アイデンティティ/アクセス管理(IAM)とは、組織のリソースにアクセスして利用するユーザーを認証および認可するテクノロジー、ポリシー、プロセスで構成されたフレームワークの名称です。
ユーザーのアイデンティティを管理し、適切なアクセス権を付与することは、資産の保護に役立ちます。このような資産には、機密情報、知的財産、データとアプリケーションのワークロード、ネットワークへのデジタルアクセスのほか、境界上に存在するデータセンターへの物理的なアクセスなどが含まれます。
なりすましやデータ侵害が世界中で増加の一途をたどっており、IAMへの注目が高まっています。攻撃者にとって、認証情報の盗難や悪用は、企業が持つ情報にアクセスする最も簡単な手段です。侵害を受けた企業は、深刻な金銭的損失を被ったり、信頼の低下に見舞われたり、規制違反の罰金を科せられたりする可能性があります。
IAMを適切に導入することで、組織は以下のことが可能になります。
ではさっそく、この重要なビジネス機能について見ていきましょう。以下のセクションでは、IAMが組織内で果たす役割、IAMがもたらすメリット、IAMで検出や防止が可能な問題の種類について取り上げます。また、IAMソリューションに求められる機能と導入方法についても説明します。
企業は、システムへのアクセスを従業員の通常の業務に必要な範囲に限定する必要があります。これはあらゆる種類のリスクの軽減につながるだけでなく、リソース消費の抑制という副次的な効果ももたらします。
こうした考え方は、アクセス権限の付与に関する強力なセキュリティコントロールの指針となっている、最小権限の原則に基づくものです。IAMは、組織に求められるガバナンス体制やセキュリティポリシーと密接に関連しており、以下の要素によって推進されます。
IAMシステムの目標は、不正アクセスを防止する強力なセキュリティと、セキュリティポリシーに違反したり多大なセキュリティリスクをもたらしたりすることなくリソースへのアクセスを提供する柔軟性との間で、最適なバランスを確立することです。
しかし、特に困難なのは後者です。ほとんどの企業は複雑なインフラを運用し、相互依存性の高いアプリケーションコンポーネントを実行しています。これらのリソースを、ユーザーロールやリソースタイプによって定義された静的ポリシーによって分けて管理することは、事実上不可能です。
IAMのコンテキストでの「ユーザー」には、人間、デバイス、サービスが含まれます。IT管理者は各ユーザーに1つずつデジタルIDを割り当てます。このIDは、ユーザーが誰であるか、または何であるか、そして組織のアプリケーションやシステム内でどのレベルのアクセスが許可されているかを示します(最小権限から最大権限まで)。
組織内ではユーザーの役割が時間の経過とともに変化するため、ユーザーの権限は継続的に管理、監視、変更する必要があります。IAMプラットフォームは、ユーザーの役割を変更し、そのアクティビティを監視し、ポリシーや規制の遵守を徹底させ、組織の資産へのアクセスを管理するツールをIT管理者に提供します。
IAMには複数の目的があり、これらが一体となることでセキュリティリスクの緩和、コンプライアンスの徹底、運用効率の向上につながります。その目的には以下のものがあります。
IAMは、安全なアクセス、リスクの軽減、ユーザーエクスペリエンスの向上、内部脅威の低減、コンプライアンスの強化、ITワークロードの削減、プロビジョニングとプロビジョニング解除の簡素化など、さまざまなメリットをもたらすほか、監査とレポート作成を容易にすることも可能です。
攻撃者視点でのセキュリティ対策という面で、IAMは以下のような幅広いサイバー攻撃を検出して防止できます。
これらのサイバー攻撃は、いずれもアカウント認証情報が勝手に利用されることによって発生します。IAMでは、強力なパスワードポリシーを適用したり、アカウントにアクセスするために複数の認証要素を要求したりすることでこれらを防止できます。
攻撃者が標的のシステムにアクセスできたとしても、IAMは最小特権アクセスに従うため、価値の高いデータへのアクセスを制限し、被害を軽減できます。
IAMを利用すれば、フィッシング攻撃、キーロガー、総当たり攻撃、内部脅威といったさまざまな脅威を防止したり検出したりできます。
