アイデンティティおよびアクセス管理 (IAM) とは何ですか?
アイデンティティ/アクセス管理 (IAM) は、技術インフラストラクチャへのユーザーアクセスを制御するために使用するツールを企業に提供します。IAMは、ユーザーとオンプレミスまたはクラウドベースのサーバー、アプリケーション、およびデータとの間にセキュリティレイヤーを効果的に実装します。 各ユーザーは、特定のロールに基づいて個別のアクセス許可セットを受け取ります。 ユーザーごとに1つのデジタル・アイデンティティを保存することは、多くの IAM 管理の重要な目標です。
会社のビジネスの性質に応じて、IAMプラットフォームは顧客ID管理(CIAM)、従業員ID管理、またはその両方を提供します。一部のシナリオでは、ID 管理システムは、アプリケーション、クラウドベースのサービス、またはマイクロサービスにデジタル ID も提供します。IAMソリューションの最終的な目標は、特定のコンテキスト下で、特定のIDにデジタルアセットへのアクセスを提供することです。
IAMが重要な理由
当然ながら、アプリケーションやデータなどの企業の技術インフラへの不正アクセスを防ぐことは今も重要です。これは、 サイバー攻撃やデータプライバシー侵害が日常的にニュースで報じられている現代のテクノロジーの世界では特に当てはまります。
e コマースの成長はサイバー犯罪の問題を悪化させる一因となっており、ランサムウェアは依然として世界中の民間企業や公共機関に影響を与えています。
顧客データに対する侵害を受けた企業は、評判に大きな打撃を受けます。 競争の激しいビジネスの世界では、これは顧客離れに直結するします。
また、銀行、金融、保険などの一部の業種の組織では、インフラストラクチャがハッキングされた場合、さらに規制やコンプライアンスの問題にも対処する必要があります。 このような環境では、強力なクラウド セキュリティが不可欠です。では、IAMとは何なのでしょう?
IAMの機能
簡単に言えば、IAMは、適切な人(従業員)を受け入れ、不適切な人(脅威アクター)を締め出すように設計されています。クラウド上のすべてのサービスと資産には、複数の権限レイヤーを伴う固有の アイデンティティが存在し、IAM は以下を中心に構築された自動監視と修復によってアイデンティティ 境界を保護します:
- アクセス管理
- ロールベースアクセス制御(RBAC)
- 本人認証
- コンプライアンス監査
最小権限アクセス(LPA) は、IAMクラウドライフサイクルアプローチ の重要なコンポーネントです。それは、人またはマシンが作業を行うために必要とする最小限のアクセス権を設定します。 LPA を活用したソリューションでは、通常、自動化を採用して、ユーザーのロールに基づいて権限を強化したり緩和するために自動化が採用されます。LPA がベースライン アクセスを制限するのに対し、 特権アクセス管理 (PAM) は、管理者やその他のリスクの高いユーザーに付与される昇格された権限の保護と監視に重点を置いています。
IAM のコンポーネント
堅牢なIAMプラットフォームは、企業の技術資産へのアクセスを管理することを目的とした一連のテクノロジーとツールを提供します。 この基本機能は次のとおりです。
- パスワード管理
- セキュリティ ポリシーの適用
- 監視、レポート、アラートへのアクセス
- ID 管理とリポジトリ
- プロビジョニング・サービス
これらの機能は「基本」のように見えるかもしれませんが、それらの実装と保守の方法を管理することは、すぐに複雑になり得ます。 上記を含むソリューションは、アイデンティティベースのポリシー、リソースベースのポリシー、権限の境界、サービス制御ポリシー、およびセッションポリシーを通じて適切なアクセスを保証します。 一部の IAM プラットフォームでは、ロールだけでなく、ユーザー属性、リソース タイプ、環境条件に基づいてアクセスを許可する属性ベースのアクセス制御 (ABAC)も使用されます。
時間の経過とともに、IAMの境界が進化し、セキュリティがますます厳しくなるにつれて、これらの機能のガバナンスは変化します。 結局のところ、IAMはあらゆる組織の戦略的なSecOpsアプローチにおいて不可欠な要素です。
IAM ソリューションの主な機能
