IDおよびアクセス管理(IAM)は、ITシステム内のデジタルIDとユーザー・アクセス権限のプロビジョニングと保護を扱うサイバーセキュリティーの分野です。IAMツールは、適切な人材が、適切なタイミングに、適切な理由で、適切なリソースにアクセスできるようにするものです。
クラウド・コンピューティング、リモートワーク、生成AIの普及に伴い、IAMはネットワーク・セキュリティーの中核となるコンポーネントになりました。
今日の平均的な企業ネットワークでは、ますます多くの人間のユーザー(従業員、顧客、請負業者)と非人間のユーザー(AIエージェント、 IoTおよびエンドポイントデバイス、自動化されたワークロード)がホストされています。これらのユーザーはさまざまな場所に分散しており、オンプレミスとクラウドの両方のアプリとリソースへの安全なアクセスを必要としています。
ハッカーは、この拡大するIDの攻撃対象領域に注目しています。IBM® X-Force Threat Intelligence Indexによると、サイバー攻撃の30%は有効なアカウントの盗難と悪用に関連しています。
IDおよびアクセス管理は、外部の攻撃者、悪意のあるインサイダー、さらにはアクセス権を誤用している善意のユーザーによる不正アクセスをブロックしながら、承認されたユーザーの安全なアクセスを促進するために役立ちます。IAMツールを使用すると、組織はデジタルIDの作成と安全な廃棄、アクセス制御ポリシーの設定と適用、ユーザーの検証、ユーザー・アクティビティーの監視を行うことができます。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
IAMの目的は、ハッカーの侵入を阻止すると同時に、許可されたユーザーが必要なすべてのことを簡単に行える一方で、許可された範囲を越えることをできなくすることです。
その目的を達成するため、IAMの実装には4つの柱があります。
ID管理(「IDマネジメント」または「IDライフサイクル管理」とも呼ばれる)は、システム内のユーザーIDを作成、維持し、安全に処分するプロセスのことです。
安全なユーザー・アクセスを促進するには、組織はまずシステム内に誰がいるのか、何が含まれているのかを知る必要があります。これには通常、人間と非人間の各ユーザーに固有のデジタルIDを割り当てるプロセスが含まれます。
デジタルIDは、特定のエンティティに結び付けられた区別可能な属性の集合です。デジタルIDは、ユーザーの氏名、ログイン認証情報、役職、アクセス権限などの特性を記録します。
デジタルIDは通常、信頼できる唯一の情報源として機能する中央データベースまたはディレクトリに保存されます。IAMシステムは、このデータベース内の情報を使用してユーザーを検証し、ユーザーに何を許可するのか決定します。
新規ユーザーのオンボーディングに加え、IAMツールはユーザーの役割が変化するにつれてIDと権限を更新し、システムを離れるユーザーを削除できます。
ITチームとサイバーセキュリティー・チームは、ユーザーのプロビジョニングとプロビジョニング解除を手動で処理できますが、多くのIAMシステムはセルフサービス・アプローチもサポートしています。ユーザーが情報を提供すると、システムがユーザーのIDを自動的に作成し、組織が定義したルールに基づいて適切なレベルのアクセスを設定します。
認証は、ユーザーが本人であることを確認するプロセスです。
ユーザーがシステムにログインしたり、リソースへのアクセスを要求したりする際、ユーザーは「認証要素」と呼ばれる認証情報を送信し、自身の身分を証明します。たとえば、人間のユーザーはパスワードまたは生体認証指紋スキャンを入力する一方で、人間以外のユーザーはデジタル証明書を共有する場合があります。IAMシステムは、これらの認証情報を中央データベースと照合します。一致するとアクセスが許可されます。
パスワードは最も基本的な認証形式ですが、最も弱い認証形式の1つでもあります。今日のほとんどのIAM実装では、2要素認証(2FA)や多要素認証(MFA)などのより高度な認証方法が使用されており、ユーザーは自分の身元を証明するために複数の認証要素を提供することが求められます。
たとえば、あるWebサイトで、パスワードと携帯電話にテキストで送信されるコードの両方を入力するよう求められる場合、それは2FAスキームが機能していることになります。
承認は、検証されたユーザーにリソースへの適切なレベルのアクセス権を付与するプロセスです。
認証と承認は深く連携しており、通常、認証は承認の前提条件です。ユーザーがIDを証明した後、IAMシステムは中央データベース内のそのIDに関連付けられた権限を確認し、それに応じてユーザーを承認します。
認証と承認は、連携してIDおよびアクセス管理におけるアクセス管理コンポーネントを形成します。
