English -> Visit BeyondTrust Original Page
アイデンティティとアクセス管理 (Identity and Access Management – IAM) は、アイデンティティ管理とも呼ばれ、デジタル アイデンティティを管理するための IT セキュリティの規律、フレームワーク、およびソリューションを指します。アイデンティティ管理には、アイデンティティのプロビジョニングとプロビジョニング解除 (BeyondTrustサイト 英語) 、アイデンティティの保護と認証、リソースへのアクセスや特定のアクションの実行の承認が含まれます。個人 (ユーザー) が持つデジタル アイデンティティは 1 つだけですが、その個人を表すアカウントは多数あります。各アカウントには、リソースごととコンテキストごとに異なるアクセス制御を設定できます。
IAMの包括的な目標は、特定のIDが適切なリソース(アプリケーション、データベース、ネットワークなど)に適切なコンテキスト内でアクセスできるようにすることです。
アイデンティティとアクセス管理の説明
アイデンティティ管理は、ユーザーが必要なアクセス権を持ち、システム、データ、アプリケーションが権限のないユーザーにアクセスできないようにするための基本的なセキュリティ コンポーネントです。
ID およびアクセス管理の組織ポリシーでは、次の内容が定義されます。
- ユーザーがどのように識別され、どのような役割が割り当てられるか
- IAMによって保護されるシステム、情報、その他の領域
- 機密データ、システム、情報、場所に対する適切なレベルの保護とアクセス
- IAM システムにおける個人の追加、削除、修正
- IAM システムでのロールのアクセス権の追加、削除、修正
アイデンティティとアクセス管理をサポートするテクノロジー
IAM は通常、既存のアクセスおよびサインオン システムを置き換えるか、または既存のシステムと深く統合する集中型テクノロジを通じて実装されます。ユーザー、ロール、および定義済みのアクセス許可レベルの中央ディレクトリを使用して、ユーザー ロールと特定のシステム、アプリケーション、およびデータへのアクセスの必要性に基づいて、個人にアクセス権を付与します。
ロールベースのアクセス
ほとんどの IAM テクノロジーは、「ロールベースのアクセス制御 (RBAC)」を適用します。つまり、定義済みの職務ロールを使用して、個々のシステムや情報へのアクセスを制御します。ユーザーが企業内で参加したり、ロールを変更したりすると、その職務ロールが更新され、アクセス権に影響します。
たとえば、人事部門で働く従業員は、次のように職務に基づいてさまざまなシステムや従業員データにアクセスできる場合があります。
ビジネスの役割 | タスク | 連絡先 | 福利厚生 データ | 給与データ | パフォーマンス データ |
---|---|---|---|---|---|
HR福利厚生管理者 | 雇用給付の管理 | 〇 | 〇 | × | × |
人事給与管理者 | 給与計算と給与管理 | 〇 | 〇 | 〇 | × |
人事人材管理 | トレーニングとプロモーションの管理 | 〇 | × | 〇 | 〇 |
もちろん、特定のユーザーが標準の職務以外の特別なアクセスを必要とする場合は、例外を許可できます。
IAM ツール
ID 管理システムには通常、次の領域が含まれます。
- 従業員データ(人事システム、ディレクトリ(Active Directoryなど)などを通じて、個々のユーザーを定義および識別するために使用される)
- ユーザーを追加、変更、削除するためのツール
- パスワード管理ツールとワークフロー
- 既存のログインシステムとの統合または置き換え
- 特定のシステムおよび情報に対するユーザーアクセス権の強制
- システムと情報がどのように使用されているかを可視化するための監査とレポート
IAM 管理
IAM システムは次の要件を満たす必要があります。
- ユーザーのログイン情報 (ユーザー名、パスワード、証明書など) を記録、取得、認証します。
- ユーザーと職務の従業員データベースを管理する
- 個々のユーザーやより広範な職務の追加、削除、変更を可能にする
- 監査目的でログインとシステムアクセスの履歴を提供する
- 企業のシステムとデータのあらゆる部分に対して適切にセグメント化された定義とアクセス制御を可能にする
- すべてのシステムとデータにわたるユーザーアクティビティを追跡
- ユーザーアクティビティのレポート
- システムアクセスポリシーの適用
アイデンティティとアクセス管理に使用される3つの典型的なシステム
パスワード管理や IAM のその他の側面を簡素化するテクノロジは数多くあります。IAM プログラムの一部として使用される一般的なソリューションには、次のようなものがあります。
- シングルサインオン (SSO)
ユーザーが一度認証すれば、各領域に個別にログインすることなく、必要なすべてのソフトウェア、システム、データへのアクセスを許可するアクセスおよびログイン システム。 - 多要素認証
このシステムは、ユーザーが知っている情報 (パスワードなど)、ユーザーが所有している情報 (セキュリティ トークンなど)、およびユーザー自身 (指紋など) の組み合わせを使用して個人を認証し、アクセスを許可します。 - 特権アクセス管理
このシステムは通常、従業員データベースおよび事前定義された職務と統合され、従業員が役割を遂行するために必要なアクセスを確立して提供します。
