アイデンティティ アクセス管理 (IAM)

要約: IAM はアイデンティティのライフサイクル全体を自動化します。 きめ細かなアクセス管理と、GDPR、HIPAA、NIST などの規制フレームワークへの準拠をサポートします。

アイデンティティ アクセス管理 (IAM) は、デジタルアイデンティティの管理と保護、およびアタックサーフェス全体のリソースに対するアクセス制御を行うための、ポリシー、テクノロジー、プロセスで構成されています。 

IAM セキュリティを使用すると、ユーザーを認証し、アクセスポリシーを定義して適用し、許可された個人に特定のシステム、データ、またはアプリケーションへのアクセス権を付与できます。 

アイデンティティアクセスは、サイバーリスク管理の取り組みにおける要です。 資産とデータを、不正アクセスや侵害、内部情報の悪用から保護するのに役立ちます。

IAM は単なるユーザー認証ではありません。 

ユーザーアイデンティティのライフサイクル全体、すなわち作成やプロビジョニングから保守、最終的な非アクティブ化や削除に至るまでをカバーします。 

クラウドやハイブリッドインフラに移行にする際、サイバー侵害や不正アクセスを防ぐためにアイデンティティ管理ツールが極めて重要になります。 

IAM によってアタックサーフェス全体にわたる安全でシームレスなアクセスが保証されるため、GDPR や HIPAA といった規制への遵守に対応し、サイバーリスクを低減することができます。 

アイデンティティアクセス制御は、サイバーハイジーンのベストプラクティスであり、信頼できるセキュリティ管理方法でもあります。 金融、医療、政府機関などの業界では、IAM を導入することで監査に合格し、NIST SP 800-53、ISO/IEC 27001、CMMC などのフレームワークの要件を満たすことができます。

要約: IAM の主な要素には、MFA や適応型認証などの方法を用いてアイデンティティを確認する「認証」、RBAC や ABAC のモデルを通じてユーザーの権限を制御する「承認」、アカウントの作成、保守、プロビジョニング解除を処理する「ユーザー管理」、職務に基づいてアクセスレベルの割り当てや調整を行う「ロール管理」などがあります。

認証

認証とは、パスワード、生体認証、またはセキュリティトークンを使用して、ユーザー、デバイス、またはシステムのアイデンティティを確認することです。 MFA では、特にリスクの高いシナリオにおいて、ユーザーは複数の方法を使用してアイデンティティを確認する必要があります。 適応型認証では、ユーザーが普段とは異なる場所からログインした場合に追加で確認を要求するなどして、状況に応じて要件を調整します。

認証後は、最小権限の原則を適用して、業務に必要な分のアクセス権限のみをユーザーに付与し、それ以外の権限は付与しないように設定できます。 

承認

承認は、認証されたユーザーが環境内で「何ができるか」をコントロールします。 そして、リソース、アプリ、データに対するアクセスレベルを定義するポリシーを適用します。  

ロールベースのアクセス制御 (RBAC) では、事前に定義されたロール権限が使用されます。

属性ベースのアクセス制御 (ABAC) はより精度が高く、 役職や従業員の所在地などの属性に基づいて権限を設定します。 

ユーザー管理

ユーザー管理では、人事異動やサードパーティとの関係の進展に応じて、アカウントを動的に作成、調整、管理、削除します。

定期的に監査を実施して、ユーザーのアクセス権が現在のロールと整合していることを確認し、古い権限がセキュリティリスクとなることを防ぎます。 

Tenable のアイデンティティアクセス管理製品は、挙動のベースラインとリアルタイムのリスクスコアリングを使用して異常を検出するため、アイデンティティ関連の潜在的な脅威に先行的に対処できます。

ロール管理

ロール管理によってアクセス制御が簡素化されます。 ロール管理は権限を職務に自動的にマッピングします。 

セキュリティ担当部門が複雑なアクセス権を手動で管理する代わりに、IAM システムがロールを定義し、適切なアクセスレベルを自動的に付与します。

要約: IAM ライフサイクルには 3 つのフェーズがあります。 1. 安全な認証情報を登録する。 2. アクセス権の監視、更新、監査などの保守を行う。 3. アクセスを取り消すためにプロビジョニングを解除する。

