アイデンティティとアクセス管理(IAM)

アイデンティティ・アクセス管理(IAM)とは?

アイデンティティとアクセス管理(IAM)は、デジタル・アイデンティティの管理と、アプリケーションとデータへのアクセスの制御に焦点を当てた戦略、ビジネス・プロセス、テクノロジー、およびポリシーの総称である。IAMフレームワークは、組織がユーザーアカウントと権限の両方をより効率的かつ効果的に管理することを可能にする。その結果、遠隔地のスタッフや、請負業者やサプライヤーなどのサードパーティにも、アクセス権限や特権を容易に拡張することが可能になる。
アイデンティティとアクセス管理
IAMは、適切なエンティティが適切なタイミングで適切なリソースにアクセスできるようにする機能を組織に提供する。最新のIAMは、主にクレデンシャルに重点を置いていた旧来の認証やアクセス制御の方法とは一線を画している。ユーザーエンティティ行動分析(UEBA)と組み合わせることで、IAMソリューションはより一貫して正確に行動を監視し、確立されたベースラインからの逸脱にフラグを立てることができます。 

IAMは、組織の技術的要素と管理的要素の両方を包含する。技術面では、IAMの中核的な構成要素には通常以下が含まれる: 

  • アイデンティティ・データ。 これには、位置情報の詳細、アクセス権限、デバイス情報、資格情報などが含まれ、すべて一元管理されたデータベースに保存される。アイデンティティ・データに関しては、より少ないことはより多いことであり、組織はユーザーを正確に識別するために必要なものだけを収集すべきである。 
  • 認証。 エンティティが本人であることを保証する手段。一般に、シングルサインオン(SSO)、多要素認証(MFA)、リスクベース認証(RBA)、行動認証、およびユーザー資格情報の組み合わせである。 
  • 管理。 IAMには、ユーザーの権限、役割、特権の管理を容易にするツールが含まれる。 
  • 監視。 IAMには、各エンティティの振る舞いを監視する手段と、追加の検証を強制する手段を含めるべきである。 

IAMの管理面には、以下のようなものがある:

  • ポリシー。ポリシーは、事前に定義された一連の基準に基づいて、エンティティまたはロールにパーミッションを割り当てます。ポリシーはルールベースまたは動的のいずれかになります。 
  • パーミッション。 基本的には、ユーザーが認証され、許可されたときに、何を見たり、何ができるかを示します。 
  • ロール。 エンティティに適用される事前定義された権限のセット。  

IAMは長い歴史を持つテクノロジーであることに注意することが重要である。しかし、認証チャレンジやパスワードポリシーのようなレガシーなIAMコントロールは、今日のダイナミックなビジネス環境には適していない。現代のIAMはレガシーな装いを脱ぎ捨て、自動化、クラウド、ZTNA(Zero Trust Network Access)を取り入れている。 

アイデンティティとアクセス管理の利点

ガートナー社が指摘したように、IAMの利点は現在、非常に狭い範囲の専門家以外にはよく理解されていない。IAMプログラムを軌道に乗せるためには、メリットを理解し、それをどのようにリーダーシップに表現するかが重要である。それを念頭に置いて、IAMを活用するメリットには以下のようなものがある: 

  • 生産性とコラボレーションの向上
  • リモートワークのサポート
  • ユーザーとアカウントの合理化された管理
  • セキュリティ・ポリシーの実施が容易
  • 規制遵守の向上
  • 全体的なセキュリティ態勢の強化
  • ITコストの削減

アカウントと認証情報の漏洩は、長い間、組織のセキュリティに対する最も重大な脅威の1つでした。IAMは、この一般的な脅威ベクトルに対する保護を強化し、悪意ある行為者が盗まれた認証情報を使用しても 機密データにアクセスすることを大幅に困難にします。IAMは、企業ユーザーアカウントのセキュリティの重要な追加レイヤーを意味する。 

その他のIAM特典

  • 人工知能(AI)と組み合わせたダイナミックなセキュリティとアクセスポリシー
  • ユーザー・エクスペリエンスの向上
  • 合理化されたアクセス・コントロール
  • 内部脅威の軽減
  • 生産性の向上
  • 請負業者など第三者へのアクセス拡大

アイデンティティとアクセス管理の仕組み

高度なレベルでは、IAMは以下のタスクを果たす: 

識別。 ユーザーまたはエンティティは、その ID についてどのような主張を行うか。各エンティティとユーザは、IAM のもとで一意のクレデンシャルセットを割り当てられなければならないことに注意。  

認証。ユーザーまたはエンティティが本人であると主張するか。認証は、以下の要素を組み合わせることで行うことができる: 

