクセス管理(IAM)ソリューションを活用すれば、IT 管理者はユーザのデジタルアイデンティティとそれに関連するアクセス権限を安全かつ効率的に管理できます。IAM により、管理者はユーザロールの設定や変更を行ったり、ユーザのアクティビティを追跡して報告したり、企業や規制遵守のポリシーを適用したりして、データのセキュリティとプライバシーを保護できます。

IAM ソリューションは、ネットワーク アクセス コントロール(NAC)ソリューションを含む、いくつかのプロセスとツールの集まりを指す場合もあります。IT 管理者は、NAC ソリューションを使用して、ポリシーライフサイクル管理、ゲスト ネットワーキング アクセス、セキュリティ態勢チェックなどの機能でネットワークへのアクセスを制御します。IAM ソリューションは、クラウドサービスとして提供することも、オンプレミスに導入することも、オンプレミスとクラウド両方のハイブリッドソリューションにすることもできます。多くの企業は、導入、更新、および管理が容易という理由から、IAM でクラウドベースのアプリケーションを選択しています。

デジタルアイデンティティとは

デジタルアイデンティティは、アイデンティティおよびアクセス管理で中心的な役割を果たす信頼できる情報源です。ユーザがオンラインやエンタープライズ ネットワークのリソースにアクセスするのに必要なログイン情報を指します。IAM ソリューションは、認証要素として知られるこれらのログイン情報と、主にレイヤ 7 レベルのアプリケーションへのアクセスを要求しているユーザやエンティティを照合します。これらの要素は、ユーザが本人であることを確認するのに役立ちます。

一般的な認証要素

最も一般的に使用されている IAM の認証要素は、ユーザが知っているもの(パスワードなど)、ユーザが持っているもの(スマートフォンなど)、そしてユーザ自身を表すもの(指紋などの身体的特性)の 3 種類です。ユーザは通常、認証要素を組み合わせてオーセンティケータ アプリケーションに提供する必要があります。このアプリケーションは、ユーザのアイデンティティを確認し、ユーザが表示したり使用したりする権限を持つ保護されたリソースへのアクセスを許可します。

多くの企業は、多要素認証(MFA)の基本的な形態である二要素認証(2FA)を使用しています。2FA のプロセスでは、ユーザはユーザ名とパスワードを入力してから 2FA アプリケーションで生成されたコードを入力するか、スマートフォンなどのデバイスで通知に応答する必要があります。

IAM のメリット

IT セキュリティの強化

IAM システムにより、企業は社内全体に同じセキュリティポリシーを適用できます。NAC ソリューションのようなツールを使用すれば、リソースにアクセス可能なユーザと時間を制限できます。このような制限を設けると、権限のないユーザが機密データを見てしまう(または誤って使用してしまったり、故意に悪用したりする)可能性がかなり低くなります。

また、シングルサインオン(SSO)のような IAM の手法や MFA は、ユーザのログイン情報が侵害されたり悪用されたりするリスクも軽減します。その理由は、ユーザが複数のパスワードを作成して記録しておく必要がないためです。また、ユーザが保護されたリソースにアクセスするには、証拠に基づく認証(セキュリティに関する質問、ワンタイムパスワード、または指紋のような各ユーザに固有の要素など)が必要になるため、悪意のある人物が重要なリソースにアクセスする可能性が低くなります。


コンプライアンスの強化

IAM システムは、組織がデータセキュリティやプライバシーに関する多くのコンプライアンス義務の要件を満たすうえで、大きな効果を発揮します。たとえば、IAM は、保護されている医療情報を取り扱う組織に医療データへのセキュアな電子アクセスの導入を求める、医療保険の相互運用性と説明責任に関する法律(HIPAA)への準拠で役に立ちます。

企業は、SSO、MFA、ロールベース アクセス コントロール(RBAC)、(ユーザやソフトウェア アプリケーションなどのエンティティにタスクを実行するのに必要な最小限のアクセス権を付与する)「最小権限」などの IAM の手法を使用することにより、HIPAA の義務を果たせます。