企業のニーズに応じて、一部のベンダーは、オンプレミス環境とクラウドベースの環境に個別のIAMソリューションを提供しています。 さらに、特定の ID 管理シナリオを満たすために、他の IAM テクノロジが存在します。
たとえば、APIセキュリティは、技術インフラストラクチャにアクセスするモバイルデバイスと IoT デバイスにシングルサインオン機能を提供します。このアプローチは、B2Bのユースケースだけでなく、クラウドとマイクロサービスの統合にも適しています。
前述のように、CIAMは、企業のERP、CRM、およびその他の同様のシステムにアクセスする顧客のID管理をサポートしています。 すでにクラウドベースのインフラストラクチャを採用している企業は、IAMのニーズに対応するサービスとしてのアイデンティティ(IDaaS)を検討する必要があります。
アイデンティティ管理およびガバナンス(IMG)は、規制やコンプライアンスに対して重要なニーズがある企業をサポートします。このテクノロジーでは、ライフサイクルガバナンスを特定するにあたり自動化されたアプローチを利用します。さらに、リスクベース認証 (RBA) では、ユーザーのアイデンティティとコンテキストを分析してリスク スコアを決定し、リスクの高いアクセス試行に対しては多要素認証 (MFA) が必要になることがよくあります。
IAM の利点
成功する企業は、決して単独で成功を手に入れているわけではありません。 顧客、クライアント、ベンダー、および自社の従業員との良好な関係は、成功に欠かすことができません。 そのためには、オンプレミス、クラウド、またはその両方の組み合わせのいずれかの内部技術システムへのアクセスを提供する必要があります。 IAM は、このアクセスを安全な方法で可能にします。
5Gネットワーキングの成長に牽引されて、組織がモバイルとIoTを採用し続けるにつれて、この拡張アクセスをサポートするための堅牢なIAMソリューションが求められています。 ID アクセス管理により、ユーザーの場所や、そのユーザーが個人、デバイス、マイクロサービスのいずれであるかに関係なく、セキュリティとコンプライアンスが確保されます。
最終的に、IAMプラットフォームを実装することで、会社の技術チームはより効率的に作業できます。
IAM の課題
当然のことながら、ID管理プラットフォームの実装は、その存在が企業のセキュリティスタック全体に影響を与えるため、多くの企業にとって依然として困難なプロセスです。 このため、ネットワーク管理者は、新しいIAMソリューションを採用する際にさまざまなリスクに注意する必要があります。
1つの課題は、新しい従業員、請負業者、アプリケーション、またはサービスのオンボーディングです。 担当マネージャーまたは人事担当者がこの初期アクセスを提供する権限を持っていることが重要です。 同様の概念は、何らかの理由でアクセスを変更する必要がある場合にも適用されます。 この権限を適切に委任することが不可欠です。
新しいIAM製品は、この目的のために自動化を利用しており、アクセス権を削減または削除するときにも計り知れないほど役立ちます。 これは、規制コンプライアンスの重要な問題でもあります。 ネットワーク アクセスを伴う休眠アカウントは、重大なセキュリティホールであり、できるだけ早く修正する必要があります。
アクセス権付与後の信頼関係の監視は、IAM プラットフォーム導入におけるもう 1 つの重要な課題です。このギャップは、 アイデンティティ脅威検知と対応 (ITDR)ソリューションによって対処されます。ベースラインのユーザー行動を分析することは、この点において役立ちます。これにより、使用状況の異常が発生した際、見つけやすくなります。
IAMソリューションは、組織が使用するシングルサインオン(SSO)アプローチと密接に統合する必要もあります。 SSOプラットフォームは、オンプレミスまたはクラウドプロバイダーでホストされているものを含む、企業のアプリケーションスイート全体への安全なアクセスを簡単に提供する必要があります。
最後に、選択した ID 管理プロセスは、複数のクラウド プロバイダーとシームレスに調整する必要があります。 マルチクラウドインフラストラクチャは、各クラウドプロバイダーが独自のセキュリティアプローチを導入する可能性が高いため、IDおよびアクセス管理に最も大きな課題をもたらします。 複数のクラウド環境をサポートするIAMソリューションを正常に統合することで、重大なセキュリティリスクを防ぐことができます。