アイデンティティおよびアクセス管理(IAM)とは何ですか?
IDおよびアクセス管理(IAM)は、認証、認可、会計を含むアイデンティティ情報の管理に関連するプロセス、実践、技術を指します。IAMは、個人のアクセス権が組織内のビジネス上の役割や関係に基づいて必要に応じて適用されることを保証します。
日常業務の必要な部分ではないように見えるかもしれませんが、IAMは、特にデジタル化とモバイルフレンドリー化が進む中で、あらゆる安全なIT環境の重要な要素です。すべての組織は、IAMをサイバーセキュリティリスク管理戦略の一部として確保する必要があります。
IDおよびアクセス管理が重要な理由は?
IAMは、組織のセキュリティとコンプライアンスの中心的な部分です。IAMがなければ、組織にはセキュリティもなく、無意味な監査トレイルしかありません。IAMは、誰かが誰であるかを知ることで、銀行に入れるか、窓口で働くか、金庫に入れるかを判断することです。一方で、監査トレイルと報告は多くのことが起こったことを示しますが、誰がそれを行ったかは示さないため、プライバシーとデータ保護規制のコンプライアンスを証明したり、インシデントを効果的に調査したりすることができません。
IAMは、IDおよびアクセス管理ドメインの一部であり、いくつかのサブドメインで構成されています:
IDおよびアクセス管理(IAM)の基本コンポーネントは何ですか?
IAMシステムは主に3つの基本的なタスクを実行します:識別、認証、認可です。これにより、特定のハードウェア、ソフトウェア、アプリケーション、ITリソース、特定のデータやコンテンツへのアクセスが意図された人だけに許可されます。IAMフレームワークには以下のようなコンポーネントが含まれます:
- ユーザー:関連する資格情報と権限を持つアイデンティティ
- グループ:複数のユーザーに権限を指定するためのユーザーの集合で、管理者にスケールメリットを提供
- ポリシー:ビジネスコンテキスト内でシステム、リソース、データ、コンテンツへのアクセスを制御する権限とコントロール
- ロール:会計やマーケティングなど、特定のビジネス機能を実行するために必要な最小限の特権に対応するポリシーのセットで、ユーザーやグループに適用可能
IDおよびアクセス管理の利点
IAMに関連するさまざまなサイバーセキュリティの利点には以下が含まれます:
情報共有
アクセスとアイデンティティ管理の共通プラットフォームを提供することで、IAMは組織で使用されるすべてのシステム、アプリケーション、データ、コンテンツに同じセキュリティ原則を適用することを可能にします。IAMフレームワークは、ユーザー認証、特権、検証ポリシーの実施を組織に可能にします。
セキュリティの強化
IAMシステムは、設定されたルールの違反を特定することでセキュリティリスクを特定し、軽減するのに役立ちます。IAMシステムはまた、複数のシステムを検索することなく、無許可のアクセス権限の解決を容易にします。
アクセスの簡素化
IAMは、システム内のすべてのユーザーとユーザーグループのサインイン、サインアップ、ユーザー管理プロセスを簡素化します。これにより、ユーザーの満足度を向上させるために、ユーザーへのシステムアクセス権限を設定および管理することが容易になります。
生産性の向上
IAMはアイデンティティとアクセス管理プロセスを自動化および集中化するため、新しい人員のオンボーディングや役割変更時の手作業を減らすことで、スタッフの生産性を向上させる自動化されたワークフローを作成するのに役立ちます。また、手作業プロセス中に発生する可能性のあるエラーを減らすのにも役立ちます。
規制へのコンプライアンス
ほぼすべてのコンプライアンス規制は、ポリシーの実施のための認可またはアクセス制御を要求し、監査でのコンプライアンスを証明するための監査トレイルと報告を必要とします。適切なアクセス制御の実施を証明し、責任を割り当てるためには、監査トレイルで追跡される活動は常に認証されたユーザーに結びつけられている必要があります。
ゼロトラストの実施
組織は、持続的標的型攻撃の急増に対応して、ゼロトラストと呼ばれる新しいセキュリティアーキテクチャモデルを採用しています。IAMは中心的な役割を果たします。ゼロトラストの主要な原則には、資産、サービス、ワークフローなどのすべてのリソースに対する詳細な認可と、アクセスが許可される前のユーザーとシステムの認証が含まれます。
一般的なIAMの標準は何ですか?