登録

IAM では、登録の際に、ユーザー名と認証情報を含む一意のデジタルアイデンティティをユーザーに割り当てます。

組織固有のセキュリティポリシーに応じて、MFA、生体認証、その他のセキュリティトークンなどの追加の制御が含まれるケースもあります。

システム側で API トークンやフェデレーションクラウドアイデンティティが自動的に作成されるため、ユーザーはユーザー名やパスワードを使う必要がありません。

保守

保守を行っている間、IAM ツールは休む暇がありません。 ツールは進化するアタックサーフェスや変化するビジネスニーズに自動的に適応します。 

たとえば、従業員が部署を異動した場合、IAM は事前に定義されたセキュリティポリシーに基づいてアクセス権を自動的に再調整します。

プロビジョニング解除

プロビジョニング解除は、IAM ライフサイクルの最後のステップです。 従業員が退職した場合など、ユーザーアクセス権限が不要になったタイミングで、自動的に権限を取り消します。

プロビジョニングの解除では、ユーザーアカウントの削除だけにとどまらず、 アクセスを完全にシャットダウンします。 アカウントのプロビジョニングを解除すると、パスワード、証明書、トークンなど、すべてが取り消されます。 これにより、内部関係者による脅威のリスクを低減し、退職した従業員や以前のパートナーによるシステムへの継続的なアクセスを防ぐことができます。

要約:IAM ソリューションの種類: オンプレミス IAM、クラウドベース IAM、ハイブリッド IAM。 もう 1 つ CIAM という種類がありますが、これは外部の顧客アイデンティティ向けのもので、内部ユーザー用ではありません。

オンプレミス IAM

オンプレミスの IAM システムは、オンサイトインフラ内にホストすることができるため、内部システムの管理を強化し、自組織のセキュリティポリシーやコンプライアンス要件に準拠させることができます。 

オンプレミスの IAM の標準的な機能は、ユーザー認証、アクセス制御、ログ記録です。 

オンプレミスの IAM ツールの IAM 保守には、大量のリソースが必要です。 拡張は難しく、クラウド統合の問題もあります。

クラウドベース IAM

クラウドベースの IAM を利用すると、インフラ管理をサードパーティのプロバイダーに移行できます。 こうしたツールは、分散型ワークやリモートワーカーに非常に適しています。 

主な機能: シングルサインオン (SSO)、MFA、自動プロビジョニング。

たとえば、Tenable Cloud Security は、Okta などのアイデンティティプロバイダーと連携し、クラウドリソースに対するユーザーアクセスを合理化します。 

ハイブリッド IAM

ハイブリッド IAM システムは、オンプレミスとクラウドベースの IAM ソリューションを統合したものです。 

柔軟性な対応が可能で、内部のリソースを管理しつつ、クラウドで拡張することができます。 また、両方の環境にわたる一貫したアクセス制御を保証して、シームレスなアイデンティティ管理を実現します。 

ハイブリッド IAM は、従来のオンプレミス IT インフラとクラウドのアプリやサービスが混在している場合、特にメリットがあります。 場所を問わず、すべてのユーザーに対してアクセスのセキュリティを確保します。 また、フェデレーションアイデンティティにも対応しており、複数のシステム間で認証情報を使わずに認証を行うことができます。 

ただし、ハイブリッド IAM の導入は複雑なため、統合は慎重に行う必要があります。

顧客のアイデンティティアクセス管理 (CIAM)

顧客のアイデンティティアクセス管理ツールは、ウェブサイトやアプリなどの顧客とのデジタルな接点、または自動発券機のようなオンサイトテクノロジーでアイデンティティを管理します。

要約: シングルサインオン (SSO)、MFA、OAuth/OpenID Connect (OIDC)。

シングルサインオン (SSO)

SSO によってユーザーは、ユーザー名とパスワードを再入力することなく一度の認証でログインできます。 ユーザーは、一旦承認されると個別にログインしなくても複数のシステムやツールにアクセスできるようになります。

多要素認証 (MFA)

MFA は、パスワードや SMS コード、生体認証など、2 種類以上の検証をユーザーに求めます。

攻撃者がユーザーの認証情報を盗んだとしても、MFA を適用していれば不正アクセスの可能性を低減できます。

多くの IAM ソリューションでは、パスワードへの依存を減らすために、デフォルトのセキュリティ設定に MFA が設定されています。

セキュリティアサーションマークアップランゲージ (SAML)

セキュリティアサーションマークアップランゲージ (SAML) は、システム間でユーザーの身元や、誰がいつ、何にアクセスできるかといった情報をやり取りする際に使用されます。 SAML は SSO に対応しており、アイデンティティ管理を簡素化します。

OAuth および OpenID Connect

OAuth と OpenID Connect (OIDC) は権限承認ツールであり、これによってサードパーティのアプリがログインを共有せずに、タスクを実行したりリソースにアクセスしたりできるようになります。 

OAuth を使用すると、認証情報を共有しなくても、限定的なアクセスを許可することができます。 

OpenID Connect は認証をさらに追加します。

要約: セキュリティ態勢を評価し、 ポリシーのギャップを見つけて、 リスクを把握します。 そして、アクセス権が必要なユーザーを特定します。 適切な人物が、必要なリソースに安全にアクセスできるように、ポリシーを作成します。

セキュリティ態勢の評価

既存のアクセス制御を徹底的に調べて、 どの部分が適切に機能し、 どの部分に問題があるかを確認します。 ユーザーのロール、データの機密性、資産の重要度、潜在的な脅威についても確認してください。 どこかに盲点やセキュリティギャップはないか、 IAM を利用してリスクを低減できる領域はあるか、 そして、クラウドでのアイデンティティ管理の運用方法についても確認します。

役立つヒントを 1 つ挙げると、クラウドインフラ権限管理 (CIEM) を統合すると、複雑なサービスのアイデンティティ権限をより適切に管理できます。

アクセスポリシーとコントロールの定義

セキュリティ評価を完了したら、アクセスポリシーを策定します。 

誰が、どのロールで、どういった条件の下で何にアクセスできるかを定義します。

策定したポリシーを、リスクに基づくアイデンティティ保証レベル (IAL) や認証保証レベル (AAL) と整合させます。 NIST のデジタルアイデンティティガイドラインなどのフレームワークに従い、コンプライアンスのリスクを低減します。

IT エコシステムとの統合

IAM をお使いの他のシステムと統合する必要があります。 それには、オンサイトの IT だけでなく、クラウドサービスやサードパーティのアプリも含まれます。 

それにより、摩擦やセキュリティギャップを防ぎつつ、どのような環境でも想定どおりに機能する一貫したアクセス管理が実現します。

継続的なテストと最適化

IAM の実装は継続的なプロセスであり、定期的にテストを行い、最適化する必要があります。 IAM システムが新たな脅威に対抗できるようにするため、脆弱性診断、ペネトレーションテスト、その他のセキュリティレビューを定期的に実施して、アクセス制御ポリシーやユーザー管理プロセスの改善、コンプライアンス基準への対応を行う必要があります。

Tenable はアイデンティティセキュリティポスチャー管理 (ISPM) を推奨しています。 ISPM は、アタックサーフェスを積極的に監視し、設定ミス、権限の過剰付与、アイデンティティ関連の攻撃経路の有無を調べます。 Tenable Identity Exposure のようなアイデンティティ アクセス管理ツールを統合すると、侵害発生後に対処するのではなく、攻撃者に見つかる前にリスクを軽減できます。

定期的な監査とレビュー

定期的な監査とレビューを行うことで、IAM システムをアクセスポリシーに確実に準拠させることができます。 これはセキュリティギャップを先行的に検出する際にも役立ちます。 定期的な監査では、IAM の有効性とアクセス権の割り当てについて評価する必要があります。 

IAM のコントロール内容を CIS Controls v8 や MITRE ATT&CK などのフレームワークと照合し、アイデンティティ アクセス管理戦略の妥当性を検証します。 統合を使用すると、そのプロセスを簡素化できます。

