アイデンティティ・アクセス管理 (IAM) のライフサイクル

IAM ライフサイクルとは、ユーザーが組織に参加してからアクセスが削除されるまで、ユーザーアクセスを管理する仕組みです。

アイデンティティ管理とは、ユーザーのアイデンティティのライフサイクル全体を管理することです。もしあなたのチームがライフサイクルプロセスのいずれかの段階を見落とすと、権限のズレや過剰な権限、コンプライアンスの失敗、最悪の場合、不正アクセスや漏洩による情報漏洩につながる可能性があります。

IAM のライフサイクルは、ユーザーがシステムに登録することから始まります。 この段階で、各ユーザーは一意のデジタル・アイデンティティを受け取り、これには通常、ユーザー名と関連する認証情報が含まれます。 

組織のセキュリティ要件によっては、このプロセスに、多要素認証 (MFA)、生体認証、ハードウェア・セキュリティ・トークンなどの追加のセキュリティ対策が含まれる場合があります。 

認証情報とアクセストークンは、IAMライフサイクルの重要な構成要素です。ユーザーには、システム内での身分証明となる、改ざんされない安全な認証情報を付与する必要があります。

クラウドサービスの場合、ユーザーは API トークンやフェデレーション・アイデンティティを通じてセキュアなアクセスを得ることが多くあります。 これらの認証情報により、従来のユーザー名とパスワードを使わずに自動的にログインできます。

すべての IAM ソリューションを利用したシステムには、クレデンシャルを発行する前にユーザーのアイデンティティを確認するための厳格な本人確認プロセスを含める必要があります。

適切な登録プロセスは、アイデンティティ露出リスクを減らすのにも役立ちます。 ユーザーアイデンティティを最初からセキュアな認証情報に結びつけると、特にシングルサインオン（SSO）やOpenID Connect（OIDC）のようなフェデレーションIDシステムを備えたクラウド環境では、後々のアクセス管理、監査、取り消しが容易になります。

ユーザー登録後は、メンテナンスフェーズに入ります。 役割やビジネスニーズの変化に応じて、ユーザーのアクセス権を定期的に見直し、調整します。 これにより、セキュリティ・ポリシーを遵守することができます。

定期的なアクセスレビューやポリシーの更新など、適切なメンテナンスを行うことで、不正アクセスのリスクを低減し、コンプライアンスをサポートします。 アイデンティティ脅威検出やその他のセキュリティ・モニタリング・ツールと組み合わせることで、IAMメンテナンスは疑わしいアクティビティ（異常なログイン試行など）を特定するのに役立ち、深刻な問題に発展する前に対処することができます。

自動化ツールは、ミスを減らし、確立されたポリシーに基づいて一貫したセキュリティ制御を適用するのに役立つため、メンテナンス段階にとって有益です。例えば、従業員が新しい部署に異動した場合、IAM システムは自動的に新しい役割と責任に対する権限を調整することができます。 

この段階では、エクスポージャー管理も重要です。 IAM の制御をユーザーの行動や環境コンテキストに関連付けることで、想定外の権限変更 (ドリフト) を、セキュリティリスクになる前にキャッチすることができます。

Tenable Identity Exposure のようなツールが、アクセス権と実際の利用状況の不一致をどのように自動検出するかをご覧ください。

デプロビジョニングは、IAM ライフサイクルの最後のステップです。 これは、不要になったユーザーアクセスを削除することです。 

一般的には、従業員が組織を離れたり、別の役割に移ったり、特定のシステムへのアクセスが不要になったりした場合に発生する。 適切なデプロビジョニングにより、ユーザーが不要になったシステムやデータへのアクセスを保持しないようにします。 

デプロビジョニングは、単にユーザー・アカウントを無効にするだけではありません。 これには、パスワード、APIトークン、セッションクッキー、セキュリティ証明書など、関連する認証情報をすべて失効させ、残存するアクセスを排除することも含まれます。 これは、内部脅威や孤児化した認証情報が攻撃者の手に渡るのを防ぐ鍵となります。

適切なデプロビジョニングを怠ることは、よくある危険な見落としです。 

元従業員、ベンダー、パートナーは、IAMプロセスで完全にシャットダウンしなければ、システムにアクセスする認証情報をまだ持っている可能性があります。

自動化された IAM システムは、アクセスの有効期限を強制したり、人事ツールと統合してオフボーディング時に権限を自動的に取り消すことができます。このレベルの制御は、アタックサーフェスを縮小し、ゼロトラスト態勢を強化するのに役立ちます。

IAMライフサイクルとは？

IAMライフサイクルは、登録からメンテナンス、デプロビジョニングまで、ユーザーのデジタルアイデンティティを管理します。これにより、ユーザーは適切なタイミングで適切なアクセスを得ることができ、必要がなくなったらそれを失効させることができます。

なぜIAMではデプロビジョニングが重要なのか？

IAM のデプロビジョニングは、ユーザーが退職したり、ロールを変更したときにアクセスを確実に失効させます。 これがないと、攻撃者や元従業員が使用できる有効な認証情報を残すリスクがあります。

IAMのメンテナンス・フェーズでは何が起こるのか？

IAM メンテナンス・フェーズでは、ユーザーの現在の責務に合わせてアクセス権を継続的に見直し、更新します。 権限クリープを防ぎ、不正アクセスを早期に発見します。

IAMはコンプライアンスにどのように役立つのか？

セキュアな登録、タイムリーな更新、完全なデプロビジョニングを実施することで、IAM はセキュリティとコンプライアンス要件を満たすのに役立ちます。

IAMの自動化はライフサイクルを改善できるか？

はい。自動化ツールは、人的ミスを減らし、プロビジョニングとデプロビジョニングを迅速化し、環境全体で一貫したポリシー実施を保証します。

Tenableがどのように アイデンティティ設定、不正使用された権限、過剰な特権アクセスを可視化し、オンボーディングからオフボーディングまで最小権限を徹底できるかをご覧ください。