IAM テクノロジーは、オンプレミス、クラウドベースのモデル (identity-as-a-service – IDaaS)、またはハイブリッド クラウド セットアップを通じて提供できます。IAM の実際のアプリケーションとその実装方法は組織によって異なり、適用される規制やコンプライアンスの取り組みによっても形成されます。
IAM がデータとシステムとのやり取りを制御する方法
高度な IAM テクノロジーは、データやシステムへのアクセスを単に許可またはブロックする以上の機能を提供します。たとえば、IAM では次のことが可能です。
- データのサブセットへのアクセスを制限:特定のロールは、システム、データベース、および情報の特定の部分にのみアクセスできます。
- 表示アクセスのみを許可:ロールはデータの表示のみ可能で、データを追加、更新、修正することはできません。
- 特定のプラットフォームへのアクセスのみを許可:ユーザーは運用システムにアクセスできますが、開発プラットフォームやテスト プラットフォームにはアクセスできません。
- データの作成、修正、削除のみを許可し、データの送信は不許可:一部のロールでは、システム外部でデータを送受信できない場合があります。つまり、他のサードパーティやアプリケーションにデータを公開することはできません。
結局のところ、企業の特定のニーズに基づいて、個々のロールがシステムやデータにアクセスする方法を正確に定義して適用するための IAM ポリシーを実装する方法は数多くあります。
アイデンティティとアクセス管理が重要な理由 – IT 有効化とセキュリティ レイヤー
IAM は、機密性の高い企業システム、資産、情報を不正アクセスや不正使用から保護するために不可欠です。エンドツーエンドの IAM 実装により、データ侵害の可能性と影響が軽減され、正当な認証済みユーザーのみがアクセスできるようになります。IAM は、承認されたアクセスのみを許可することで、次の領域を保護するために不可欠です。
- データと情報
ローカル サーバー、クラウド、またはその他の場所に保存されている機密性の高い顧客、ビジネス、サプライヤー、またはその他のデータ。 - ソフトウェアとアプリケーション
従業員、顧客、仕入先、パートナー企業などが使用するシステム。 - 開発、テスト、ステージング、運用プラットフォーム
製品およびサービスの開発、リリース、運用に使用されるすべての IT 環境。 - デバイス
ラップトップ、デスクトップ、スマートフォン、タブレット、IoT、その他のデバイス。 - 場所
プライベートオフィススペース、データセンター、安全な場所などのビジネス拠点。 - 統合
異なる領域間を移動する際に、送信、受信、保存、またはその他の方法でやり取りされるデータ。
アイデンティティとアクセス管理と特権アクセス管理の交差点
特権 ID 管理 (privileged identity management – PIM) (特権アクセス管理 (PAM) または単に特権管理とも呼ばれる) を IAM 内のサブカテゴリとして扱う人もいますが、PAM を独自のエンティティと見なす人もいます。ただし、特権のない ID と特権のある ID の両方を制御する総合的な ID ガバナンスを実現するには、IAM と PAM の両方が、相互に機能し通信する成熟したプログラムである必要があります。
IAM を使用すると、組織は ID をプロビジョニング/プロビジョニング解除し、認証し、リソースや特定のアクションへのアクセスを承認できますが、特権ID や特権アクセスおよび権限に関しては、きめ細かい制御を重ねる機能 (最小権限のセキュリティ原則の適用 (BeyondTrustサイト 英語) など) がありません。
IAM ソリューションのみでは、通常、アクセス許可と権限は、非常に多くのユーザー、アカウント、アプリケーションなどに大まかに付与されます。そのため、IAM ソリューションを使用すると、IT チームは「誰が何にアクセスできるか」に対処できますが、「適切な量のアクセスか」や「特権アクティビティは適切か」などの質問に対処するには、PIM/PAM ソリューションを重ねる必要があります。
権限の誤用や乱用は、今日のほぼすべてのセキュリティ侵害の主要因であると認識されているため、重要な PAM 部分を IAM 実装と統合することが不可欠です。ID およびアクセス管理と権限管理の統合度が高ければ高いほど、すべての特権アカウントと非特権アカウントおよびアクセスに対する制御と監査が効率化されます。
アイデンティティとアクセス管理に関する最後の言葉
IAM は、機密性の高いビジネス データとシステムを保護するための中心的な方法です。適切に実装された IAM により、承認および認証されたユーザーのみが、職務を効果的に遂行するために必要なシステムやデータとやり取りできるようになります。
IAM の実装は組織のニーズ (役割、アクセス要件などの定義) の監査とポリシーの作成から始まりますが、IAM プログラムの実行に役立つさまざまな IAM ツールとソリューションが存在します。選択するツールは、環境のユースケースを満たす必要があります。
また、IAM 管理を簡素化する高度に自動化されたワークフローを提供できるツールや、他のシステムやセキュリティ テクノロジ (PAM など) と適切に統合できる ID 管理ツールを優先することも検討してください。ツールが独自の環境や他のセキュリティ ツールとシームレスに統合されるほど、セキュリティのギャップを解消し、ビジネス オペレーションを改善できる可能性が高くなります。