ユーザー・アクセス許可の設定には、組織が異なれば採用するアプローチも異なります。一般的なアクセス制御フレームワークの1つは、ユーザーの権限が職務に基づいて決定されるロールベース・アクセス制御(RBAC)です。RBACは、ユーザーのアクセス権限を設定するプロセスを合理化し、ユーザーに必要以上の高い権限を付与するリスクを減らします。
たとえば、システム管理者がネットワーク・ファイアウォールの権限を設定するとします。営業担当者は、そのユーザーの役割上必要がないため、まったくアクセスできないことが一般的です。ジュニアレベルのセキュリティー・アナリストは、ファイアウォール構成を表示できても、変更することはできない場合があります。最高情報セキュリティー責任者(CISO)は完全な管理アクセス権を持ちます。統合型のセキュリティ情報およびイベント管理システム(SIEM)のアプリケーション・プログラミング・インターフェース(API)は、ファイアウォールのアクティビティ・ログを読み取ることができる場合があります。
ほとんどのアクセス制御フレームワークは、最小権限の原則に従って設計されています。ゼロトラストサイバーセキュリティー戦略と関連付けられることが多い最小権限の原則では、ユーザーはタスクを完了するために必要な最小限の権限のみを持つべきであるとしています。そのようなユーザーの権限は、タスクが完了したらすぐに取り消されます。
監査とは、IAMシステムとそのコンポーネント(管理、認証、承認)が適切に機能していることを確認することを意味します。
監査には、ハッカーを含む誰もがアクセスすべきではないものにアクセスできず、許可されたユーザーが権限を悪用していないことを保証するために、ユーザーがアクセス権を使用して行う行動を追跡し、ロギングすることが含まれます。
監査はIDガバナンスの中核的機能であり、規制遵守において重要です。一般データ保護規則(GDPR)、サーベンス・オクスリー法(SOX)、ペイメントカード業界データセキュリティ基準(PCI DSS)などのセキュリティ規制により、組織は特定の方法でユーザーのアクセス権を制限する必要があります。監査ツールとプロセスは、組織がIAMシステムが要件を満たしていることを確認するのに役立ちます。監査ログは、必要に応じて準拠を証明したり、違反を特定したりする際に役立ちます。
ディレクトリ・サービスは、IAMシステムがユーザーのID、認証情報、およびアクセス権限に関するデータを保管および管理する場所です。IAMソリューションには、独自の一元化されたディレクトリーを設定することも、Microsoft Active DirectoryやGoogle Workspaceなどの外部ディレクトリー・サービスと統合することもできます。
一部のIAM実装では、異種のシステムが相互にID情報を共有する「IDフェデレーション」と呼ばれるアプローチが使用されます。あるシステムはIDプロバイダーとして機能し、セキュリティー・アサーション・マークアップ言語(SAML)やOpenID Connect(OIDC)などのオープン・スタンダードを使用して、他のシステムに対してユーザーを安全に認証します。
ソーシャルログイン(アプリがユーザーにFacebook、Googleなどのアカウントを使用してログインすることを許可する機能)は、IDフェデレーションの一般的な例です。
MFAや2FAに加えて、多くのIAMソリューションは、シングル・サインオン(SSO)、適応型認証、パスワードレス認証などの高度な認証方法をサポートしています。
シングル・サインオン (SSO)を使用すると、ユーザーは1セットのログイン認証情報を使用して複数のアプリやサービスにアクセスできます。SSOポータルはユーザーを認証し、他のリソースのセキュリティー・キーとして機能する証明書またはトークンを生成します。SSOシステムは、SAMLやOIDCなどのプロトコルを使用して、サービス・プロバイダー間でキーを共有します。
適応型認証(リスクベース認証とも呼ばれる)は、リスクレベルの変化に応じて認証要件をリアルタイムで変更する仕組みです。適応型認証スキームでは、人工知能(AI)と機械学習(ML)を使用して、ユーザーの行動、デバイスのセキュリティ体制、タイミングなどの要素を含むログインのコンテキストを分析します。ログインのリスクが高ければ高いほど、システムに必要な認証は多くなります。
たとえば、ユーザーが通常のデバイスと場所からログインする場合、パスワードを入力するだけでよい場合があります。同じユーザーが信頼できないデバイスからログインしたり、特に機密情報を表示しようとしている場合、その状況は組織にとってより多くのリスクをもたらすため、より多くの要素を提供することを求められる場合があります。
パスワードレス認証方式は、盗まれやすいことで知られるパスワードを、より安全な認証情報に置き換えます。一般的なFIDO標準などに基づくパスキーは、最も一般的なパスワードレス認証形式の1つです。公開鍵暗号を使用してユーザーの身元を確認します。
