IAM とは何で、何をするものか
どこで仕事をするかにかかわらず、従業員にはその組織のリソース (アプリ、ファイル、データなど) へのアクセスが必要です。従来は従業員の大部分が職場に出勤して働いており、そこでは会社のリソースがファイアウォールの内側で守られていました。出勤してログインすると、従業員は自分に必要なものにアクセスできました。
しかし今では、ハイブリッド作業が以前よりも一般的になり、従業員は職場に出勤するかリモートで働くかにかかわらず会社のリソースへの安全なアクセスを必要としています。ここに ID およびアクセス管理 (IAM) が関係します。組織の IT 部門は、ユーザーが何にアクセスできて何にアクセスできないかを制御する方法を必要とします。機密性の高いデータと機能については、その作業を行う必要のある人と物に限定するためです。
IAM を導入すると、会社のリソース (メール、データベース、データ、アプリケーションなど) への安全なアクセスを、理論上では干渉をごく最小限に抑えて、確認済みのエンティティに付与することができます。この目的は、適切な人物が自分の仕事をでき、適切でない人物 (たとえばハッカー) は立ち入りを拒否されるように、アクセスを管理することです。
安全なアクセスの必要性は、会社のマシンで作業する従業員以外にも及びます。これには、請負業者、ベンダー、ビジネス パートナー、および個人用デバイスで作業する人々も含まれます。IAM が行われていれば、アクセス権を持つべき人それぞれが確実に、適切なレベルのアクセス権を適切な時に、適切なマシン上で持つことができます。このことと、組織のサイバーセキュリティにおいて果たす役割が理由で、IAM はモダン IT に欠かせない部分となっています。
IAM システムを持つ組織は、アクセスが試行されるたびに、その人の ID と、要求されるリソースを使用するのに必要なアクセス許可をその人が持っていることの確認を、すばやく正確に行うことができます。
IAM のしくみ
組織のリソースへの安全なアクセスを許可することは、2 つの部分に分けて行われます。ID 管理とアクセス管理です。
ID 管理では、ログイン試行が ID 管理データベースに照らしてチェックされます。このデータベースは、アクセス権を持つべき人全員の継続的なレコードです。この情報は、人々が組織に参加または離脱したり、その役割とプロジェクトが変化したり、組織のスコープが進化したりするのに合わせて、絶えず更新される必要があります。
ID 管理データベースに格納される情報の種類の例としては、従業員の氏名、役職、マネージャー、直属の部下、携帯電話番号、個人メール アドレスがあります。ある人物のログイン情報 (たとえばユーザー名とパスワード) をデータベース内のその人の ID と照合することを、認証といいます。
セキュリティを強化するために、多くの組織がユーザーに、多要素認証 (MFA) と呼ばれるものを使用した本人確認を要求しています。双方向認証または 2 要素認証 (2FA) と呼ばれることもある MFA は、ユーザー名とパスワードだけを使うよりも安全です。これによってログイン プロセスにステップが 1 つ追加され、ここでユーザーは代替確認方法を使用して本人確認を行う必要があります。この確認方法の例としては、携帯電話番号や個人メール アドレスがあります。通常は IAM システムによってその代替確認方法にワンタイム コードが送信され、ユーザーはこれを所定の時間内にログイン ポータルで入力する必要があります。
アクセス管理は、IAM の後半部分です。リソースへのアクセスを試行する人または物とその ID との一致が IAM システムによって確認された後は、どのリソースへのアクセスがその人または物に許可されているかの追跡がアクセス管理によって行われます。ほとんどの組織では、リソースとデータへのさまざまなレベルのアクセスが許可されており、このレベルは役職、在職期間、セキュリティ クリアランス、プロジェクトなどの要因によって決定されます。
ユーザーの ID が認証された後に正しいレベルのアクセスを許可することを、認可といいます。IAM システムのゴールは、すべてのアクセス試行において認証と認可が正しく安全に行われるようにすることです。
組織にとっての IAM の重要性