  • タイプ 1。パスワードや PIN などの暗記されたクレデンシャル。 
  • タイプ2。デバイス ID やハードウェアトークンなどの物理的要因。
  • タイプ3。バイオメトリクスまたは行動バイオメトリクス。 

権限。 ユーザーまたはエンティティの ID に基づいて、どのような特権または権限を付与する か。 

アイデンティティとアクセス管理ツール

IAMツールは、IAMに必要なすべての機能を単一のプラットフォームに統合した専門的なソリューションである。IAMソフトウェアの機能には以下が含まれるが、これらに限定されるものではない: 

  • 行動分析学
  • ユーザーのモニタリングと分析
  • 文脈認証分析
  • 異常または悪質な行為の検出
  • アクセス管理とポリシー実施
  • 脅威アラート
  • 自動修復

アイデンティティ・アクセスと管理のベストプラクティス

IAMの基礎となる考え方や概念がある。IAMツールの有効性は、通常、これらの領域や原則にどのように対処するかによって評価される: 

最小特権

ユーザーには必要なリソースへのアクセスのみが与えられ、収集されるIDデータは可能な限り最小化されるべきである。 

継続的認証

多要素認証とシングルサインオンを活用することに加えて、効果的なIAMツールは、ユーザーの活動を継続的に監視して検証し、ユーザーが本人であることを確認する必要がある。IAMツールは、オプションとしてリスクベース認証を活用することができる。 

継続的認証は、3 つの主要なカテゴリーに基づいてユーザーの身元を検証する: 

  1. クレデンシャル 提供された認証情報は有効ですか?ユーザは初期認証に必要なデータをすべて正しく提供したか。
  2. 行動。 ユーザーは確立されたベースラインと一致した行動を示すか?
  3. 活動。 利用者は通常の職務または責任の範囲外で行動しているか。 

信頼ゼロ

IAMはZTNAと密接な関係にあり、このアプローチの中核をなすものである。どちらも、いかなるエンティティも暗黙のうちに信頼されるべきではないという考え方が前提となっている。ゼロ・トラストはまた、ネットワーク全体ではなく、個々のリソースへのアクセスを制限する。 

IAM vs UEBA

UEBAとIAMは補完的なテクノロジーである。UEBA により、組織はより正確な行動ベースラインを確立し、事前に定義されたルールとしきい値 に基づいてポリシーと権限を修正することができる。UEBA ツールがセッションのスティッチング機能を備えている場合、IAM は関係するすべてのエンティティの ID データを提供することで、タイムラインの文脈を明確にするのに役立つ。

IAMとSIEMの比較

IAMとセキュリティ・インシデント・イベント管理(SIEM)の目的は全く異なる。IAMの認証と認可は、SIEMが取り込み、ダイジェスト化するデータの中に含まれるかもしれない。SIEMツールはこの情報を活用して、不正な新規アカウント作成や異常なアクセスイベントなど、潜在的な侵害の兆候(IoC)を監視することができる。  

よくあるご質問

IAMとは何の略ですか?

IAMとはIdentity and Access Managementの略である。 

IAMツールとは何か?

IAMツールは、ユーザーID、アクセス、認証、認可を管理するために設計されたソフトウェア・プラットフォームであり、IAMのすべての技術的側面を単一のソリューションに統合している。 

IAMとUEBAの違いは何ですか?

UEBAは行動の監視と分析に重点を置き、IAMはアイデンティティを使ってリソースへのアクセスを制御することに関心がある。この2つは非常に補完的である。 

IAMとSIEMの違いは?

SIEMソリューションは、組織全体からのイベントデータのオーケストレーションと分析に重点を置いている。IAM は認証、認可、アイデンティティ管理に重点を置いており、それが生成するデータを SIEM に取り込むことができる。 

なぜIAMが重要なのか?

IAM は、組織に柔軟性、アクセス制御、機動性を提供し、最新の分散型脅威環境に対処するために必要なものです。認証は、もはやパスワードとデバイスだけに頼ることはできません。攻撃者が最も成功する脅威のベクトルは、依然としてクレデンシャルの盗難となりすましです。IAMは、認証と検証のレイヤーを追加しながら権限管理を自動化することで、このような脅威から保護します。 

CylancePERSONA IAM用

パスワードだけではもはや資産を守ることはできず、ダイナミックな分散環境には適していません。ユーザーを妨げたり、資産をリスクにさらすことなく、アプリケーションやデータへのアクセスを制御するには、ユーザー中心のモバイルウェアのアプローチを採用する必要があります。IAMが必要なのです。 

CylancePERSONAは、機械学習と予測型人工知能を使用して、複数の要因に基づいてセキュリティ・ポリシーを動的に適応および適用し、ヒューマンエラーや安全でない回避策から保護しながら、安全なアクセスを合理化します。

さらに詳しく

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース