ID およびアクセス管理 (IAM) のソリューション

アイデンティティ・アクセス管理（IAM）は、すべてのユーザー、デバイス、アプリが必要なものに正しくアクセスできるようにします。 それ以上はない。 それ以下はない。

しかし、インフラは万能ではない。 

オンプレミスとクラウドベースのシステムやサービスを混在させて管理することが多いでしょう。 それぞれの設定には、デジタルアイデンティティを管理するための独自の課題がある。 つまり、単一の柔軟性のないIAMソリューションでは、ニーズに合わない可能性が高いということだ。

では、どのようなIAMが組織にとって最適なのか、どのように判断すればよいのだろうか。 それとも全部使う必要があるのか？ 

強力なアイデンティティ・セキュリティ戦略を構築するには、オンプレミス、クラウド関連、ハイブリッド、カスタマー・アイデンティティ・アクセス管理（CIAM）など、さまざまなタイプのIAMの違いを理解する必要がある。

このIAMガイドでは、各ソリューションの長所、短所、組織のニーズを満たすソリューションの見極め方について説明する。 

社内ユーザー、社外顧客、またはその両方のセキュリティを確保するために、適切なIAMソリューションを使用することで、リスクを低減し、コンプライアンス要件を満たし、ビジネスを継続することができます。

オンプレミス IAM は、インフラストラクチャ内にデプロイして管理するアイデンティティ管理シス テムを指す。 一般に、これらのソリューションは、内部リソースの集中アクセス・コントロールが可能な物理サーバーにインストールされる。 

オンプレミスのIAMシステムは、IAMインフラをより完全にコントロールできるが、保守とセキュリティに多大なITリソースを必要とする。

オンプレミスIAMソリューションの主な利点は、カスタマイズ機能である。 IAMシステムは、特定のセキュリティポリシー、ビジネスニーズ、コンプライアンス要件に合わせてカスタマイズすることができます。 オンプレミスのIAMソリューションには通常、ユーザー認証、アクセス制御、ログなどの機能が含まれている。 

オンプレミスIAMシステムの欠点は、クラウドベースのIAMソリューションと比較して、一般的にスケーラビリティが低く、最新のクラウド環境との統合が複雑であることだ。 しかし、社内のオンプレミスシステムのセキュリティには適している。

クラウドベースのIAMソリューションは、クラウドを介してアイデンティティとアクセス管理機能を実現する。 サードパーティがこれらのサービスをホストし、管理することで、高価なオンプレミスインフラに投資し、維持する必要性を減らすことができる。 

クラウド IAM は、分散したワークフォースやリモートワークフォースの集中型アイデンティティ管理として、ユーザー認証やロール関連アクセス管理などの機能を使用する。 

例えば、Tenable Cloud Securityは、セキュリティ設定を可視化します。 特にOktaやGoogle Workspaceのようなアイデンティティプロバイダーを使っている場合、チームがどれだけうまくセットアップできているかを評価するのに役立つ。 つまり、クラウドリソースのユーザーの役割と権限を適切にロックダウンし、安全に管理できるようになります。

See how Tenable helps you strengthen your cloud-based access controls and secure cloud configurations with visibility into identity provider misconfigurations.

クラウドベースのIAMの大きなメリットの1つは、スケーラビリティである。 オンプレミスシステムをオーバーホールすることなく、ビジネスの成長に合わせてIAMインフラを迅速に適応させることができます。 クラウドホスト型IAMソリューションは、デプロイメントを簡素化し、Google Cloud、AWS、Azureなどのクラウドサービスとシームレスに統合できる。

クラウドベースのIAMツールは、多くの場合サブスクリプションベースである。 従来のオンプレミスシステムよりも費用対効果が高いかもしれない。 また、シングルサインオン（SSO）との統合、多要素認証（MFA）、自動プロビジョニングなどの機能も提供している。 

クラウドIAMは、セキュリティ・ソリューションとして定着しつつある。

ハイブリッドIAMシステムは、オンプレミスとクラウドベースのIAMソリューションの要素を組み合わせている。 クラウドのスケーラビリティと柔軟性を活用しながら、社内のリソースをコントローラーで管理したい場合は、このオプションを選ぶとよいだろう。 

ハイブリッドIAMは、オンプレミス環境とクラウド環境の両方でアイデンティティをシームレスに管理できるため、システムをどこでホストしているかに関係なく、一貫したアクセス管理を実現します。

レガシーなオンプレミスインフラと新しいクラウドベースのアプリが混在している場合、ハイブリッドIAMは両方の長所を生かすことができる。 

オンプレミスおよびクラウドベースのアイデンティティ関連サービスと統合できる柔軟性を維持しながら、従業員がどこにいてもリソースに安全にアクセスできるようにします。 

ハイブリッド IAM は一般的にフェデレーション・アイデンティティ・アプローチを組み込んでおり、SAML、OIDC、OAuth などの標準規格を使用して、単一の認証情報セットを使用してオンプレミスとクラウドの両方のシステムでユーザーを認証できるようにする。

しかし、ハイブリッドIAMの課題は、オンプレミスとクラウドのリソースをシームレスに統合し、セキュリティポリシーを維持することである。 

さらに、特にインフラが進化するにつれて、ハイブリッド・システムの構成と保守の複雑さを管理する必要が出てくるかもしれません。

顧客アイデンティティ・アクセス管理（CIAM）は、社内の従業員ではなく、外部ユーザー（通常は顧客）のアイデンティティとアクセスを管理する。 

CIAMソリューションは、ウェブサイト、モバイルアプリ、eコマースプラットフォームにおいて、セキュアでシームレスな体験を提供しながら、大規模なユーザーベースに対応します。

CIAMは、ユーザーデータを保護し、プライバシーを確保し、パーソナライゼーションを可能にする鍵である。 CIAMシステムは、消費者に安全な登録、認証、同意管理、ユーザープロファイル管理を提供し、規模に応じたセキュリティとパーソナライゼーションを可能にする。

CIAMと従来のIAMの主な違いは、社内の従業員ではなく、社外の顧客に焦点を当てていることだ。 CIAMシステムは、安全な認証を提供しながら、大量のユーザーデータを処理しなければならない。

どのIAMソリューションが自社の環境に合うかを見極めるのは、必ずしも一筋縄ではいかない。 それぞれに独自の要件があり、明確な戦略なしに異なるツールをつなぎ合わせようとすると、一貫性のないアクセス・コントロールや限られた可視性で終わることになりがちだ。

本当のリスクは？ このようなギャップは、攻撃者がシステムに侵入し、機密データにアクセスするためにまさに求めているものを与えてしまう。

防御を強化するには、インフラ全体のアイデンティティ・エクスポージャーを包括的に把握する必要があります。 このような状況で有効なのが、エクスポージャー管理です。 IAMコントローラーを脆弱性データや設定ミスのインサイトと関連付けることで、攻撃者に悪用される可能性がある前に、アイデンティティ関連の攻撃経路を見つけて修正することができます。