ID およびアクセス管理 (IAM) の主要コンポーネント

アイデンティティ・アクセス管理（IAM）は、システム、アプリケーション、データにアクセスするユーザーをコントローラーで制御し、企業全体で認証ポリシーを実施します。 

効果的なIAM戦略を構築するためには、IAMのコンポーネントと、それらがどのように連携するかを理解する必要がある。

このIAMガイドでは、リスクを低減し、コンプライアンスを改善し、攻撃者を排除するためのIAMの4つの主要コンポーネントについて説明します。

認証とは、ユーザーのアイデンティティを検証するプロセスである。 一般的にはユーザー名とパスワードから始まるが、より強力なIAMソリューションは複数の検証レイヤーを追加する。

多要素認証（MFA）では、ユーザーはパスワードとセキュリティ・トークン、パスコードとバイオメトリクスなど、2つ以上の異なる要素を使用してアイデンティティを確認する必要があります。 

適応認証はさらに進んでいる。 ユーザーのIPアドレスやログイン場所などのコンテキストを分析し、検証要件をその場で調整する。

例えば、アダプティブ認証を使えば、ユーザーが既知のデバイスと場所からログインすれば、すぐに認証を通過できる。 通常とは異なる時間帯に通常とは異なる場所からログインした場合、IAMツールは追加認証を要求したり、ユーザーのアクセスを完全にブロックしたりする。

Learn how Tenable Identity Exposure uses behavioral baselines and real-time risk scoring to detect identity anomalies and prevent breaches.

IAMシステムがユーザーのアイデンティティを確認したら、承認を使って ユーザーができることを決定する。 

承認は、誰がどのアプリ、サービス、データを使用できるかをコントロールするアクセスポリシーを実施します。

一般的な2つのアクセスコントロールモデル：

• ロールベースのアクセス制御（RBAC）： "HRマネージャー "や "開発者 "など、事前に定義された役割に基づいて権限を付与する。
• 属性ベースのアクセス制御（ABAC）： 役職、部署、クリアランス・レベル、場所などの属性を組み合わせて、アクセス・ポリシーを動的に評価する、より柔軟なアプローチ。

Least privilege is the guiding principle here. You want users to have just enough access to do their jobs, and nothing more. That way, if a threat actor compromises an account, it limits their access and ability to move laterally.

Explore how IAM and zero trust architecture work together to limit exposure and prevent privilege abuse.

ユーザーライフサイクル管理とは、IAM（アイデンティティアクセス管理）システムが、ユーザーが組織に参加したり、組織内で移動したり、組織から離脱したりする際に、ユーザーアイデンティティと関連するアクセスをどのように作成、更新、非アクティブ化するかを指す。 時代遅れのアクセスは大きなリスクだからだ。

最高のIAMツールは、自動的に職務ロールにアクセスを同期し、ユーザーが退職するとアカウントを非アクティブ化する。 誰かが他の部署に異動した場合、その権限は遅滞なく調整される。 また、ベンダーとの契約が終了すれば、そのベンダーのアクセス権も終了する。

デプロビジョニングのベストプラクティスと、継続的なライフサイクルモニタリングを通じてインサイダーの脅威を低減する方法の詳細をご覧ください。

役割管理は、各職務機能が持つべき権限と権限を定義し、それらのルールを一貫して適用する。 

各ユーザーの権限を手動で管理する代わりに、IAMシステムは役割定義に基づいて権限を割り当てる。

現実の世界では、それはどのようなものだろうか。 例えば、あなたのチームに新しい財務アナリストが入ったとしよう。 このシステムは、コード・リポジトリにアクセスさせないようにしながら、必要なレポーティング・ツールへのアクセスを自動的に許可する。 

このような自動化により、アクセス管理の手間を省き、手動で権限を割り当てる際に起こるミスを減らすことができる。

役割管理はあらゆる規模の組織で機能するが、コンプライアンス上、一貫性のある追跡可能なアクセス決定が要求される大規模組織や規制産業にはメリットがある。

特権アクセス管理（PAM）は、どのユーザーが機密システムにアクセスし、管理機能を実行できるかをコントローラーで制御するIAMの重大なレイヤーである。

PAMは、しばしばジャストインタイム・プロビジョニングとセッション記録を使用して、昇格アクセスを制御、モニタリング、監査することで最小権限を強制し、不正使用や侵害のリスクを低減します。

アイデンティティガバナンスと管理（IGA）は、アイデンティティライフサイクル全体にわたってアクセスポリシーとワークフローを管理することで、IAMを拡張する。

IGAツールはあなたをサポートします：

• アクセスレビューと認証の自動化
• ロールベースのポリシーに沿ったアクセス
• コンプライアンスや監査のためのレポートを作成する。

IAMとIGAを組み合わせることで、アイデンティティ環境のコンプライアンス、セキュリティ、スケーラビリティを確保できます。

IAMコンポーネントは単独では動作しない。 これらは、アイデンティティエクスポージャーを減らし、アタックサーフェスのギャップを解決し、ハイブリッド環境全体にポリシーを適用するために連携します。

Tenableサイバーエクスポージャー管理プラットフォームは、IAMとクラウドのミス設定、脆弱性、リスクベースの優先順位付けを結びつけ、お客様の環境をプロアクティブに保護します。

IAMにおける認証とは？
IAMにおける認証は、アクセスを許可する前にユーザーのアイデンティティを確認するプロセスである。

RBAC対RBACとは？ ABAC？
RBAC 職務の役割に基づいて権限を割り当てる。 ABAC アクセスを定義するために、場所や役職のような追加属性を使用する。

PAMとは何か、なぜ重要なのか？
特権アクセス管理は、重大度システムへの昇格アクセスを誰が取得するかをコントローラーで制御し、内部脅威を防止し、最小権限アクセスを実施するのに役立ちます。

IGAは従来のIAMとどう違うのか？
IGAは、ポリシーベースのアクセスコントロール、ワークフローの自動化、アクセス認証、監査レポートを追加することでIAMを拡張し、コンプライアンスとアカウンタビリティをサポートする。

アイデンティティ関連のリスクを軽減する準備はできていますか？ Tenable Identity Exposure のデモを予約して、攻撃者に見つかる前にアクセスギャップを解消しましょう。