アクセス制御ツールを使用すると、組織は人間のユーザーと非人間のユーザーに対してきめ細かいアクセス・ポリシーを定義し、適用できます。RBACに加えて、一般的なアクセス制御フレームワークには次のようなものがあります。
特権アクセス管理(PAM)ツールは、システム管理者などの高い特権を持つユーザー・アカウントのアカウント・セキュリティーとアクセス制御を監視します。特権アカウントは、悪意のある攻撃者が深刻な損害を引き起こすために利用できる価値の高いターゲットであるため、特別な保護が与えられます。PAMツールは、セキュリティーを強化するために認証情報ボールトとジャスト・イン・タイムのアクセス・プロトコルを使用して、特権IDをその他のIDから分離します。
認証情報管理ツールを使用すると、ユーザーはパスワード、パスキー、その他の認証情報を一元管理できる場所に安全に保管できます。認証情報管理ツールは、従業員が認証情報を忘れるリスクを軽減できます。また、ユーザーが使用するサービスごとに異なるパスワードを簡単に設定できるようにすることで、セキュリティー衛生の強化を促進することもできます。
シークレット管理ツールは、アプリケーション、サーバー、ワークロードなどの非人間ユーザーの資格情報(証明書、キー、パスワード、トークンなど)を保護します。シークレット管理ソリューションは、多くの場合、安全な中央ボールトにシークレットを保管します。承認されたユーザーが機密システムにアクセスする必要がある場合、ボールトから対応するシークレットを取得できます。
IDガバナンス・ツールは、組織がユーザー・アクティビティーを監査し、規制遵守を確保するために役立ちます。
IDガバナンスツールの主な機能には、不適切なアクセスレベルを修正するためのユーザー権限の監査、ユーザーアクティビティのロギング、セキュリティポリシーの適用、違反の報告などがあります。
ID脅威の検出および対応(ITDR)ツールは、IDベースの脅威と、権限昇格やアカウントの設定ミスなどのセキュリティリスクを自動的に検知して修復します。ITDRツールは比較的新しく、すべてのIAM実装で標準ではありませんが、エンタープライズのIDセキュリティー戦略の一般的なコンポーネントとなってきています。
顧客IDおよびアクセス管理(CIAM)は、組織外の顧客やその他のユーザーのデジタルIDを管理します。CIAMの中核的な機能には、顧客プロファイルデータの収集、ユーザー認証、デジタルサービス(eコマースサイトなど)への安全なアクセスの促進が含まれます。
クラウドベースのIDおよびアクセス管理ソリューションは、「IDentity-as-a-Service」(IDaaS)ツールとも呼ばれ、IAMに対してSoftware-as-a-Service(SaaS)アプローチを採用しています。
IDaaSツールは、分散したユーザーがWindows、Mac、Linux、モバイルデバイスからログインして、サイトやプライベートクラウド、パブリッククラウドにあるリソースにアクセスする複雑なネットワークで役立ちます。これらのネットワークは断片化や可視性のギャップが発生しやすい傾向がありますが、クラウドIAMソリューションは1つのIDシステムでさまざまなユーザー、アプリ、資産に対応するように拡張できます。
IDaaSツールを使用すると、組織はディレクトリーの設定やユーザー・アクティビティーのロギングなど、IAMシステムの実装における、時間とリソースを大量に消費する要素の一部をアウトソーシングすることもできます。
組織がマルチクラウド環境、AI、自動化、リモートワークを導入するにつれて、より多くの種類のユーザーが、より多くの場所で、より多くの種類のリソースに、安全にアクセスできるようにする必要があります。IAMソリューションは、分散ネットワークにおけるユーザー・エクスペリエンスとサイバーセキュリティーの両方を向上させ、一般的なサイバー脅威から保護しながら、アクセス管理を合理化できます。
デジタル・トランスフォーメーションは今日の企業にとって標準であり、集中型の完全なオンプレミスITネットワークは、おおむね過去の遺物となっています。境界に重点を置いたセキュリティーソリューションとストラテジーでは、オンプレミスおよびオフプレミスのデバイス、クラウドベースのサービス、Webアプリ、世界中に広がる人間と非人間のユーザーからなるネットワークを効果的に保護することはできません。
その結果、組織はIDセキュリティをサイバーセキュリティー戦略における中心的な柱に据えるようになりました。ネットワーク・エッジに焦点を当てるのではなく、それが発生する場所に関係なく、個々のユーザーとそのアクティビティーを保護する方が効果的です。