たとえば、多くの組織が Tenable のアイデンティティサービスを利用して、アイデンティティ関連のアタックサーフェスを削減しています。

ユーザー教育とトレーニング

強力な IAM コントロールを導入しても、ヒューマンエラーは依然として発生します。 ヒューマンエラーにより侵害リスクが高まるため、IAM 戦略の一環としてユーザー教育は不可欠です。 

強力なパスワードが必要な理由について従業員を教育します。 フィッシング攻撃の危険性や、MFA などの IAM ツールを使用して侵害の可能性を低減する方法についても説明します。

IAM トレーニングは継続的に実施する必要があります。 最新のセキュリティ動向やベストプラクティスに関する再教育セッションを、定期的に開催します。 

また、従業員が各自のアクセス権と付与されている理由を確実に理解するようにしてください。 

継続的なモニタリングとアラート

ユーザーアクティビティを継続的に監視し、不正アクセスの試み、権限昇格、疑わしい挙動を明らかにします。

モニタリングによって、不正アクセスの試み、権限昇格、疑わしいログインなどの異常なアクティビティを未然に検出できます。 

ここで役に立つのがリアルタイムアラートツールです。これによってセキュリティ担当部門が潜在的なセキュリティ問題に迅速に対応できるようになるため、侵害の対象範囲を縮小し、データ漏洩やランサムウェアなどによるさらなる被害を防止できます。

アタックサーフェスを可視化するためには、 IAM ソリューションを、セキュリティ情報イベント管理 (SIEM) システムと統合する必要があります。 

SIEM 統合は、ユーザーアクティビティの追跡、セキュリティインシデントの検出、コンプライアンス準拠を支援します。 

特権アクセス管理 (PAM) による監視

PAM は IAM の重要な要素です。 PAM を使用すると、システムやデータへのアクセスを管理できます。 

PAM ツールは、昇格したアクセス権によるユーザーアクティビティを制御および監視するもので、 内部関係者によるリスクの低減に役立ちます。 効果的な特権アイデンティティ管理システムは、知る必要性に応じて特権アカウントの割り当てを行います。

PAM の監視によって、管理者権限を持つユーザーのアクセス悪用を確実に防ぐことができます。 その他の PAM ツールは最小権限の原則を適用し、機密リソースへのアクセスには追加の検証を要求します。 

インシデント対応の統合

IAM をインシデント対応プロセスと統合することで、ユーザーアカウント由来のセキュリティ侵害に迅速に対応できます。 侵入されたアカウントを迅速に無効化し、不審なアクティビティをブロックできるため、異常の根本原因を調査する時間を確保できます。 

IAM セキュリティの担当チームがインシデント対応チームと連携することで、サイバー攻撃による被害を抑え、ダウンタイムを減らし、最も重要な資産を保護することができます。 

インシデント対応チームが IAM ツールの使用方法を理解して、侵害されたアカウントを管理できるよう支援します。 

インシデント対応チームがアクセス制限について確実に熟知し、システムを以前の安全な状態に復旧する方法 (または復元担当の連絡先) を把握するようにします。 

IAM を自動化されたインシデント対応ワークフローと統合すると、封じ込めまでの時間を短縮し、ポリシーに基づく軽減プロセスを実施できます。

アイデンティティエクスポージャー

アイデンティティエクスポージャーとは、ユーザー認証情報が侵害されたり公開されたりするリスクのことです。

IAM ソリューションは、MFA のような強力な認証プロトコルを使用して、アイデンティティエクスポージャーを軽減する必要があります。 また、認証情報を暗号化して、安全に保管する必要があります。 今日のサイバー攻撃者の多くがユーザーアイデンティティを標的にしているため、これがとても重要になります。 ゼロトラストアーキテクチャ (ZTA) は IAM と連携し、ユーザーアイデンティティに対する攻撃が成功する可能性を大幅に低減します。

ジャストインタイムアクセス (JIT)

