ID管理とアクセス管理（IAM）は、適切なエンティティー（人またはもの）が適切なリソース（アプリケーションまたはデータ）を必要なときに、使用したいデバイスを使用して妨害なく使用できるようにするセキュリティー手順です。 IAMは、各エンティティーへの単一のデジタルIDの割り当て、ログイン時の認証、特定のリソースへのアクセスの許可、それらのIDのライフサイクル全体にわたる監視と管理を、IT管理者ができるようにするシステムとプロセスで構成されています。

IAMの対象とする利用者は、従業員にとどまりません。 組織は、契約業者やビジネス・パートナー、リモートやモバイルの利用者、顧客にもセキュアなアクセスを提供する必要があります。 デジタル・トランスフォーメーションにより、IDはモノのインターネット（IOT）のデバイス、ロボット、APIやマイクロサービスなどのコードにも割り当てられるようになりました。 マルチクラウド・ハイブリッドIT環境とSaaSソリューションにより、IAMを取り巻く状況はさらに複雑になっています。

ユーザーと重要なエンタープライズ資産の間に位置するIDとアクセス管理（IAM）は、あらゆるエンタープライズ・セキュリティー・プログラムの重要なコンポーネントです。 IAMは、ランサムウェアを仕掛けたり、データを盗んだりしたい犯罪ハッカーにとって一般的なネットワーク侵入ポイントである、ユーザー資格情報の漏洩やパスワードの簡単な解読から保護します。

適切に行われれば、IAMはビジネスの生産性を高め、デジタル・システムが摩擦なく機能するようにできます。 従業員がどこにいてもシームレスに働くことができる一方、一元化した管理により、仕事に必要な特定のリソースにのみアクセスすることができます。 さらに、システムを顧客、契約業者、供給業者に開くことにより、効率を高め、コストを削減することができます。

IAMシステムの重要なタスクは、エンティティが誰であるか、または何であるかを認証することです。 ほとんどの基本認証は、人がログイン画面にユーザー名とパスワードを入力する際に行われます。 IAMシステムはデータベースをチェックし、それらが記録と一致することを確認します。 最新の認証ソリューションは、資産の保護を向上させるためのより高度なアプローチを提供します。

認証と許可
ユーザーがシステムで検証される場合は、そのユーザーがアクセスできる情報や、そのユーザーが表示を許可されている情報をそのシステムが認識する必要があります。

IDとアクセスを管理するシステムがなければ、真のデータセキュリティは実現できません。 IAMソリューションは適切に実装されると、複数のアプリケーション、ロケーション、デバイスにわたってデータにアクセスすることができるようになり、労働者の生産性を高めることができます。 また、他の組織、ベンダー、ビジネス・パートナーとのコラボレーションも促進することができます。

IAMソリューションを実装する最善のアプローチは、既存のレガシー・システムの監査を行うことです。 ギャップと機会を特定し、利害関係者と早期かつ頻繁にコラボレーションします。 すべてのユーザー・タイプとアクセス権限のシナリオを提示し、IAMソリューションが満たす必要がある目標の中核セットを定義します。

デジタルIDと許可方法の割り当てに加えて、IT管理者には各エンティティーにアクセス権限と特権を付与する方法が必要です。 現在のアクセス管理のベスト・プラクティスは、「最小特権」です。 これは、各エンティティーまたはアプリケーションに、タスクの実行またはジョブの実施に必要なリソースのみへのアクセス権を、必要な最短の時間のみ割り当てることです。

• 特権アクセス管理（PAM）
  特権アクセスは、アプリケーション、データベース、システム、またはサーバーの管理や変更を行う管理者またはDevOps担当者などのユーザーのために予約されています。 これらの資格情報が侵害された場合は、簡単に最悪のケースのシナリオになり得ます。 PAMソリューションはこれらのアカウントを隔離し、アクティビティーを監視して、資格情報の盗難や特権の誤用を防止します。 

    特権アクセス管理に移動

• 役割ベースのアクセス管理（RBAC）
  組織におけるユーザーのジョブまたは役割に基づいてアクセス特権を割り当てることにより、アクセス管理を簡素化できます。 1人ずつにアクセス特権を割り当てる代わりに、管理者はジョブまたはジョブ・レベルの要件に従ってアクセス権を制御できます。 さらに、RBACによる制御ではユーザーのクラスがファイルを表示、作成、変更できるかどうかを指定できます。 