同時に、組織はユーザーが業務を遂行するために必要なオンデマンド・アクセスを確実に提供し、過度に負担の大きいセキュリティ対策によって業務が妨げられないようにする必要があります。
IAMシステムにより、ITチームとセキュリティチームは、組織全体の個々のユーザーに合わせて調整されたコンプライアンスアクセスポリシーを一元的に定義および適用できます。
IAMツールは、ユーザーを安全に認証し、エンティティーが権限をどのように使用しているかを追跡するのに役立ちます。これは、今日の多くのサイバー犯罪者が選択する手法であるIDベースのサイバー攻撃から防御するための重要な機能です。
IBMのデータ侵害のコストに関する調査によると、認証情報の盗難はデータ侵害の主な原因であり、攻撃の10%を占めています。ハッカーが正規ユーザーのアカウントを使用して機密データにアクセスする、これらの認証情報ベースの攻撃は、平均して467万米ドルのコストがかかり、検知して阻止するまでに246日を要します。
IAMツールを使用すると、ハッカーがこれらの攻撃を仕掛けることが難しくなります。たとえば、MFAを利用すると、サイバー犯罪者はパスワードだけでは侵入できなくなります。アカウントを乗っ取ったとしても、ユーザーには仕事に必要な権限しか与えられず、それ以上は許可されないため、横移動は制限されます。また、ITDRツールを使用すると、権限のあるユーザーのアカウントでの不審なアクティビティを簡単に発見して阻止できます。
データ侵害のコストに関する調査によると、IAMテクノロジーは侵害コストの削減における重要な要素であり、攻撃によるコストを平均で189,838米ドル削減しています。
IDファブリックは、ネットワーク内のすべてのIDシステムを統合された全体として結びつける包括的なIDアーキテクチャーです。多様なアプリケーションを連携させ、すべてのコアIAM機能をカバーする包括的なIAMソリューションは、これらのファブリックを構築する上で重要なツールです。
組織がさまざまなIDシステムでさまざまなアプリを使用することから生じる課題に取り組もうとする中で、ID ファブリックの人気が高まっています。あるレポートによると、平均的なチームは73種類の異なるSaaSアプリを使用しています。これらのアプリが独自のIDシステムを持っている場合、断片化によってロジスティクスの悩みとセキュリティのギャップが生じます。
これらの問題に対処するために、組織は、異種のIDシステムが相互に通信できるようにするIdentity Orchestrationツールに投資しています。
包括的なIAMソリューションは、IAMの主要な要素であるID管理、アクセス管理、ガバナンス、監査、PAM、およびCIAMをすべてカバーし、これらのオーケストレーションを円滑化します。目標は、組織がすべてのアプリ、ユーザー、資産のID情報とアクセスを1つのプラットフォームで管理できるようにする、ネットワーク全体のIDファブリックを構築することです。
IAMを簡素化するだけでなく、統合型アプローチはセキュリティを強化することもできます。X-Force Threat Intelligence Indexによると、IDソリューションの統合は、IDの無秩序な増加を抑制し、IDベースの攻撃から保護するための最も効果的な方法の1つです。
従来のルールベースのAIは、長い間IAMの機能の一部であり、認証や監査証跡などのワークフローを自動化してきました。しかし、生成AIの登場は、新たな課題と新たな機会の両方をもたらします。
大規模言語モデル(LLM)を搭載した新しいアプリと自律型AIエージェントにより、生成AIは、エンタープライズ・ネットワーク内の非人間IDの数を大幅に増加させることが期待されます。これらのIDの数は、一般的な企業において既に人間を10対1の割合で上回っています。1その比率における差は、近い将来はるかに拡大する可能性があります。
これら非人間のIDは、アクセス・レベルが比較的高く、認証情報の保護も不十分であることが多いため、攻撃者の一般的な標的となります。
ただし、IAMツールを使用すると、サイバー犯罪者がAIアカウントを乗っ取るリスクを軽減できます。自動認証情報ローテーションや安全な認証情報ボールトなど、一般的な特権アクセス管理の手法やツールは、ハッカーが認証情報を盗むことを困難にできます。
AIには、IAMの良いユースケースもあります。IBM Institute for Business Valueによると、多くの組織がすでにAIを使用して、ユーザーの検証と承認の管理(62%)やリスク、コンプライアンス、セキュリティの制御(57%)を行っています。生成AIツールは、これらの用途を強化できます。
たとえば、一部のIAMツールでは、セキュリティ・チームが自然言語を使用してセキュリティー・データセットを分析し、新しいポリシーを作成し、ユーザーに合わせたアクセス・レベルを提案できるLLM搭載のチャットボットを展開しています。