公開日:2022年08月30日
IAMとは、アイデンティティ/アクセス管理を意味します。IAMは、ユーザーIDの管理や、組織内ネットワークでのアクセス権の制御と付与を行うためにITチームが使用するテクノロジー、ポリシー、プロセスのフレームワークです。IAMによって適切なユーザーが適切なコンテキストの中で必要な資産にアクセスできるようにすることで、組織の資産を保護できます。
IAMのコンテキストでの「ユーザー」には、人間、デバイス、サービスが含まれます。IT管理者は各ユーザーに1つずつデジタルIDを割り当てます。このIDは、ユーザーが誰であるか、または何であるか、そして組織のアプリケーションやシステム内でどのレベルのアクセスが許可されているかを示します(最小権限から最大権限まで)。組織内ではユーザーの役割が時間の経過とともに変化するため、ユーザーの権限は継続的に管理、監視、変更する必要があります。IAMプラットフォームは、ユーザーの役割を変更し、そのアクティビティを監視し、ポリシーや規制の遵守を徹底させ、組織の資産へのアクセスを管理するツールをIT管理者に提供します。
以下のセクションでは、IAMが組織内で果たす役割、IAMがもたらすメリット、IAMで検出や防止が可能な問題の種類について見ていきます。また、IAMソリューションに求められる機能と導入方法についても説明します。
サイバーセキュリティにおけるIAMの役割
IAMはサイバーセキュリティのベストプラクティスです。IAMには複数の目的があり、これらが一体となることでセキュリティリスクの緩和、コンプライアンスの徹底、運用効率の向上につながります。その目的には以下のものがあります。
- 正当なユーザーが、適切なコンテキストで適切なリソースに適切なレベルでアクセスできるようにする。
- 本人確認を行うだけでなく、請負業者、従業員、顧客、ベンダーといった特定のグループや役割のアクセスを制限し、不正なユーザーによるネットワークへのアクセスも防止する。
- ユーザーのアクティビティを監視して不正なアクセスやハッキングの試行を検出し、従業員が退職したり雇用形態に変更があったりした場合には直ちにアクセスを無効にして組織のシステムを保護する。
- 不正行為を検出するためにトランザクションを分析し、アクセス権の悪用や、その検出を回避したり遅らせたりしようとするユーザーによる不正を防止する。
- 顧客の識別、不審なアクティビティの検出、なりすましの防止に関するさまざまな規制基準を満たす。
IAMが重要である理由
なりすましやデータ侵害が世界中で増加している今、IAMは非常に重要です。認証情報が盗まれたり悪用されたりすれば、攻撃者は簡単に企業のネットワークに入り込んで価値の高いデータにアクセスできます。企業への攻撃が成功すると、金銭的損失、評判の低下、規制当局による罰則などの深刻な影響が生じます。IAMを導入すれば以下のことが可能になります。
- 情報システムへのアクセス管理の強化
- データの保護
- ユーザーとシステムのアクティビティの追跡
これによって、不正アクセスの防止、ネットワークが侵害された場合の被害の軽減、規制要件の継続的な遵守が可能になります。
IAMプラットフォームとは?