    役割ベースのアクセス管理に移動

組織全体でIDデータを収集して分析するプロセスまたはフレームワークはIDガバナンスと呼ばれます。堅固なIDガバナンス・プログラムを使用することは、規制要件を満たして組織に対するリスクを制御するときに役立つ可能性があります。

IAMとAI
人工知能（AI）はID管理とアクセス管理において次第に変革的な役割を果たすようになってきており、それによって組織は認証とアクセス管理にきめ細かい適応的なアプローチを行えるようになっています。 AIはまた、ユーザーとエンティティーの行動分析（UEBA）で不審なアクティビティーを識別するために不可欠です。 悪意のあるログイン、短期間での大量のログイン試行、不明な場所、認識されていないデバイス、会社の仮想私設網（VPN）上のユーザーであるかどうかなどの指標は、悪意のあるアクティビティーを示す可能性があります。 AIは、リアルタイムまたはほぼリアルタイムの調査でこれらの指標にフラグを立てて、ハッキングの試行を阻止することができます。

IAM、クラウド、IDaaS

IAM （クラウドから） ：Identity as a Service（IDaaS）とマネージドIDサービス。
ID管理とアクセス管理サービスをクラウドから提供するベンダーの数が増加しています。 1つのアプローチは、Identity as a Service（IDaaS）として知られており、スタンドアロン・ソリューションの場合も、既存のオンプレミスIAMシステムの補完である場合もあります。 管理IDサービスでは、他の管理セキュリティー・サービス・ソリューションと同様に、セキュリティー・プロバイダーがクラウドまたはオンプレミスで実行されるエンタープライズIAMソリューションを監視および管理します。

 クラウド用のIAM。 
現在の企業は、アプリケーションとデータをオンプレミス、従来型システムとプライベートクラウド、さらには1つ以上のパブリッククラウド環境に持っています。 リソースがどこにあっても、ユーザーのアクセス権をできる限りシームレスに管理することが課題となっています。 ハイブリッドマルチクラウド環境全体でSSOとMFAをサポートできるIDおよびアクセス管理システムが理想です。

IAMとBYOD
現在のモバイルの世界では、従業員は自分の携帯電話、タブレット、ノートPC、またはウェアラブル・デバイスを使用してどこからでも自由に仕事をすることを望んでおり、組織はそれを実現するために個人所有デバイスの業務使用（BYOD）プログラムを採用しています。 IAMを統合エンドポイント管理プラットフォームと組み合わせると、組織はモビリティーを取り入れてBYODを安全に採用することができます。   

IAMとIoT
よく知られた話を以下に示します。 ハッカーが水族館のスマートな温度計に不正侵入し、企業ネットワークにアクセスして顧客データを盗みました。 ネットワークに接続されたCCTVカメラでも同じことが起こりました。 この実例が示すのは、事実上あらゆるモノのインターネット（IoT）デバイスはハッキング可能であり、アクセス管理なしではネットワークはハッカーに大きく開かれているということです。 現在のIAMソリューションはIoTデバイスを、ネットワーク・アクセスの前に識別と許可が必要なエンティティーとして対応します。

リモートワークが当たり前となり、モバイル・デバイスの使用の浸透が最大化するとともに、ID管理とアクセス管理の領域は大幅に拡大しています。 保護されていないネットワークと、今までにないほどのユーザーの期待が組み合わさることにより、新規デバイス接続の殺到や、機密情報へのリモート・アクセスの要求の混乱、そしてユーザーが不正サイトにアクセスしてしまうことによるフィッシングやその他のWebベースの攻撃の迫りくる脅威が生じています。

人工知能（AI）は、パターンを認識し、指数関数的に（つまりリスクと同じ速度で）知識を拡張する能力があるため、IAMの将来の手段となります。

継続的な認証により、ユーザーのコンテキストは対話のたびに常に評価されます。 AIは時間、場所、さらにはユーザーの動作までも考慮しながら、あらゆる点において潜在的なリスクのレベルを計算して、微細な相互作用を分析することができます。 次世代のAVソフトウェア、ホストベースのファイアウォール、および/またはエンドポイント検出と対応（EDR）は進化を続け、組織内のセキュリティーをさらに強化します。