Webサイトを快適にご利用いただくためには、IE11以降、Chrome、Firefox、またはSafariをご使用ください。

IDおよびアクセス管理(IAM)とは?

IDおよびアクセス管理の概念

IDおよびアクセス管理にはどのような意味があるか?

IDおよびアクセス管理(IAM)は、組織内の適切な人材と役職(ID)が、自分の仕事をこなすために必要なツールにアクセスできるようにします。ID管理およびアクセスのシステムにより、組織は、管理者として各アプリにログインしなくても従業員のアプリを管理できます。IDおよびアクセス管理システムを使用すると、組織は、人材、ソフトウェア、ロボティクスやIoTデバイスなどのハードウェアを含むさまざまなIDを管理できます。

IAMが必要な理由

企業は、オンラインのセキュリティを提供し、従業員の生産性を向上させるためにIAMが必要です。

  • セキュリティ。従来のセキュリティには、多くの場合、1つの障害点があります。パスワードです。ユーザのパスワードが漏洩した場合、またはさらに悪いことにパスワードの復旧用のEメールアドレスが侵害された場合、組織は攻撃に対して脆弱になります。IAMサービスは、障害点を絞り込み、間違いが発生したときにそれを発見するツールを使用して障害点を防御します。
  • 生産性。メインのIAMポータルに一度ログインすると、従業員は職務をこなすための正しいパスワードや正しいアクセスレベルについて心配する必要がなくなります。すべての従業員が自分の職務に最適なツール一式にアクセスできるだけでなく、アクセスが個人ではなくグループまたは役割として管理されるので、ITプロフェッショナルの負荷が軽減されます。

IAMは法令遵守を強化できるのでしょうか?

セキュリティは、法律、規制、契約の問題でもあります。欧州の一般データ保護規則、米国のHIPPA法およびサーベンスオクスリー法など、データ保護基準は、データセキュリティに厳格な基準を施行しています。IAMソリューションを使用すると、ユーザと組織は、日常業務に最高水準のセキュリティ、追跡、および管理の透明性を当然のこととして実現できます。

IAMが機能する仕組みとは?

ID管理ソリューションは、通常、2つのタスクを実行します。

  1. IAMは、データベースに対して資格情報を認証することによって、ユーザ、ソフトウェア、またはハードウェアが主張通りのものであることを確認します。IAMクラウドIDツールは、従来のユーザ名とパスワードのソリューションよりも安全かつ柔軟です。
  2. IDアクセス管理システムは、適切なレベルのアクセスのみを許可します。ソフトウェアスイート全体へのアクセスを許可するユーザ名とパスワードの代わりに、IAMでは、コンテンツ管理システムの編集者閲覧者投稿者のように、アクセス権を分割することができます。
認証と承認作業

IAMの機能とは

IAMシステムは、次のコア機能を提供します。

 

タスク

ツール

ユーザIDの管理

IAMシステムは、ユーザの作成、修正、および削除に使用できる唯一のディレクトリにすることも、1つ以上の他のディレクトリと統合して、同期することもできます。IDおよびアクセス管理は、組織のツールへの特殊タイプのアクセスが必要なユーザに新しいIDを作成することもできます。

ユーザのプロビジョニングとプロビジョニング解除

ユーザに許可するツールとアクセスレベル(編集者、閲覧者、管理者)を指定することをプロビジョニングと呼びます。IAMツールによりIT部署は、ユーザの部署のマネージャと相談しながら、役割、部署、その他のグループごとにユーザをプロビジョニングすることができます。すべてのリソースに対して1人ずつアクセス権を指定するのは時間がかかるので、ID管理システムでは、ロールベースのアクセス制御(RBAC)に基づいて定義されたポリシーを介したプロビジョニングを可能にします。ユーザは、通常、職務に基づいて1つ以上の役割が割り当てられ、RBAC IAMシステムは自動的にユーザにアクセスを許可します。プロビジョニングは逆にも機能します。システムへのアクセス権を保持したままの元従業員がもたらすセキュリティリスクを避けるために、IAMを使用して組織は退職者のアクセス権を迅速に削除することができます。