IAMプラットフォームとは、IT管理者がユーザーIDやアクセスレベルの権限の割り当て、管理、監視、変更を行うためのソリューションです。IAMプラットフォームは複数のシステムとコンポーネントで構成されており、一般的には以下の機能があります。
- シングルサインオン:ほとんどのIAMプラットフォームはシングルサインオン(SSO)をサポートしています。このアクセス制御では、ユーザーが1つのログイン認証情報を使用して認証を行うことで、複数のシステムやアプリケーションを利用できます。SSOは、安全でないパスワードの管理方法を排除し、攻撃対象を縮小し、ID保護を強化して組織のセキュリティを向上させます。
- 多要素認証:多要素認証(MFA)では、複数の認証情報を入力し、本人確認を行ってからシステムにアクセスする必要があります。IAMプラットフォームの中には、IPアドレス、位置情報、デバイスの種類などのコンテキスト情報に加え、ユーザーや状況に応じて必要な認証要素を決定する管理ポリシーを利用したアダプティブMFAをサポートしているものもあります。
- 特権アクセス管理:特権アクセス管理とは、管理者レベルの制御権や価値の高い資産へのアクセス権を持つユーザーアカウントに、より高いレベルの権限を割り当てることで、データ侵害やその他のセキュリティ脅威から組織を保護します。
- リスクベース認証:リスクベース認証は、ユーザーがシステムやアプリケーションにログインしようとする際に、IPアドレス、位置情報、現在のデバイスなどのコンテキスト要素を考慮します。これらの情報からリスクレベルを評価し、追加の認証要素を要求するか、ユーザーのアクセスを許可または拒否するかを決定します。
- データガバナンス:データガバナンスとは、組織のデータの可用性、整合性、セキュリティ、ユーザビリティを管理するためのポリシーと手順のフレームワークを指し、これによって一貫性と正確性を確保して確実に保護します。ユーザーのアクティビティを監視し、侵害を検出し、効率を向上させるためにAIや機械学習を利用するプラットフォームがますます増加していることから、IAMにおけるデータガバナンスの重要性はさらに高まっています。
- フェデレーションID管理:フェデレーションID管理とは、異なるID管理システム間でユーザーのデジタルIDをリンクさせ、ユーザーが同じ認証資格情報を使用して信頼できる複数のビジネスパートナーのシステムやサービスにアクセスできるようにする手法です。SSOでは1つのログイン認証情報を使用して1つの組織内の複数のシステムにアクセスできますが、フェデレーションID管理では、ユーザーが自分のデジタルIDを使用して、フェデレーショングループ内のすべての組織のシステムにアクセスできます。これにより、たとえばベンダーが顧客のシステムやサービスにアクセスできるようになります。
- ゼロトラストアクセス:ゼロトラストフレームワークは、組織のネットワークが常に危険にさらされており、どのユーザーも特別な許可なしにすべてにアクセスできるべきではないという考え方に基づいています。IoTやエンドポイントデバイスによってネットワーク境界が拡大される中、その重要性はますます高まっています。ゼロトラストIAMプラットフォームにより、組織はユーザーアクセスを継続的に評価して検証し、誰が、あるいは何がネットワークに接続されているかをいつでも包括的に可視化できます。
IAMに求められる一般的な機能には、シングルサインオン、特権アクセス管理、データガバナンス、多要素認証などがあります。
クラウドコンピューティングにおけるIAMの役割
クラウドコンピューティングにおけるIAMは、ユーザーとクラウドリソースのアクセスポリシーと権限を制御します。
分散化が進む作業環境をサポートするために、アプリケーションやデータをパブリッククラウドやプライベートクラウドのプラットフォームに移行する組織が増えています。これによって組織のIT環境は複雑さを増し、サイバー犯罪者がネットワークに侵入し、ビジネスに大きな打撃を与えたりデータを盗んだりできる隙が生まれています。2020年に発生したすべてのハッキング事件の80%には、盗まれた認証情報やブルートフォース攻撃によって推測されたパスワードが使用されていました。
他のクラウドテクノロジーやサービスと同様に、クラウドIAMは、従業員や顧客が場所に関係なく組織のネットワークに安全に接続できるようにするなど、さらなる効率化をもたらします。また、クラウドIAMは、幅広いオペレーティングシステム、プラットフォーム、プロバイダーをサポートしているため、柔軟性も高まります。
IAMのメリット
IAMには、以下のようなさまざまなメリットがあります。
- 安全なアクセス:組織が成長し、より多くの従業員、顧客、請負業者、ベンダーがネットワーク上の機密情報にアクセスできるようになると、リスクは増大します。IAMを利用すれば、組織はビジネスを拡大してもセキュリティを確保できます。