優れたIAMシステムは、コンプライアンス要件を満たすための正確性を保証する健全な標準を持つべきです。IAMシステムで一般的に使用されるプロトコルと標準には以下が含まれます:
OAuth 2.0
OAuth 2.0認可プロトコルは、サードパーティリスク管理(TPRM)を可能にします。つまり、組織がベンダーやサプライチェーン内の他のサードパーティにアクセストークンを通じて保護されたシステムや機密コンテンツへのアクセスを許可する方法です。また、企業の物理的な壁の外でモバイルデバイスやリモートシステムを使用する従業員にとっても重要であり、シングルサインオン(SSO)にも必要です。
ユーザー管理アクセス(UMA)
UMAは、OAuthベースのアクセス管理プロトコル標準で、サードパーティによる保護されたシステムへのアクセスを規制するのに役立ちます。
セキュリティアサーションマークアップ言語2.0(SAML 2.0)
SAMLは、アイデンティティプロバイダー(IdP)がユーザーを認証し、その認可アサーションをサービスプロバイダーに渡すことを可能にするオープン標準です。SAMLを使用すると、ユーザーは1つの資格情報セットを使用して多くの異なるWebアプリケーションにログインできます。シングルサインオン(SSO)を実装するためによく使用されます。
次世代アクセス制御(NGAC)
NGACは、ユーザーに管理能力を付与または拒否するアクセス制御に対する体系的でポリシーに一貫したアプローチを可能にします。
IAMシステムはどのように機能しますか?
|
タスク |
機能 |
|
ユーザーの認証 |
IAMシステムは、ユーザーが自分が言っている通りの人物であることを確認することでユーザーを認証します。従来は資格情報、ユーザーID、パスワードを使用していましたが、現在では顔や指紋の生体認証、確認済みデバイスへのワンタイムパスワード(OTP)のSMS送信、または管理された認証アプリからのコードなど、複数の要素をサポートしています。 |
|
ユーザーの認可 |
アクセス管理は、ユーザーが持つべき正確なレベルと種類のアクセスをツールに付与することを保証します。 |
|
シングルサインオン |
シングルサインオン(SSO)を備えたIDおよびアクセス管理ソリューションは、ユーザーが多くの異なるリソースではなく1つのポータルで自分のアイデンティティを認証することを可能にします。認証後、IAMシステムはユーザーが利用可能な他のリソースのアイデンティティの真実の源となります。したがって、ユーザーは複数のパスワードを覚える必要がありません。 |
|
ユーザーアイデンティティの管理 |
IAMシステムは、ユーザーの作成、変更、削除のための唯一のディレクトリとして使用できます。1つ以上の他のディレクトリと統合し、それらと同期することができます。アイデンティティとアクセス管理は、組織のツールへの特別なアクセスを必要とするユーザーのために新しいアイデンティティを作成することもできます。多くの組織は、エンタープライズ全体の複数のアプリケーションでポリシーの割り当てを合理化するために、IAM属性にユーザーロールの割り当てを集中化しています。 |
|
ユーザーのプロビジョニングとデプロビジョニング |
ユーザーのプロビジョニングには、どのツールとアクセスレベル(エディター、ビューアー、管理者)を付与するかを指定することが含まれます。IAMツールは、IT部門が必要に応じて役割、部門、または他のグループによってユーザーをプロビジョニングすることを可能にします。アイデンティティ管理システムは、役割ベースのアクセス制御(RBAC)に基づくポリシーを通じてプロビジョニングを可能にします。 |
|
報告 |
IAMツールは、システム上で行われたアクション(ログイン時間、アクセスされたリソース、付与された認証の種類など)の後にレポートを生成します。これにより、コンプライアンスを確保し、セキュリティリスクを評価するのに役立ちます。 |
IDおよびアクセス管理の実施におけるベストプラクティス
IDおよびアクセス管理(IAM)の目的は、許可された人だけが企業のアプリケーションと情報資産にアクセスできるようにすることです。IAMシステムは、シングルサインオン(SSO)機能を提供するために使用され、ユーザーはすべてのアプリケーションにアクセスするために1つの資格情報セットだけが必要です。これらのベストプラクティスは、IAMツールと技術をさらに採用する際に、会社のWebおよびローカルアプリケーションを安全に保つことを保証します。
保護が必要な情報資産とそれにアクセスすべき人を定義する
IAMに関しては、組織がデータのセキュリティを確保するために従うべきベストプラクティスがあります。最も重要なステップの1つは、保護が必要な情報資産とそれにアクセスすべき人を定義することです。
データ、情報、コンテンツがビジネスと会計の真の意味で情報資産として扱われる場合、各資産に異なるレベルのアクセス、認証、認可を実装することが重要です。これは簡単なタスクのように見えますが、しばしば見過ごされたり、十分な注意が払われなかったりします。組織は情報資産のインベントリを取り、保護が必要な機密コンテンツを含むものを特定する必要があります。また、このデータにアクセスする必要がある人とその目的を特定する必要があります。
アイデンティティ検証方法の決定
IAMの実施における多くのベストプラクティスがありますが、重要な側面の1つはアイデンティティ検証方法の決定です。組織のデータを適切に保護するためには、まずユーザーが自分が言っている通りの人物であることを確認することが不可欠です。