ユーザの認証

IAMシステムは、本人確認を行うことでユーザを認証します。今日では、安全な認証とは多要素認証(MFA)を意味し、適応型認証もあればさらに望ましいです。

ユーザの承認

アクセス管理により、ユーザに資格があるツールへの正確なレベルとタイプのアクセスが許可されるようにします。大規模なユーザ群に同じ権限を付与できるように、ユーザをグループまたは役割に分割することもできます。

レポート作成

IAMツールは、コンプライアンスを確保し、セキュリティリスクを評価するために、プラットフォームに対して行われるほとんどのアクション(ログイン時間、アクセスされたシステム、認証の種類など)についてレポートを作成します。

シングルサインオン

シングルサインオン(SSO)を使用するIDおよびアクセス管理ソリューションにより、ユーザは、さまざまなリソースではなく、1つのポータルでIDを認証できます。ユーザが認証されると、IAMシステムは、ユーザが利用可能な他のリソースで信頼できるIDの情報源として機能し、 ユーザは複数のパスワードを覚えておく必要がなくなります。

ID管理とアクセス管理の違いとは

ID管理は、ユーザが本人であることを確認し、そのユーザに関する情報を保存します。ID管理データベースには、ユーザのIDに関する情報(役職、直属の部下など)が保存されており、ユーザが実際にデータベース内で説明されている通りの人物であることを認証します。

アクセス管理は、ユーザのIDに関する情報を使用して、アクセスが許可されているソフトウェアスイートと、それらにアクセスしたときに実行できることを決定します。例えば、アクセス管理により、直属の部下がいるすべてのマネージャはタイムシート承認用のアプリにアクセスできますが、自身のタイムシートを承認できるほどのアクセス権は与えられません。

クラウドIAMとオンプレミスIAM

以前は、ほとんどのIDおよびアクセス管理は、組織の物理的な敷地内(オンプレミス)にあるサーバによって管理されていました。現在、組織の物理的な保守費用を避けると共に、稼働時間、分散された冗長システム、および簡潔なSLAを確保するために、ほとんどのIAMはクラウド内のプロバイダによって管理されています。

AWS IDおよびアクセス管理とは

Amazon Web Services(AWS)IDおよびアクセス管理は、単純に、AWSに組み込まれたIAMシステムです。AWS IAMを使用すると、AWSユーザおよびグループを作成し、AWSサービスおよびリソースへのアクセスを許可または拒否できます。AWS IAMは無料で利用できます。

AWS IAMサービスが提供するものは以下の通りです。

  • AWSリソースへのきめ細かいアクセス制御
  • AWS多要素認証
  • ポリシーを検証および微調整するための分析機能
  • 外部ID管理ソリューションとの統合

IDおよびアクセス管理の実装に必要なツールとは

IAMを実装するために必要なツールには、パスワード管理ツール、プロビジョニングソフトウェア、セキュリティポリシー実施アプリケーション、レポート作成および監視アプリ、IDリポジトリなどがあります。IAMツールには次のようなものがありますが、これに限定されません。

  • MFA
    多要素認証では、IAMプロバイダはユーザが本人であるという複数の種類の証明を求めます。一般的な例は、パスワードと指紋の両方を要求することです。他のMFAの選択肢には、顔認証、虹彩スキャン、Yubikeyなどの物理的なトークンなどがあります。

  • SSO
    SSOはシングルサインオンの略です。IAMソリューションがシングルサインオンを提供する場合、ユーザは一度サインインすると、IDおよびアクセス管理ツールをユーザがアクセスできる他のソフトウェアスイートの「ポータル」として扱うことができ、毎回サインインする必要がなくなります。