- リスクの軽減:ハッカーが組織のネットワークやリソースにアクセスする手段としては、認証情報を盗むことが最も一般的です。IAMは、このようなケースに対して、価値の高いターゲットにアクセスできる特権ユーザーアカウントの数を制御することでデータ侵害のリスクを軽減できます。
- ユーザーエクスペリエンスの向上:企業は平均で100以上のアプリケーションを使用しています。IAMを利用すると、シングルサインオンで複数のサービスにアクセスできるため、パスワードやアクセス権をはるかに管理しやすくなり、ユーザーと管理者双方の作業負荷が軽減されます。
- 内部脅威の軽減:多くのセキュリティ侵害は、内部の関係者が認証情報を悪用して機密データにアクセスした結果として発生しています。IAMによってユーザーが自分の業務に必要なシステムやサービスのみにアクセスできるようにすることで、このような脅威を防止または軽減できます。
- コンプライアンスの強化:組織は、HIPAA、SOX、PCIなど、データセキュリティとプライバシーを管理するさまざまな規制や基準に従う必要があります。IAMを利用すれば、ユーザーIDと、組織のネットワーク上でユーザーがアクセスできるものとできないものをより適切に管理できるようになるため、これらの規制に簡単かつ確実に準拠できます。
- ITワークロードの削減:IAMプラットフォームではパスワードのリセットを自動化できるため、ユーザーはIT管理者にリセットを依頼する必要がなくなります。また、IT部門はシステムにアクセスするすべてのユーザーを手動で監視する必要がなくなり、よりビジネスクリティカルなアクティビティに集中できるようになります。
- プロビジョニングとプロビジョニング解除の自動化:IAM導入以前、IT部門は従業員が組織内で別の部署に異動するたびに認証情報を手動で確認して更新しなければならず、従業員が退職するたびに権限を手動で無効化する必要がありました。IAMシステムは、AI (人工知能)を活用することで、複数のアプリケーションやシステムにまたがるユーザーアカウントのプロビジョニングとプロビジョニング解除を自動化できます。
- 監査とレポート作成の簡素化:データ侵害が発生した際、管理者はどのユーザーの認証情報が侵害され、どのデータがアクセスされたのかをより簡単に特定できます。また、管理者は、ユーザー、ログイン、およびその他のイベントに関する詳細なレポートを作成することもできます。
IAMで検出して防止できる問題
IAMは、以下のような幅広いサイバー攻撃を検出して防止できます。
- フィッシング
- スピアフィッシング
- キーロガー
- クレデンシャルスタッフィング
- ブルートフォース攻撃とリバースブルートフォース攻撃
- 中間者攻撃(MITM)
- 内部脅威
これらのサイバー攻撃は、いずれもアカウント認証情報が勝手に利用されることによって発生します。IAMでは、強力なパスワードポリシーを適用したり、アカウントにアクセスするために複数の認証要素を要求したりすることでこれらを防止できます。攻撃者が標的のシステムにアクセスできたとしても、IAMは最小特権アクセスに従うため、価値の高いデータへのアクセスを制限し、被害を軽減できます。
IAMを利用すれば、フィッシング攻撃、キーロガー、ブルートフォース攻撃、内部脅威といったさまざまな脅威を防止したり検出したりできます。
IAMのベストプラクティス
以下のベストプラクティスを取り入れることで、IAMを最大限に活用できます。
- ゼロトラストセキュリティの採用:暗黙の信頼などのアクセス権限の甘さは、ネットワークの重大な脆弱性になります。組織のネットワークの内外を問わず、すべてのユーザーに認証、承認、継続的な検証を求めるゼロトラストアプローチを採用することで、すべてのユーザーの本人確認を徹底できます。
- 特権アカウントの制限:ユーザーは、あるタスクを実行するために特権アカウントへのアクセスが必要になることがありますが、日常業務のためにそのアクセスを常時許可するべきではありません。ロールベースのアクセス制御によって指定した時間だけユーザーに特権アクセスを付与し、その時間が経過すると自動的にアクセスを取り消すことでリスクを軽減できます。
- 価値の高い資産の保護:最も重要なデータとは、そのデータが侵害された場合に、組織にとって最大の脅威となるデータのことです。一般的に価値の高い資産とは、従業員や個人を特定できる顧客情報、知的財産、企業秘密などです。このようなデータは、業務に必要なユーザーだけにアクセスを制限することで保護できます。
- 強力なパスワードポリシーの適用:NISTパスワードガイドラインは、強力かつ固有で覚えやすく、推測されにくいパスワードを作成するのに役立ちます。また、強力なパスワードポリシーでパスワードの強度を継続的に監査し、ユーザーが定期的にパスワードを変更することを義務付ける必要があります。
- 多要素認証の使用:ログイン認証情報は盗まれる可能性があるため、それだけでは身元を確認するのに十分ではありません。多要素認証は、ユーザー名とパスワードに加えて、セキュリティの質問への回答、指紋のスキャン、ユーザーのデバイスに送信されるワンタイムコードの入力、またはその他の独自情報の提供をユーザーに求めることで、保護の検証レイヤーを追加します。
