IDおよびアクセス管理(IdAM あるいは IAM)の基本4項目

4月 02, 2020 セキュリティとコンプライアンス, MOVEit

アイデンティティ管理(Identity Management、IDM)とも、アイデンティティおよびアクセス管理(Identity and Access Management、IdAM あるいは IAM)とも呼ばれますが、IDおよびアクセス管理は、IT部門の責務であり、実装と継続的なメンテナンスを行う必要があります。

業種や地域に関わらず、現代の企業では実質的にすべてのプロセスと機能がITの関与を必要としており、これはある意味で当然のことです。

オンプレミスであれ、クラウド (identity as a Service - IdaaS - などの形で) であれ、確実に、正しいユーザーがアクセスを許可されたデータにのみアクセスできるようにするには、IAM、または IdAM ソリューションを使います。このソリューションを採用すべきかどうかは、個々の企業の状況次第です。Azure の Active Directory(AD)は、IdAM に必要なすべてを満たしていますか?現在のソリューションは、産業や拠点のある地域のセキュリティ要件やコンプライアンス要件を満たしていますか?監査や e-Discovery (電子証拠開示) の要件が発生したときに、特定のデータにアクセスする権限を持つユーザーを特定したり、過去にアクセスしたユーザーのログを提供したりできますか?

このような点についてよく検討し、必要となったら、IdAM ソリューションの実装やアップグレードを実行することになります。もちろん、セキュリティ対策は不可欠です。完全に管理されたデータリポジトリ(ユーザー、グループ、ポリシー、アクセス許可などを含む)が確立できたとしても、簡単にハッキングされたり、どこかに脆弱性があったりすれば、価値がありません。

検証されたユーザーのみがエンタープライズデータとリソースにアクセスできるようにする IdAM ソリューションには、大きく4つの重要な側面があります。

1. ユーザー管理

ユーザー管理のプロセスは、ユーザーの作成から始まり、ユーザーの削除(従業員が退職した場合など)で終わります。ユーザーライフサイクルの一環として、ユーザーロール(管理を含む)とデータプロビジョニング(そのユーザーがどのデータにアクセスできるかの詳細)が定義されます。パスワード管理方法や認証方法も決定されます。パスワードのリセットなどのセルフサービスオプションは、メンテナンスの負荷を軽減するために自動化される場合があります。セットアップ段階で各ユーザーに「信頼」のレベルが割り当てられます。

2. 中央ユーザーリポジトリ

ユーザーリポジトリは、データの同期が極めて重要であり、すべての資産に関する変更とログがリアルタイムで更新されるよう、中央で集中管理します。いったん更新されたら古いパスワードは機能しなくなり、社員が退職したらその旧社員のアクセスが即座にブロックされるといったことが確実に行えるようにします。

3. 認証

認証方法は、単純なユーザー名とパスワードの組み合わせだけですますことも、それにシングルサインオン(SSO)の使用や、多要素認証、セッション管理などを追加することもできます。トークンを使用したパスワードサービスも実行できます。生体認証ソリューションが使われる場合もありますが、いずれにしても利便性よりもセキュリティが優先されるべきです。

4. 権限付与

ユーザーのアイデンティティが確認できたら、個々のユーザーにアクセスのレベルが付与されます。権限付与の方法は多種多様で、前項の認証方法にリンクします。役割や属性、規則やポリシー、またはリモートアクセス許可などに基づいてアクセス権限を決定します。たとえば、従業員の給与データにアクセスできるのは人事部門のメンバーだけで、受付係にはエンジニアリング仕様を表示する権限がない、などといった具合に。「疑わしい」アクセスを防ぐために、AIや分析手法などを取り入れることも可能です。

IdAM は必要か?

IdAM は管理機能として認識される場合が多いですが、IdAM を採用すべきかどうかの決定要因として考慮されるべきものはセキュリティとコンプライアンスです。今日のビジネス環境では、パスワードの無秩序な増加が普遍的な問題になっていますが、シングルサインオン環境に移行することで、従業員としてリソースにアクセスする際のユーザーのわずらわしさと時間を大幅に削減できます。ビジネス環境には、数え切れないほどのサインオンを必要とするデバイスとサービスが存在するので、デバイスやIPアドレスに基づいた多要素認証ですべてを制御できる1つのパスワードを使用することで、ユーザーは、正しく、迅速かつ安全なアクセスを獲得することができます。そうでなければ、サービス、ウェブサイト、アプリごとにユニークなIDを保持し続けなければなりません。どのアプローチが最適ですか?

実装を正しく行う必要がありますが、IdAM は、効率の向上やユーザーエクスペリエンスの向上に効果を発揮し、IT部門へのサポート要請が削減されることが見込まれます。自動化のメリットもあり、リスクが軽減され、監査とコンプライアンスの要件を満たすために完全な追跡が可能です。また、IdAM ソリューションは通常すべてのプラットフォームで機能するのでスムーズに移行でき、BYOD 環境にも対応できます。これらの利点はすべて新しいテクノロジーを導入するときの重要項目であるコスト削減に結びつきます。IdAM 自体は特に新しいものではないのですが、明らかな利点があるにもかかわらず、まだ行き渡っているわけではないようです。

まとめ

ここでは IdAM の概要を示しましたが、国立サイバーセキュリティセンターオブエクセレンス(National Cybersecurity Center of Excellence、NCCoE)がリリースした、NISTサイバーセキュリティプラクティスガイドSP 1800-2、Identity and Access Management も参考にしてください。NCCoE は、Web サイトで米国以外の企業を含むすべての企業にとって有益な IdAM の産業別使用事例も提供しています。この情報はチェックする価値があります。 PCMag も、2020年のベストID管理ソリューションとして10ソリューションを選び、テストして評価しています。

ユーザー資格情報は、社内ネットワークだけでなく、接続されたデバイスやオンラインサービス、エンタープライズアプリケーションなども関与してくるので、アイデンティティ情報を保護しアクセス管理するためには、総合的なソリューションが必要になります。ユーザーとして、一般的なデータリソースまたはサービスにアクセスするリモートの請負業者、サプライヤー、顧客を含めることもできます。上述のような IdAM の利点を踏まえて、IdAM ソリューションを検討しないですませる選択肢があるか、考えてみてください。

Michael O'Dwyer

An Irishman based in Hong Kong, Michael O’Dwyer is a business & technology journalist, independent consultant and writer who specializes in writing for enterprise, small business and IT audiences. With 20+ years of experience in everything from IT and electronic component-level failure analysis to process improvement and supply chains (and an in-depth knowledge of Klingon,) Michael is a sought-after writer whose quality sources, deep research and quirky sense of humor ensures he’s welcome in high-profile publications such as The Street and Fortune 100 IT portals.