IAM実装戦略に含まれるもの

ゼロトラストアーキテクチャの基盤として、IAMソリューションは、最小特権アクセスやIDベースのセキュリティポリシーなど、ゼロトラスト原則を使用して実装する必要があります。

  • IDの一元管理
    ゼロトラストの重要な原則は、リソースへのアクセスをIDレベルで管理することです。したがって、IDの一元管理により、このアプローチをはるかにシンプルにすることができます。これは、他のシステムからユーザを移行すること、または少なくともIAMを人事ディレクトリなどの環境内の他のユーザディレクトリと同期することを意味する場合があります。

  • 安全なアクセス
    IDレベルでのセキュリティ保護は重要なので、IAMは、ログインするユーザのIDを確実に確認する必要があります。これは、MFAまたはMFAと適応型認証の組み合わせを実装して、ログイン試行のコンテキスト(場所、時間、デバイスなど)を考慮できるようにすることを意味します。

  • ポリシーベースの制御
    ユーザには、必要なタスクを実行するための承認が与えられ、必要以上の権限が付与されないようにする必要があります。IAMは、ユーザの職務、部署、その他適切と思われる属性に基づいて、リソースへのアクセスが許可されるように設計されている必要があります。一元管理されたIDソリューションの一部として、これらのポリシーは、どこからアクセスされているかに関係なく、リソースが安全であることを保証できます。

  • ゼロトラストポリシー
    ゼロトラストポリシーは、組織のIAMソリューションが、ユーザのIDおよびアクセスポイントを常に監視およびセキュリティ保護していることを意します。かつて組織は、「入社したらアクセス権を付与のポリシーで運用されていましたが、ゼロトラストポリシーにより、組織の各メンバーは常にIDが確認され、アクセスが管理されています。

  • 保護された特権アカウント
    アクセス管理システム内のすべてのアカウントが等しく作成されているわけではありません。特殊ツールまたは機密情報への特権アクセスを備えたアカウントには、組織のゲートキーパーとしてのステータスに適したセキュリティとサポートの層を提供できます。

  • トレーニングとサポート
    IAMプロバイダは、製品に最も関与するユーザ(ユーザと管理者を含む)にトレーニングを提供します。また、多くの場合、IAMインストールとそのユーザの長期的な健全性のために、カスタマーサービスを提供します。

IAMテクノロジー

IAMシステムは、多数の異なるシステムと統合できることが期待されています。このため、すべてのIAMシステムがサポートすることが期待されている特定の標準またはテクノロジーがあります。Security Access Markup LanguageOpenID Connect、およびSystem for Cross-domain Identity Managementです。

  • Security Access Markup Language(SAML)
    SAMLは、IAMなどのIDプロバイダシステムと、サービスまたはアプリケーションの間で認証および承認の情報を交換するために使用されるオープンスタンダードです。これは、IAMプラットフォームに統合されているアプリケーションにユーザがログインできるようにするために、IAMで最も一般的に使用されている手法です。

  • OpenID Connect(OIDC)
    OIDCは、より新しいオープンスタンダードで、これもユーザがIDプロバイダからアプリケーションにログインできるようにするものです。SAMLに非常によく似ていますが、OAuth 2.0標準に基づいて構築されており、データを送信するためにXMLを使用するSAMLと異なり、OIDCはJSONを使用してデータを送信します。

  • System for Cross-domain Identity Management(SCIM)
    SCIMは、2つのシステム間でID情報を自動的に交換するために使用される標準です。SAMLとOIDCはどちらも認証プロセス中にID情報をアプリケーションに渡すことができますが、SCIMは、新しいユーザがサービスまたはアプリケーションに割り当てられたり、ユーザデータが更新されたり、ユーザが削除されたりするたびに使用されて、ユーザ情報を最新に保ちます。SCIMは、IAM空間でのユーザプロビジョニングの主要なコンポーネントです。