- ワークフローの自動化:各従業員のアカウントの作成、パスワードの変更、アクセスのプロビジョニングなどの作業を手動で行うのは非現実的であり、ミスも起こりやすくなります。IAMツールは、タスクを自動化することで、ヘルプデスクへのリクエストを減らし、生産性を向上させ、コストを削減し、最終的には組織の安全性を高めるのに役立ちます。また、自動化により、コンプライアンス要件に応じた定期的なログの記録、監査、レポート作成が簡素化され、IT部門の最も時間のかかる手作業の1つをなくすことができます。
- 定期的な監査の実施:アクセスログの定期的な監査を実施することで、ユーザーのアクティビティを追跡し、ユーザーが役割に応じた適切な権限を保持していることを確認し、非アクティブなアカウントを特定して無効にできます。
IAMを使い始める方法
IAMを使い始めるには、IAMソリューションが必要です。適切なプラットフォームを選定するのは大変な作業です。調達プロセスを開始する前に組織のニーズを慎重に検討することが重要です。
まず、オンプレミスとクラウドベースのどちらのソリューションが必要かを検討します。一般に、オンプレミスソリューションは、ソリューションの維持管理に必要なリソースを持つ大規模な組織に適しています。また、クラウドベースのソリューションに比べ、より詳細な制御が可能です。クラウドベースのソリューションは、オンプレミスソリューションよりもすばやい実装と容易な拡張が可能であり、コスト削減をすぐに実現できます。ハイブリッドクラウドソリューションは、機密データをオンプレミスに残し、重要度の低いワークロードをクラウドに移行できるため、多くの組織にとって最適な選択と言えます。
また、IAMソリューションのユーザーが誰かを考慮することも重要です。B2CやB2Bの顧客を主な対象としている場合は、最高のカスタマーエクスペリエンスを提供するために、セルフサービスと使いやすさを優先する顧客IAMソリューションがあります。従業員向けのソリューションが必要な場合は、IAMソリューションと組織の内部システムを統合できることを確認する必要があります。内部ユーザーと外部ユーザー両方のアクセス制御を組み合わせたIAMソリューションが、最も効率的で費用対効果も優れています。
最後に、IAMソリューションと連携させる必要のあるアプリケーションについて検討します。組織の従業員および顧客が使用しているアプリケーションと、追跡が不可欠なアプリケーションを特定し、各IAMベンダーがそのアプリケーションをサポートしているかを確認してください。
IAMソリューションに求められる機能
IAMソリューションに求められる機能には、以下のものがあります。
- ID管理の自動化:自動化により、ワークフローを合理化し、セキュリティ体制を強化できます。ユーザーのプロビジョニング、アカウントのクリーンアップ、監査、レポート作成など、一般的なIAMのタスクを自動化できるソリューションを探しましょう。
- 多要素認証と適応型認証:効果的なIAMソリューションは、生体認証、所持認証(トークンジェネレーターやキーカードなど)、知識認証を組み合わせてなりすまし攻撃を防止します。また、エンドポイントとアプリケーションに適応型認証を実装して、ユーザーの位置情報、デバイスのフットプリント、IPアドレスなどの要素を考慮してユーザーを確認することもできます。
- コンプライアンスと監査の実行:IAMソリューションは、コンプライアンスと監査のプロセスをより効率的にするものでなければなりません。HIPAA、PCI、FISMA、GDPR、GLBAなどの標準や規制に対応した、すぐに使えるレポートツールを提供しているものを探しましょう。
- インシデントレポートの作成:データ侵害が発生した場合、IAMソリューションはどのユーザーの認証情報がどのように利用されたかを通知できる必要があります。機械学習によるユーザー分析とレポート作成をサポートしたツールを選びましょう。これらを利用することで、不審なアクティビティや異常を検出して追跡し、権限の悪用を検出し、組織の環境の重要なIDリスクを詳細に可視化できます。
- ゼロトラスト:ゼロトラストは効果的なIAMを支える基盤です。IAMソリューションは、IDライフサイクル管理の合理化、最小特権アクセスの適用、多要素認証と適応型認証のサポート、権限悪用の特定と防止に役立つ監査レポートの提供などを行う必要があります。
分散システムやリモートワークが主流になるにつれ、セキュリティ境界はますます流動的になっています。パートナー、請負業者、ベンダー、顧客、従業員は組織のネットワークにどこからでもアクセスできます。IAMを利用すると、ユーザーがどこにいて、どのデバイスを使用しているかに関係なく、ユーザーアクセスを管理できるため、組織のセキュリティを危険にさらすことなく、ユーザーが必要なリソースを使用できるようになります。