これを行う方法はさまざまで、単純なユーザー名とパスワードの組み合わせから、より複雑な多要素認証スキームまであります。重要なのは、ユーザーにとって負担になりすぎない方法(または方法の組み合わせ)を選択して、アイデンティティを効果的に検証することです。
ユーザーアカウント管理のためのポリシーと手順の策定
IDおよびアクセス管理に関しては、ベストプラクティスは常にユーザーアカウント管理のためのポリシーと手順の策定を含みます。これは、ユーザーアカウント管理が効果的なセキュリティ戦略の基盤であるためです。明確なポリシーと手順を整備することで、許可されたユーザーだけがシステムとデータにアクセスできるようになります。
さらに、定期的なアカウントレビューは、パートナーのステータス変更によるアクセスが不要になった場合など、深刻な問題になる前に潜在的な問題を特定するのに役立ちます。
可能な限りプロセスを自動化する
IDおよびアクセス管理におけるベストプラクティスの1つは、可能な限りプロセスを自動化することです。これにより、ユーザーが正しい権限を持ち、個人データが適切に保護されることを保証できます。
自動化はエラーを減らし、効率を向上させるのにも役立ちます。プロセスを自動化する方法はいくつかあり、スクリプトや事前に構築された機能を提供するツールを使用することができます。多くのセキュリティおよびプライバシー規制で要求されるように、標準期間後に未使用アカウントを自動的に停止することでリスクを軽減します。ソリューションを選択する際には、使いやすさや既存システムとの互換性などの要素を考慮することが重要です。
ユーザー活動を監視して不審な行動を検出する
IDおよびアクセス管理のベストプラクティスの1つは、不審な行動を検出するためにユーザー活動を監視することです。
これを行うには、ログイン時間、失敗したログイン試行、異常なログイン活動パターンを追跡します。これにより、潜在的な脅威を迅速に特定し、それを軽減するための措置を講じることができます。「fail2ban」ポリシーは、ボットが総当たり攻撃(一般的に使用される資格情報を試行錯誤する)を試みていると仮定して、失敗したログインが続いた後に特定のIPアドレスからのログイン試行を自動的に停止します。
IAM構成を定期的にレビューおよび更新する
組織は、構成を定期的にレビューおよび更新する必要があります。これを行うことで、許可されたユーザーだけが機密データとシステムにアクセスできるようになり、組織を潜在的な侵害から保護します。
IAM構成の定期的なレビューは、組織のセキュリティ姿勢の潜在的な弱点を特定するのにも役立ち、それらが悪用される前に対処することができます。IAMに対して積極的なアプローチを取ることで、組織はデータと資産を不正アクセスから保護することができます。
機密コンテンツ通信を管理するための適切なIAMを見つける
IAMソリューションを使用することは、機密コンテンツ通信ツールへのログインアクセスを管理するための必須条件です。どのIAMソリューションが採用されても、結果としてすべてのデバイス、デスクトップクライアント、およびプラグインで一貫したSSOログイン体験が必要です。IAMソリューションで探すべき重要な機能には以下が含まれます:
- パスワードは暗号化されていない限り送信されない
- ログイン時に定義された資格情報がリソース間で渡され、追加のログインが不要な単一のログインがセッションごとに必要
- クライアントがサーバーに自分のアイデンティティを証明し、サーバーがクライアントに自分のアイデンティティを証明する相互認証
- 最小パスワード長と文字の組み合わせ、パスワードの有効期限、以前のパスワードの再使用を制限するなどのパスワード管理のベストプラクティスの導入
Kiteworksプライベートコンテンツネットワークは、Okta、Azure Active Directory、LDAP、SMS、Ping Identityなど、ほぼすべての組織のセキュリティスタックのIAMコンポーネントとシームレスに統合され、SAML 2.0、OAuth、Radius、およびさまざまな認証アプリをサポートします。これにより、KiteworksはKiteworksプラットフォーム内の複数の機密コンテンツ通信チャネルへのアクセスを制御し、内部およびサードパーティユーザーの両方に対応します。
Kiteworksは、最終的に保護および追跡が必要なリソース、つまりエンタープライズの機密コンテンツにIAMを適用し、静止しているコンテンツを含むシステム、アプリケーション、機能だけでなく、コンテンツがアプリケーション間、エンタープライズとその顧客、従業員、そして最も問題のあるサードパーティ(サプライチェーンパートナー、規制当局、アウトソーサー、弁護士、会計士、その他多くのタイプ)間を移動する際にも、適切なポリシーを適切なユーザーに適切なコンテンツで適切なコンテキストで動的に適用し、そのコンテンツに対するユーザーの行動をコンプライアンスと責任のために追跡することで、セキュリティとコンプライアンスを確保します。これは、セキュリティリスクを管理し、プライバシーとセキュリティ規制に準拠しようとする組織にとって重要です。
組織は、Kiteworksプライベートコンテンツネットワークのカスタムデモをスケジュールすることで、その実際の動作を確認できます。
ブログ投稿:
ブログ投稿:
ブログ投稿:
