ID およびアクセス管理 (IAM) の主要コンポーネント

アイデンティティ・アクセス管理（IAM）は、システム、アプリケーション、データにアクセスするユーザーをコントローラーで制御し、企業全体で認証ポリシーを実施します。 

効果的な IAM 戦略を構築するためには、IAM のコンポーネントと、それらがどのように連携するかを理解する必要があります。

この IAM ガイドでは、リスクを低減し、コンプライアンスを改善し、攻撃者を排除するための IAM の 4 つの主要コンポーネントについて説明します。

認証とは、ユーザーのアイデンティティを検証するプロセスです。 一般的にはユーザー名とパスワードが基本ですが、より強力な IAM ソリューションは複数の検証レイヤーを追加します。

多要素認証（MFA）では、ユーザーはパスワードとセキュリティトークン、パスコードと生体認証など、2 つ以上の異なる要素を使用してアイデンティティを確認する必要があります。 

適応型認証はそれをさらに進めて、 ユーザーの IP アドレスやログイン場所などのコンテキストを分析し、検証要件をその場で調整します。

例えば、適応型認証を使えば、ユーザーが既知のデバイスと場所からログインすれば、すぐに認証を通過できます。 通常とは異なる時間帯に通常とは異なる場所からログインした場合、IAM ツールは追加認証を要求したり、ユーザーのアクセスを完全にブロックしたりします。

Tenable Identity Exposureでは挙動のベースラインとリアルタイムのリスクスコア付けで アイデンでンティティの異常を検出し、侵害を防止する方法を取っているのでリンクからご覧ください。

IAM システムがユーザーのアイデンティティを確認したら、承認を使って ユーザーに許されている行動を判断します。 

承認は、誰がどのアプリ、サービス、データを使用できるかをコントロールするアクセスポリシーを実施します。

一般的な 2 つのアクセスコントロールモデル:

• ロールベースのアクセス制御（RBAC）: 「HRマネージャー」や「開発者」など、事前に定義された役割に基づいて権限を付与
• 属性ベースのアクセス制御 (ABAC) : 役職、部署、クリアランス・レベル、場所などの属性を組み合わせて、アクセス・ポリシーを動的に評価する、より柔軟なアプローチ

最小権限これがここでの指針となる原則です。 ユーザーには、業務を遂行するのに十分なアクセス権のみを与え、それ以上のアクセス権は与えないようにします。 こうすることで、脅威の攻撃者がアカウントを侵害した場合でも、アクセスとラテラルムーブメントが抑制されます。

IAM と ゼロトラストアーキテクチャの連携がエクスポ-ジャーを抑制して特権の乱用を防ぐ仕組みをご覧ください。

ユーザーライフサイクル管理とは、IAM（アイデンティティアクセス管理）システムが、ユーザーが組織に参加したり、組織内で移動したり、組織から離脱したりする際に、ユーザーアイデンティティと関連するアクセスを適切に作成、更新、非アクティブ化することを指します。必要のなくなったアクセスの放置は大きなリスクになるので、IAM の最も重要な部分のひとつです。

最も優秀な IAM ツールは、自動的に職務ロールにアクセスを同期し、ユーザーが退職するとアカウントを非アクティブ化します。 ユーザーが他の部署に異動した場合、関連した権限は遅滞なく調整されます。 また、ベンダーとの契約が終了すれば、そのベンダーのアクセス権も終了します。

デプロビジョニングのベストプラクティスと、継続的なライフサイクルモニタリングを通じてインサイダーの脅威を低減する方法の詳細をご覧ください。

ロールの管理は、各職務機能が持つべき権限と権限を定義し、それらのルールを一貫して適用します。 

各ユーザーの権限を手動で管理する代わりに、IAM システムは役割定義に基づいて権限を割り当てます。

実際にどのようになるかと言うと、例えば、あなたのチームに新しい財務アナリストが入ったとします。 システムは、コードリポジトリにアクセスさせないようにしながら、必要なレポーティングツールへのアクセスを自動的に許可します。

このようなアクセス管理の自動化で手間を省き、手動で権限を割り当てる際に起こるミスを減らすことができるのです。

ロール管理はあらゆる規模の組織で有効ですが、コンプライアンス上、一貫性のある追跡可能なアクセス決定が要求される大規模組織や規制産業にはとくにメリットがあります。

特権アクセス管理（PAM）は、どのユーザーが機密システムにアクセスし、管理機能を実行できるかをコントローラーで制御する IAM の重要なレイヤーです。

PAM は、しばしばジャストインタイムプロビジョニングとセッション記録を使用して、昇格アクセスを制御、監視、監査することで最小権限を強制し、不正使用や侵害のリスクを低減します。

アイデンティティガバナンスと管理（IGA）は、アイデンティティライフサイクル全体にわたってアクセスポリシーとワークフローを管理することで、IAM を拡張します。

IGA ツールが役立つ場面:

• アクセスレビューと認証の自動化
• ロールベースのポリシーに沿ったアクセス
• コンプライアンスや監査のためのレポート作成

IAM と IGA を組み合わせることで、アイデンティティ環境のコンプライアンス、セキュリティ、スケーラビリティを確保します。

IAM コンポーネントは他のコンポーネントと連携を保ちながら動作するものです。アイデンティティエクスポージャーを減らし、アタックサーフェスのギャップを解決し、ハイブリッド環境全体にポリシーを適用するために連携します。

Tenableサイバーエクスポージャー管理プラットフォームは、IAMとクラウドのミス設定、脆弱性、リスクベースの優先順位付けを結びつけ、お客様の環境をプロアクティブに保護します。

IAM における認証とは？
IAM における認証とは、アクセスを許可する前にユーザーのアイデンティティを確認するプロセスです。

RBAC と ABAC はどう違う
RBAC は職務の役割に基づいて権限を割り当てます。 ABAC アクセスを定義するために、場所や役職のような追加属性を使用します。

PAM とは? なぜ重要?
PAM = 特権アクセス管理は、最重要システムへの昇格アクセスを誰が取得するかをコントローラーで制御し、内部脅威を防止し、最小権限アクセスを実施するのに役立ちます。

IGA は従来の IAM とどう違う?
IGA は、ポリシーベースのアクセスコントロール、ワークフローの自動化、アクセス認証、監査レポートを追加することで IAM を拡張し、コンプライアンスとアカウンタビリティを支援します。

さあ、これからアイデンティティ関連のリスクを軽減していきましょう! Tenable Identity Exposure のデモを予約して、攻撃者に見つかる前にアクセスギャップを解消しましょう。