ID およびアクセス管理 (IAM) のライフサイクル

IAMライフサイクルは、ユーザーが組織に加わってから認証情報アクセスを取り消すまでのアクセスを構造的に管理する方法である。

アイデンティティ管理とは、アイデンティティの旅全体をコントローラーすることである。 もしあなたのチームがライフサイクルプロセスのいずれかの段階を見落とすと、権限のズレや過剰な権限、コンプライアンスの失敗、最悪の場合、不正アクセスや漏洩による情報漏洩につながる可能性があります。

IAMのライフサイクルは、ユーザーがシステムに登録することから始まる。 この段階で、各ユーザーは一意のデジタル・アイデンティティを受け取り、これには通常、ユーザー名と関連する認証情報が含まれる。 

組織のセキュリティ・プロトコルによっては、このプロセスに、多要素認証（MFA）、生体認証、ハードウェア・セキュリティ・トークンなどの追加のセキュリティ対策が含まれる場合があります。 

認証情報とアクセストークンは、IAMライフサイクルの重大な部分です。 ユーザーには、システム内での身分証明となる、安全で改ざん防止された認証情報を与えなければなりません。 

クラウドサービスの場合、ユーザーはAPIトークンやフェデレーション・アイデンティティを通じてセキュアなアクセスを得ることが多い。 これらの認証情報により、従来のユーザー名とパスワードを使わずに自動的にログインできる。

すべての IAM システムには、クレデンシャルを発行する前にユーザーのアイデンティティを確 認するための強力な検証コントローラーを含めるべきである。

強力な登録慣行は、サイバーエクスポージャーを減らすのにも役立つ。 ユーザーアイデンティティを最初からセキュアな認証情報に結びつけると、特にシングルサインオン（SSO）やOpenID Connect（OIDC）のようなフェデレーションIDシステムを備えたクラウド環境では、後々のアクセス管理、監査、取り消しが容易になります。

ユーザーを登録したら、メンテナンスの段階に入ります。 役割やビジネスニーズの変化に応じて、ユーザーのアクセス権を定期的に見直し、調整する。 これにより、セキュリティ・ポリシーを遵守することができます。

定期的なアクセスレビューやポリシーの更新など、適切なメンテナンスを行うことで、不正アクセスのリスクを低減し、コンプライアンスをサポートします。 アイデンティティ脅威検出やその他のセキュリティ・モニタリング・ツールと組み合わせることで、IAMメンテナンスは疑わしいアクティビティ（異常なログイン試行など）を特定するのに役立ち、深刻な問題に発展する前に対処することができます。

自動化ツールは、ミスを減らし、確立されたポリシーに基づいて一貫したコントローラーを適用するのに役立つため、メンテナンス段階にとって有益である。 例えば、従業員が新しい部署に異動した場合、IAMシステムは自動的に新しい役割と責任に対する権限を調整することができる。 

この段階では、サイバーエクスポージャー管理も重要である。 IAMコントローラーをアイデンティティの行動と環境コンテキストにマッピングすることで、予期しないアクセスの変化（ドリフト）を、セキュリティリスクになる前にキャッチすることができる。

See how tools like Tenable Identity Exposure automatically finds misalignments between access rights and real-world use.

プロビジョニング解除は、IAM ライフサイクルの最後のステップです。 これは、不要になったユーザーアクセスを削除することである。 

一般的には、従業員が組織を離れたり、別の役割に移ったり、特定のシステムへのアクセスが不要になったりした場合に発生する。 適切なデプロビジョニングにより、ユーザーが不要になったシステムやデータへのアクセスを保持しないようにする。 

プロビジョニングの解除は、単にユーザー・アカウントを無効にするだけではない。 これには、パスワード、APIトークン、セッションクッキー、セキュリティ証明書など、関連する認証情報をすべて失効させ、残存するアクセスを排除することも含まれる。 これは、内部脅威や孤児化した認証情報が攻撃者の手に渡るのを防ぐ鍵である。

適切なプロビジョニング解除を怠ることは、よくある危険な見落としである。 

元従業員、ベンダー、パートナーは、IAMプロセスで完全にシャットダウンしなければ、システムにアクセスする認証情報をまだ持っている可能性がある。

自動化されたIAMシステムは、アクセスの有効期限を強制したり、人事ツールと統合してオフボーディング時に権限を自動的に取り消すことができる。 このレベルのコントローラーは、アタックサーフェスを縮小し、ゼロトラストポスチャーを強化するのに役立つ。

IAMライフサイクルとは？

IAMライフサイクルは、登録からメンテナンス、プロビジョニング解除まで、ユーザーのデジタルアイデンティティを管理する。 これにより、ユーザーは適切なタイミングで適切なアクセスを得ることができ、必要がなくなったらそれを失うことができる。

なぜIAMではデプロビジョニングが重要なのか？

IAMのデプロビジョニングは、ユーザーが退職したり、ロールを変更したときにアクセスを失うことを確実にする。 これがないと、攻撃者や元従業員が使用できる有効な認証情報を残すリスクがある。

IAMのメンテナンス・フェーズでは何が起こるのか？

IAM メンテナンス・フェーズでは、ユーザーの現在の責務に合わせてアクセス権を継続的に見直し、更新する。 権限クリープを防ぎ、不正アクセスを早期に発見する。

IAMはコンプライアンスにどのように役立つのか？

セキュアな登録、タイムリーな更新、完全なプロビジョニング解除を実施することで、IAMはセキュリティとコンプライアンス要件を満たすのに役立ちます。

IAMの自動化はライフサイクルを改善できるか？

はい。自動化ツールは、人的ミスを減らし、プロビジョニングとデプロビジョニングを迅速化し、環境全体で一貫したポリシー実施を保証します。

Tenableがどのように アイデンティティ設定、不正使用された権限、過剰な特権アクセスを可視化し、オンボーディングからオフボーディングまで最小権限を徹底できるかをご覧ください。