組織のIAMライフサイクルを管理するにはどうすればよいでしょうか。この問いを2つのシンプルな問題に分けて、できる限りわかりやすくお答えしましょう。
IAMシステムは、アクセス制御ポリシーに基づいて、エンティティ(個々のユーザー、グループ、ロールなど)のアイデンティティを認証します。認証に使用される要素は以下のとおりです。
IAMシステムは、アクセスを要求したエンティティを認証し、ユーザー、ユーザーグループ、ロールのアイデンティティを確認します。この認証システムは、アイデンティティデータベースの管理体制と、そのデータを利用するエンティティの認証手順に密接に連動しています。
この認証プロセス自体は、アクセス要求を承認するかどうかを判断するものではありません。このプロセスで行われるのは、アクセスを要求したエンティティによって申告されたアイデンティティを検証することであり、具体的には、そのエンティティが存在し、実際に活動しており、組織のメンバーまたはパートナーであるかどうかが確認されます。
また、IAMはこの検証プロセスを拡張し、APIリクエストを通じたデータ認証にも対応することで、クラウドベースの統合されたサードパーティサービスからの企業ネットワークへのアクセス要求を検証できます。データ認証では、データの発信元を確認するとともに、そのデータの完全性(認可されていない発信元によってそのデータが改変されていないこと)も検証します。
IAMシステムは、データがセキュリティリスクにさらされる可能性を軽減するために、アイデンティティが確認されたエンティティのライフサイクル全体でアクセスを管理します。デフォルトでは、アクセス制御メカニズムに準拠したアクセス要求を除く、すべてのリクエストを拒否します。
また、IAMシステムを使用して、IAMアイデンティティやサードパーティリソースと各種ポリシーを関連付けることもできます。これらのポリシーでは、IAMのアイデンティティに付与できる権限のリストを定義します。IAMシステムは、これらの権限に基づいて、ネットワークやデータリソースへのアクセス要求を承認または拒否します。
IAMアイデンティティに対して、権限を管理して適切なアクセス制御を適用するための一般的な方式には、以下のようなものがあります。
RBAC、ABAC、またはその他のアクセス制御方式によって定義された明示的なポリシーは、アクセス要求を拒否するというIAMシステムのデフォルト設定より優先されます。
ABACモデルでは、複雑なITインフラ環境でも権限を拡張できます。たとえば、機密性の高いデータ資産やネットワークコンポーネントをユーザーのロールやアイデンティティに基づいて関連付けることが難しい場合でも、ユーザーとリソースに割り当てられた属性タグを使用することで、重複のない詳細な権限を設定できます。
IAMに求められる一般的な機能には、シングルサインオン、特権アクセス管理、データガバナンス、多要素認証などがあります。
IAMプラットフォームとは、IT管理者がユーザーIDやアクセスレベルの権限の割り当て、管理、監視、変更を行うためのソリューションです。IAMプラットフォームは複数のシステムとコンポーネントで構成されており、ここでは、一般的な機能や需要の高い機能をいくつかご紹介します。
ほとんどのIAMプラットフォームはシングルサインオン(SSO)をサポートしています。このアクセス制御では、ユーザーが1つのログイン認証情報を使用して認証を行うことで、複数のシステムやアプリケーションを利用できます。SSOは以下の方法で組織のセキュリティを向上させます。
多要素認証(MFA)では、複数の認証情報を入力し、本人確認を行ってからシステムにアクセスする必要があります。IAMプラットフォームの中には、IPアドレス、位置情報、デバイスの種類などのコンテキスト情報に加え、ユーザーや状況に応じて必要な認証要素を決定する管理ポリシーを利用したアダプティブMFAをサポートしているものもあります。
特権アクセス管理とは、管理者レベルの制御権や価値の高い資産へのアクセス権を持つユーザーアカウントに、より高いレベルの権限を割り当てることで、データ侵害やその他のセキュリティ脅威から組織を保護します。
リスクベース認証は、ユーザーがシステムやアプリケーションにログインしようとする際に、IPアドレス、位置情報、現在のデバイスなどのコンテキスト要素を考慮します。これらの情報からリスクレベルを評価し、追加の認証要素を要求するか、ユーザーのアクセスを許可または拒否するかを決定します。