ジャストインタイム (JIT) アクセスにより、リソースへの一時的なアクセス権限が、必要なときだけユーザーに付与されます。 

JIT は、ユーザーがタスク終了後に不要になったアクセス権限を保持しないようにすることで、セキュリティアタックサーフェスを縮小できます。 

ユーザーが特定の機能に対して昇格した権限を必要とするものの、恒久的には必要としない場合に、JIT アクセス制御を使用できます。

JIT は最小権限の適用にも役立ちます。 ユーザーが機密リソースにアクセスできる時間を制限したり、重要システムにアクセスできるユーザーをよりきめ細かく制御したりできます。

クラウドインフラ権限管理 (CIEM)

CIEM は、AWS、Azure、GCP などのサービス間で複雑なユーザー権限をマッピングして保護することで、IAM の機能をクラウド環境にまで拡張します。

たとえば、Tenable Cloud Security を使用すれば、複雑なクラウド権限を可視化して、アイデンティティリスクを見つけることができます。

Tenable の CIEM ツールは、クラウド全体でリスクの高い権限を検出し、最小権限に基づく修正を提案します。

CIEM は、知らぬ間に機密データの露呈につながるおそれがある、権限の設定ミスも検出できます。

アイデンティティライフサイクルの拡張

アイデンティティガバナンスおよび管理 (IGA) は、ポリシー適用機能を追加することで、核となる IAM 機能を拡張し、オンボーディングからプロビジョニング解除までのアイデンティティの監視を可能にします。 

IGA を使用すると、アイデンティティ権限のライフサイクル全体を管理できます。

監査とコンプライアンスのレポート

監査証跡とコンプライアンスレポートによって、ユーザーアクティビティ、アクセス申請、ユーザー権限の変更を、より詳細に把握できます。

最小権限アクセスの適用

最小権限アクセスはゼロトラストの基盤となるものです。 IAM は、ユーザーに必要なときに必要な権限のみを付与することで、この原則を適用するうえで極めて重要な役割を果たします。 

ゼロトラストは、ユーザーとデバイスを常時検証しています。 アクセス可否の判断は、静的な認証情報ではなく、リアルタイムの情報に基づいて行われます。 

IAM はゼロトラストの基盤です。 IAM を使用することで、ユーザー、デバイス、アクセスに関する文脈をリアルタイムで継続的に検証し、ラテラルムーブメントを阻止します。

ゼロトラストを実現するには、資産と脆弱性に関するインサイトが鍵となります。 Tenable のゼロトラスト戦略は、資産、ユーザー、アプリの継続的な検証をサポートし、不正アクセスを防止してラテラルムーブメントを低減します。

継続的な認証と検証

ゼロトラストとは「決して信頼しない」という意味です。 常に検証するただし、何度も検証する必要があります。

IAM ツールは、ユーザーを継続的に監視し、再認証するものでなくてはなりません。 また、アクセス許可や権限をリアルタイムで調整し、新しいロケーションやデバイスなどの変化に対応できる必要があります。

ITDR はアイデンティティ関連の脅威を特定し、緩和します。 

異常なアクティビティの監視

ITDR は、ログインの試行、システムへのアクセス、ユーザーの挙動を継続的かつ自動的に監視します。 AI と機械学習を利用すると、不審なアクティビティを、発生時にその場で見つけることができます。 

インシデント軽減の自動化

何かが通常と異なるように見えた場合、IAM は自動的にアカウントをロックしたり、アクセスを制限したり、追加の認証を求めるアラートを送信したりすることができます。

短期間アクセスのプロビジョニング

時として、従業員は、特定のプロジェクトやタスクなどのために、普段はアクセスしない対象へのアクセス権限を必要とします。 

その場合は IAM が、制限とアクセス制御を伴う短期間のアクセス権限を付与します。 ユーザーがその権限を必要としなくなった時点で、自動的に権限を無効化することができます。

ここで重要なのは、最小権限の原則を使用して、業務に必要なアクセス権限のみをユーザーに付与し、それ以外の権限は付与しないことです。

AI を活用したアイデンティティ分析

AI は IAM を急速に変革しています。 

機械学習をはじめとする各種ツールにより、実際の脅威インテリジェンスやアクティビティのモニタリング結果をもとに、セキュリティ脅威を予測できるようになりました。 

通常と異なる挙動を検出した際、従来は手動で行っていたアクセスレビューなどのタスクを自動で行うことができます。 これらはアイデンティティ脅威を迅速かつ正確に検出することができる、高度で先行的なセキュリティツールです。