また IAM は、サーベンス・オクスリー(SOX)法に準拠する必要がある金融サービス機関の役にも立ちます。この法律の第 404 条では、財務レポートを用意し、それらのレポートに含まれる財務データの完全性を維持するための十分な内部統制を導入、テスト、文書化することを企業に義務付けています。職務分掌(SoD)ポリシーの適用は、IAM ツールや IAM システムによって企業が SOX の要件に従えるようにする多くの方法の 1 つです。


従業員の生産性の向上

SSO、MFA、RBAC などのセキュリティ対策により、組織はセキュリティを強化すると同時に、従業員の生産性を低下させる障壁を取り除くことができます。従業員は、作業場所にかかわらず業務を遂行するのに必要なリソースに迅速にアクセスできます。IAM により、従業員は安全な環境で作業しているということを確信できます。

また、ユーザプロビジョニングの自動化を可能にする IAM システムを使用することにより、従業員は、IT 部門に負担をかけたり、IT 部門が原因で生産性を低下させてしまったりすることなく、必要に応じて簡単にアクセス許可を要求し、さまざまなリソースにアクセスできるようになります。


IT コストの削減

IAM ソリューションを使用すれば、アイデンティティ、認証、および許可管理に関連する多くのタスクを自動化したり標準化したりできます。これにより、IT 管理者はビジネスにより多くの価値をもたらすタスクに時間を費やせるようになります。さらに、今では多くの IAM サービスがクラウドベースとなっているため、オンプレミス インフラストラクチャを購入、導入、維持する必要を大幅に減らすか、なくすことができます。

IAM の機能

資産へのアクセスの許可またはブロック

IAM システムは、保護されているデータやアプリケーションへのアクセスを許可、またはブロックする設計となっています。より高度な IAM ソリューションの場合、企業はさらにきめ細かく権限を設定できます。たとえば、特定のユーザがサービスにアクセスできる時刻とアクセス元の条件を設定できます。


プラットフォームへのアクセスの制限

組織は、IAM ソリューションを使用して、製品やサービスの開発、ステージング、およびテストに使用するプラットフォームにアクセス可能なユーザを制限できます。


機密データの転送の防止

多くの企業は、IAM を使用してデータセキュリティを強化し、データを作成、変更、削除、転送できるユーザに関して厳格な権限を設定しています。たとえば、RBAC を適用すれば、臨時従業員が社内のシステム外にデータを送信したり、システム外でデータを受信したりできないようにすることが可能です。


レポートの提供

IAM システムは、組織がデータセキュリティとプライバシーの規制に準拠していることを証明するのに役立つレポートを提供します。これらのレポートの情報は、企業がセキュリティプロセスを改善してリスクを軽減するのに役立ちます。またこれらの情報を活用すれば、従業員が各自の作業の生産性を最大限まで高めるのに必要なリソースをより的確に把握できます。

IAM のツールと手法

多要素認証

MFA を使用した場合、ユーザはアイデンティティを確認するための認証要素を組み合わせて提供するよう求められます。ユーザ名とパスワードに加え、企業は一般的に、SMS、電話、または電子メールで送信された一時的なパスコードの入力をユーザに求める、Time-based One-time Password(TOTP)手法を使用しています。この他にも、指紋や顔 ID スキャンなどの(各ユーザに固有の要素とも呼ばれる)アイデンティティの生体認証をユーザに求める MFA システムがあります。


シングルサインオン

SSO は、ユーザのアイデンティティを確認するために企業で一般的に使用されている識別システムです。SSO により、権限を持つユーザは 1 つのログイン情報セット(ユーザ名とパスワード)だけで複数の SaaS アプリケーションや Web サイトに安全にログインできます。SSO は、自動化された MFA と考えることもできます。SSO システムは、MFA でユーザを認証してから、ソフトウェアトークンを使用して複数のアプリケーションとその認証を共有します。また SSO は、外部の Web サイトやプラットフォームなど、指定された資産や場所へのアクセスを防止する目的でも使用できます。

(よりシームレスなエンドユーザのログインプロセスは別として)IAM で SSO のアプローチを使用するメリットは、IT 管理者が簡単に権限を設定したり、ユーザアクセスを制限したり、ユーザのプロビジョニングとプロビジョニング解除を行ったりできる点にあります。