IAM がサイバーセキュリティにおける重要な部分である理由の 1 つは、重要なデータとリソースをほとんどの人からはアクセス不可能にすると同時に一部の人からはアクセス可能にすることについて、組織の IT 部門が適切なバランスを取るのに役立つことです。IAM が導入されていれば、安全なアクセスを従業員とデバイスに許可する一方で外部の者の到達を困難または不可能にするようなコントロールを設定することができます。
IAM が重要であるもう 1 つの理由は、サイバー犯罪者の手法が日々進化していることです。フィッシング メールのような巧妙な攻撃はハッキングやデータ侵害の発生源として最も一般的なものの 1 つであり、既にアクセス権を持つユーザーが標的となります。IAM がなければ、組織のシステムに誰と何がアクセスできるかを管理するのが難しくなります。誰にアクセス権があるかを知るのが難しいだけでなく、侵害されたユーザーのアクセス権の取り消しも難しいことが理由で、侵害や攻撃の広がりを抑制できなくなることもあります。
完璧な保護は残念ながら存在しませんが、IAM のソリューションは攻撃の影響の防止と最小化のための優れた方法となります。侵害が発生したときに全員のアクセスを制限する代わりに、多くの IAM システムでは AI が活用されており、攻撃が大きな問題になる前に検出して阻止することができます。
IAM システムの利点
適切な IAM システムには、組織にとって多数の利点があります。
適切な人々のための適切なアクセス
一元化されたルールとアクセス特権を作成および施行する能力を持つ IAM システムでは、ユーザーに必要のない機密情報へのアクセスを可能にすることなく、そのユーザーが必要とするリソースへのアクセス権を付与することが簡単になります。このことを、ロールベースのアクセス制御 (RBAC) といいます。RBAC は、自分の役割を果たすためにアクセスを必要としている人に限定してそのアクセスを許可するためのスケーラブルな方法です。ロールの割り当ては、固定されたアクセス許可のセットまたはカスタム設定に基づいて行うことができます。
生産性が制約されない
セキュリティが重要であるのと同様に、生産性とユーザー エクスペリエンスも重要です。侵害を防ぐために複雑なセキュリティ システムを実装したくなるかもしれませんが、複数のログインとパスワードのような、生産性に対する複数の障壁が存在することは、ユーザーにとっていらだたしいエクスペリエンスとなります。IAM のツール、たとえばシングル サインオン (SSO) や統合ユーザー プロファイルを利用すると、複数ログインは不要で複数のチャネル (たとえばオンプレミスのリソース、クラウド データ、サードパーティのアプリケーション) にわたって従業員に安全なアクセスを許可することが実現します。
データ侵害からの保護
絶対に確実なセキュリティ システムはありませんが、IAM テクノロジを使用することでデータ侵害のリスクは大幅に縮小します。IAM のツール、たとえば MFA、パスワードレス認証、SSO を利用すると、ユーザーが本人確認を行うときにユーザー名とパスワード以外も使用できるようになります。ユーザー名とパスワードは忘れたり、共有されたり、ハッキングされたりすることがあります。ユーザー ログインの選択肢を IAM のソリューションで拡張すると、そのリスクが縮小されます。ログイン プロセスにセキュリティのレイヤーが追加されて、簡単にはハッキングや共有ができなくなるからです。
データ暗号化
組織のセキュリティ向上において IAM がきわめて効果的である理由の 1 つは、多くの IAM システムに暗号化ツールがあることです。これらを使用すると機密情報が組織へ、または組織から伝送されるときに保護することができ、条件付きアクセスなどの機能を利用すると IT 管理者がデバイス、場所、リアルタイムのリスク情報などの条件をアクセスの条件として設定することができます。これで、侵害が発生してもデータは安全ということになります。データの暗号化解除は確認された条件下でのみ可能であるからです。
IT の手作業が減る
IT 部門のタスク、たとえば人々のパスワード リセットの手助け、アカウントのロック解除、アクセス ログの監視と異常の特定などを IAM システムで自動化することで、IT 部門の時間と労力を節約することができます。これによって IT 部門が解放されて他の重要なタスクに、たとえばゼロ トラスト戦略を組織の残り部分全体に導入することに専念できるようになります。ゼロ トラストとは、明示的に確認し、最小特権アクセスを使用し、侵害があるものと考えるという原則の上に構築されるセキュリティ フレームワークであり、IAM はこれに不可欠です。