アイデンティティ脅威インテリジェンス

アイデンティティ脅威インテリジェンスは、リアルタイムの脅威データを IAM システムに取り込みます。 既知の攻撃経路や危険な挙動パターンを分析し、アイデンティティ関連の攻撃を検出して阻止します。

DevSecOps 統合の強化

IAM を DevSecOps と統合することで、ソフトウェア開発ライフサイクル全体を通じて一貫したアクセス制御とセキュリティチェックを確実に行うことができます。 これは、シフトレフトを適用し、デプロイメント前に脆弱性や設定ミスを検出するのに役立ちます。

主な IAM プラットフォームの概要

いくつかの IAM プラットフォームには、ユーザー認証、アクセス制御、コンプライアンスレポート、その他の統合などの機能を備えたアイデンティティアクセス管理の機能が搭載されています。 主要な IAM プラットフォームには、多くの場合 MFA、SSO、PAM などの高度な機能が含まれています。

IAM 製品の選択基準

IAM 製品の導入を検討されている場合は、クラウド統合、スケーラビリティ、使いやすさなど、具体的なニーズに基づいて慎重に製品を評価する必要があります。

IAM 製品をお探しの場合は、以下をベンダーに質問してください。

• 貴社の IAM 製品は、最小権限アクセスを適用し、特権アイデンティティを管理してアタックサーフェスを削減するうえで、どのように役立ちますか？
• 不審なアクティビティを継続的に監視し、異常を自動的に検出しますか?
• どのようなコンプライアンスフレームワークや規制基準に従っていますか?
• 監査報告をどのように簡素化していますか?
• どのようにクラウドネイティブプラットフォームやハイブリッド環境と統合しますか?
• ジャストインタイムアクセスを適用し、一時的な認証情報を使用していますか?
• 強力なアイデンティティガバナンスおよび管理ツールは備わっていますか?
• アイデンティティのエクスポージャーをどのようにしてリアルタイムで可視化していますか?

IAM は、複雑さを増す DX 時代のアタックサーフェスに対応するよう進化を続けています。 その進化に伴い、ツールは不正アクセスや内部関係者による脅威を抑えながら、ユーザーアイデンティティ、権限、ロールの管理をよりスピーディかつ効果的に行えるようになっています。 

また、最新のアイデンティティ管理製品は、ユーザーの挙動をリアルタイムで把握し、AI や機械学習を使用して脅威の検出や対応を行います。 

ゼロトラストを採用し、最小権限の原則を優先する組織が増えるなか、IAM はセキュリティ、コンプライアンス、シームレスなクラウド統合に不可欠な存在になります。

IAM マネージャーとは何ですか?

IAM マネージャーの役目は、デジタルアイデンティティのライフサイクルを監視し、ポリシーを適用し、システムのコンプライアンスを確保することです。 Tenable は、IAM マネージャーに対して、アイデンティティ関連のリスクの可視化と自動化された修正ワークフローを提供しています。

アイデンティティ アクセス管理 (IAM) ツールとは何ですか?

アイデンティティアクセス管理ツールは、アイデンティティを保護し、リソースへのアクセスを制御します。 Tenable は Tenable Identity Exposure などの IAM ツールを提供し、Active Directory (AD) 環境の設定ミスや権限昇格によるリスクを継続的にスキャンします。

アイデンティティ管理ソリューションとは何ですか?

アイデンティティ管理ソリューションは、ユーザーのライフサイクル全体でアクセスの管理、モニタリング、プロビジョニングを行います。 Tenable のアイデンティティ管理機能には、高度なアイデンティティ分析、CIEM、リアルタイムの脅威検出が含まれています。

アイデンティティ管理ソフトウェアとは何ですか?

アイデンティティ管理ソフトウェアには、アクセスポリシーを適用し、ユーザーのプロビジョニング、プロビジョニング解除、アクセスの確認を行うアプリケーションが含まれます。 Tenable のアイデンティティ管理ツールは、クラウドネイティブ環境と従来の IT 環境を両方サポートしています。