フェデレーション

フェデレーションによってパスワードの必要ない SSO が可能になります。フェデレーションサーバは、セキュリティ アサーション マークアップ言語(SAML)や WS-Federation などの標準的なアイデンティティプロトコルを使用して、信頼関係を築いたシステムやアプリケーションにトークン(アイデンティティデータ)を提示します。このような信頼により、ユーザはその後、再認証を必要とすることなく接続されているドメイン間を自由に移動できます。


RBAC とゼロトラスト

多くの大企業は、組織内におけるユーザの役割と責任に基づいて、ネットワーク、機密データ、および重要なアプリケーションへのアクセスを制限する手法である、RBAC を使用しています。RBAC は、アクセスガバナンスとも呼ばれます。RBAC で定義される役割には、エンドユーザ、管理者、第三者請負業者などがあります。役割は、ユーザの権限、所在地、責任、または職務能力に基づいて定義できます。役割は、組織内で同じような責任を持ち、連携することが頻繁にあるユーザが同じ資産にアクセスできるよう、(マーケティングやセールスなどで)グループ化されることもあります。

作業資産へのアクセスを要求するすべてのユーザに対する非常に厳格なアクセス制御が維持される、RBAC の一部であるゼロ トラスト セキュリティ フレームワークを適用することにより、企業はさらに不正アクセスを防ぎ、侵害を封じ込めたり、ネットワークにおける攻撃者のラテラルムーブメントのリスクを軽減したりすることもできます。

IAM の導入

現在と将来の IAM のニーズを考慮する

企業リソースに対するユーザアクセスを管理するための基本的な機能を備えた IAM ソリューションは、「購入してすぐに」簡単に設定できます。ただし、組織が大規模で複雑な場合は、より高度なソリューションが必要になったり、複数のシステムとツールを組み合わせたりしなければならないことがあります。

IAM システムに投資する前に、ビジネスで現在何が必要なのかだけでなく、将来何が必要になるのかを十分に考慮します。ソリューション自体の機能に加え、IT インフラストラクチャのニーズについて考えることが重要です。重要なポイントとして、簡単に維持できるソリューションであるかどうか、またアプリケーションやユーザを追加したときに、ビジネスニーズに合わせて拡張できるかどうかを考えます。


互換性とコンプライアンスを確認する

IAM ソリューションに投資する前に、現在のオペレーティングシステム、サードパーティ アプリケーション、および Web サーバと互換性があることを確認します。見落としがないよう、IAM と統合する必要があるすべてのアプリケーションのリストを作成してください。

また、導入したい IAM システムが適用される地域と政府の規制要件に準拠していることを確認します。IAM ソリューションは、ビジネスに対する潜在的なリスクを増やすものではなく、コンプライアンスを強化するものであるべきです。


変更を管理する

新しい方法でユーザを認証して許可するにあたっては、変更管理が必要になる場合があります。組織全体に導入する前に、まずは(財務など)ビジネスの特定の領域に新しい IAM ソリューションを展開することを検討します。

IAM は、企業の IT リソースにアクセスする必要があるすべての人と物に影響を与えるということを忘れないでください。新しい IAM ツールとプロセスの導入を促進するために、最初に時間を取ってすべてのステークホルダーから賛同を得るようにしましょう 。


重要な指標を設定して追跡する

IAM ソリューションの有効性を追跡し、システムが投資利益をもたらしているかどうかを見極める必要があります。システムが稼働したら、新しいユーザのプロビジョニングに要する時間、パスワードリセットの回数、および潜在的な SoD 違反の数を追跡して定期的に報告することを検討します。


エンドポイントやデバイスを考慮する

プライベート IT インフラストラクチャが稼働する複雑な環境、Internet of Things(IoT)環境、および運用テクノロジー(OT)環境では、IAM システムだけを使用して IT 資産に対するユーザアクセスを管理すると、セキュリティリスクが生じてしまう可能性があります。より具体的に言うと、組織がボットネット攻撃を受けやすくなる可能性があります。

NAC ソリューションなら、こうした環境のセキュリティを強化できます。たとえば、さまざまな IoT デバイスカテゴリの定義済みのプロファイリングおよびアクセスポリシーを適用できます。また、非準拠のマシンをブロック、分離、修復するセキュリティポリシーを適用することで、管理者による対応を必要とすることなくネットワークの脅威を軽減できます。