コラボレーションと効率の向上
従業員、ベンダー、請負業者、サプライヤーの間のシームレスなコラボレーションは、モダン ワークのペースに歩調を合わせるのに不可欠です。IAM によってコラボレーションが安全になるだけでなく、速く簡単になるため、このコラボレーションが実現します。IT 管理者はロールベースの自動化ワークフローを構築することもでき、これによって役割移転や新規採用のアクセス許可プロセスをスピードアップできるため、オンボーディング時に時間を節約できます。
IAM とコンプライアンス規制
IAM システムのない組織は、組織のシステムへのアクセス権を持つエンティティ 1 つ 1 つについて、そのアクセス権がいつ、どのように使用されたかを手作業で追跡する必要があります。そのため、手作業の監査は時間のかかる、労力集中型のプロセスとなります。IAM システムがあれば、このプロセスを自動化して監査と報告を速く、簡単に行うことができます。IAM システムを持つ組織は監査時に、機密データへのアクセスのガバナンスが適切に行われていることを実証できます。このことは、多くの契約や法律の必須部分となっています。
監査は、特定の規制要件を満たすことの一部分にすぎません。多くの規制、法律、契約でデータ アクセス ガバナンスとプライバシー管理が要求されていますが、IAM はこれらに役立つように設計されています。
IAM のソリューションによって ID の確認と管理、不審活動の検出、インシデントの報告が可能になりますが、これらはすべて、Know Your Customer、Suspicious Activity Reporting のためのトランザクション監視、Red Flags Rule などのコンプライアンス要件を満たすために不可欠です。また、ヨーロッパの一般データ保護規則 (GDPR) や米国の医療保険の携行性と責任に関する法律 (HIPAA) と企業改革法などのデータ保護標準でも、厳格なセキュリティ標準が要求されています。適切な IAM システムが導入されていれば、これらの要件を満たすのが簡単になります。
IAM のテクノロジとツール
安全な認証と認可をエンタープライズ規模で実現するために、IAM のソリューションは多様なテクノロジやツールと統合されています。
- Security Assertion Markup Language (SAML): SAML によって SSO が可能になります。ユーザーの認証が完了した後は、そのユーザーが確認済みエンティティであることが SAML によって他のアプリケーションに通知されます。SAML が重要であるのは、これがさまざまなオペレーティング システムとマシンで機能するからであり、これで安全なアクセスを多様なコンテキストで許可することが可能になります。
- OpenID Connect (OIDC): 認可のフレームワークである OAuth 2.0 に、OIDC によって ID という面が追加されます。ユーザーに関する情報が格納されたトークンが、ID プロバイダーとサービス プロバイダーの間で送信されます。このトークンは暗号化でき、ユーザーに関する情報 (氏名、メール アドレス、誕生日、写真など) を格納することができます。このトークンはサービスやアプリで簡単に使用できるため、OIDC はモバイル ゲーム、ソーシャル メディア、アプリのユーザーを認証するのに便利です。
- クロスドメイン ID 管理システム (SCIM): SCIM (System for Cross-Domain Identity Management) は組織がユーザーの ID の管理を標準化された方法で、つまり複数のアプリとソリューション (プロバイダー) にわたって機能する方法で行うのに役立ちます。
プロバイダーごとにユーザー ID 情報に関して異なる要件がありますが、SCIM を利用すると、プロバイダーと統合される IAM ツールでユーザーの ID を作成することが可能になり、これでそのユーザーは別のアカウントを作成しなくてもアクセスができるようになります。
IAM を実装する
IAM システムの影響は、あらゆる部署とあらゆるユーザーに及びます。そのため、IAM ソリューションの展開を成功させるには実装前の綿密な計画が不可欠です。始めに、アクセスを必要とするユーザーの数を計算するとともに、組織で使用されているソリューション、デバイス、アプリケーション、サービスのリストを作成するとよいでしょう。このリストは、さまざまな IAM ソリューションを比較して組織の既存の IT セットアップとの互換性があることを確認するときに役立ちます。