データガバナンスとは、組織のデータの可用性、整合性、セキュリティ、ユーザビリティを管理するためのポリシーと手順のフレームワークを指し、これによって一貫性と正確性を確保して確実に保護します。IAMプラットフォームでは、ユーザーのアクティビティを監視し、侵害を検出し、効率を向上させるためにAIや機械学習を利用していることから、IAMにおけるデータガバナンスの重要性はさらに高まっています。
フェデレーションID管理とは、異なるID管理システム間でユーザーのデジタルIDをリンクさせ、ユーザーが同じ認証資格情報を使用して信頼できる複数のビジネスパートナーのシステムやサービスにアクセスできるようにする手法です。
SSOでは1つのログイン認証情報を使用して1つの組織内の複数のシステムにアクセスできますが、フェデレーションID管理では、ユーザーが自分のデジタルIDを使用して、フェデレーショングループ内のすべての組織のシステムにアクセスできます。これにより、たとえばベンダーが顧客のシステムやサービスにアクセスできるようになります。
ゼロトラストフレームワークは、組織のネットワークが常に危険にさらされており、どのユーザーも特別な許可なしにすべてにアクセスできるべきではないという考え方に基づいています。IoTやエンドポイントデバイスによってネットワーク境界が拡大される中、その重要性はますます高まっています。ゼロトラストIAMプラットフォームにより、組織はユーザーアクセスを継続的に評価して検証し、誰が、あるいは何がネットワークに接続されているかをいつでも包括的に可視化できます。
IAMソリューションは、コンプライアンスと監査のプロセスをより効率的にするものでなければなりません。標準や規制に対応したすぐに使えるレポートツールを提供しているソリューションを探しましょう。
データ侵害が発生した場合、IAMソリューションはどのユーザーの認証情報がどのように利用されたかを通知できる必要があります。機械学習によるユーザー分析とレポート作成をサポートしたツールを選びましょう。これらを利用することで、不審なアクティビティや異常を検出して追跡し、権限の悪用を検出し、組織の環境の重要なIDリスクを詳細に可視化できます。
IAMを使い始めるには、IAMソリューションが必要です。適切なプラットフォームを選定するのは大変な作業であるため、調達プロセスを開始する前に組織のニーズを慎重に検討することが重要です。
IAMソリューションのユーザーを想定して導入を検討しましょう。B2CやB2Bの顧客を主な対象としている場合は、最高のカスタマーエクスペリエンスを提供するために、セルフサービスと使いやすさを優先する顧客IAMソリューションがあります。従業員向けのソリューションが必要な場合は、IAMソリューションと組織の内部システムを統合できることを確認する必要があります。
内部ユーザーと外部ユーザー両方のアクセス制御を組み合わせたIAMソリューションが、最も効率的で費用対効果も優れています。一度設定すれば、同じベストプラクティスを適用できます。
最後に、IAMソリューションと連携させる必要のあるアプリケーションについて検討します。組織の従業員および顧客が使用しているアプリケーションと、追跡が不可欠なアプリケーションを特定し、各IAMベンダーがそのアプリケーションをサポートしているかを確認してください。
分散システムが主流になるにつれて、セキュリティ境界はますます流動的になっています。パートナー、請負業者、ベンダー、顧客、従業員は組織のネットワークにどこからでもアクセスできます。IAMを利用すると、ユーザーがどこにいて、どのデバイスを使用しているかに関係なく、ユーザーアクセスを管理できるため、組織のセキュリティを危険にさらすことなく、ユーザーが必要なリソースを使用できるようになります。
このブログはこちらの英語ブログの翻訳です。
この記事について誤りがある場合やご提案がございましたら、ssg-blogs@splunk.comまでメールでお知らせください。
この記事は必ずしもSplunkの姿勢、戦略、見解を代弁するものではなく、いただいたご連絡に必ず返信をさせていただくものではございません。
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。