次に、その IAM システムで対応する必要のあるさまざまな役割と状況をすべて明らかにすることが重要です。このフレームワークが IAM システムのアーキテクチャとなり、IAM ドキュメントの基礎が形成されます。
IAM 実装についてもう 1 つ考慮すべきことは、そのソリューションの長期的ロードマップです。組織が成長して拡張すると、その組織が IAM システムに求めるものも変化します。この成長に対する計画を事前に行っておくことで、IAM ソリューションの方向性をビジネス ゴールにそろえるとともに、長期的な成功への態勢を整えることができます。
IAM のソリューション
さまざまなプラットフォームとデバイスでのリソースへの安全なアクセスの必要性が増大するにつれて、IAM の重要性がより明らかになり、しかも避けられないものとなります。組織には、ID とアクセス許可をエンタープライズ規模で管理する効果的な方法が必要であり、それはコラボレーションを促進して生産性を高めるものであることが必要です。
既存の IT エコシステムに調和し、IT 管理者による組織全体のアクセスの監視と管理に役立つ AI などのテクノロジが使用されている IAM ソリューションを導入することは、組織のセキュリティ態勢を強化する最善の方法の 1 つです。どのアプリやリソースへのアクセスも保護し、あらゆる ID をセキュリティ保護して確認し、必要なアクセスだけを提供し、ログイン プロセスをシンプルにすることを Microsoft がどのようにお手伝いできるかについては、Microsoft Entra およびその他の Microsoft Security のソリューションの説明をご覧ください。
Microsoft Security についてさらに学ぶ
よく寄せられる質問
-
ID 管理は、ユーザーの本人確認に役立つ属性の管理に関連しています。この属性は、ID 管理データベースに格納されます。属性の例としては、氏名、役職、割り当てられた勤務地、マネージャー、直属の部下や、その人が名乗るとおりの人物であることをシステムによって確認するのに使用できる確認方法があります。この確認方法の例としては、携帯電話番号や個人メール アドレスがあります。
アクセス管理とは、ユーザーの ID が確認された後にそのユーザーが何にアクセスできるかを管理することです。このアクセス制御は、役割、セキュリティ クリアランス、教育レベル、またはカスタム設定に基づいて行うことができます。
-
ID およびアクセス管理の目的は、適切な人だけが組織のデータとリソースにアクセスできるようにすることです。サイバーセキュリティの実践方法の 1 つであり、これによって IT 管理者が組織のリソースへのアクセスを制限できるので、アクセスを必要とする人だけがアクセス権を持つ状態になります。
-
ID 管理システムは 1 つのデータベースであり、組織のデータやリソースへのアクセスを必要とする人やデバイスについての身元特定情報がここに格納されます。このデータベースには、ユーザー名、メール アドレス、電話番号、マネージャー、直属の部下、割り当てられた職場、教育レベル、セキュリティ クリアランス レベルといった属性が格納されます。これらの属性は、ユーザーの本人確認に使用されます。ID 管理システムは、人々の入社や退職、役割の変更、プロジェクトの開始または終了に合わせて絶えず更新される必要があります。
-
ID およびアクセス管理ソフトウェアでは、ログインしようとする人やデバイスの ID を組織が確認するとともに、確認済みユーザーに適切なリソースへのアクセス権が確実に付与されるようにするのに役立つツールが提供されます。本人証明の確認、アクセスの管理、セキュリティ侵害発生の通知を中央集中型で行う方法の 1 つです。
-
クラウド コンピューティングにおいて、IAM は非常に重要なコンポーネントです。なぜなら、ユーザー名とパスワードだけでは、もはや侵害から組織を保護するのに十分な強度を持たないからです。パスワードはハッキングされたり、共有されたり、忘れられたりする可能性があり、また多くの組織は非常に大規模であるため、アクセスの試みを手動で管理および監視することは不可能です。IAM システムにより、ID の属性が最新の状態に保たれ、ロールごとにアクセスを許可および制限し、異常やセキュリティ侵害にフラグを立てることができます。
Microsoft をフォローする