IAMとは
「IAM」(Identity and Access Management)とは、「アイエーエム」と読み、社内システムのアイデンティティ管理およびアクセス管理を運用する仕組みの総称を指します。従業員やパートナー企業のアイデンティティ管理およびアクセス管理を適切に制御し、一元管理を行います。
アイデンティティ管理とアクセス管理は密接に関係し、例えば、ファイルサーバー上のファイルを参照する場合、ユーザーは自身のIDを利用し、ファイルを参照する許可を得た上でアクセスが可能になります。IAMはITシステムのリソースを利用するユーザーに対して、アクセス権限の付与ならびに権限の剥奪を行う重要な機能を担います。アクセス権の制御は、社内で策定された職務分掌(職務の分離)に基づいて行われ、利益相反が生じうるユーザーを検知し、コンプライアンス違反を防止します。
なぜIAMは重要なのか?
IAMは、社外からだけでなく、社内の不正アクセスの脅威から守り、サイバーセキュリティ対策を講じるうえで中核的な役割を担います。昨今のビジネスでは保有するITインフラを有効に活用し、企業の生産性を向上することで競争力を高めることが重要であると同時に、セキュリティの観点から堅牢なID基盤を確立することが求められます。
企業のITインフラがオンプレミスからクラウドに移行し、企業が導入するSaaSアプリの数も増加しています。ファイアウォールで防御していた社内と社外の境界線が薄れ、ネットワーク内外の誰も信頼すべきではないというゼロトラストの実現には、IAMの採用が不可欠です。最新のIAMシステムでは、人工知能(AI)、行動分析、生体認証など最先端の技術も導入され始めています。
IAMの役割
IAMは、オンプレミス、クラウド、メインフレームに存在する各種ID情報を一元的に管理することで、IT担当者の運用負担を軽減することが可能です。同時に、利用者にとってシングルサインオン(SSO)やセルフサービス化によって利便性が高まります。また、ユーザーの雇用状況や職務に応じて、ITリソース上の属性やアクセス権を管理し、不正アクセスや情報漏洩の脅威から情報資産を保護する役割を担います。
IAMの基本的な役割
システム上で個人を特定するためのIDを登録する
ユーザーがITリソースへアクセスする際の本人確認を行う
個人または部署ごとに権限を設定し、情報資産へのアクセスや閲覧範囲を制限する
権限の範囲でユーザーにシステムを利用させる
ユーザーの役割が組織内で変更された際に、その権限を適切に変更する
ユーザーに対し付与されたIDや権限の履歴を過去に遡って確認する
ユーザーに付与されているIDや権限を定期的にレビューする
シ過剰権限が付与されたリスクの高いIDや未承認の権限の付与を検知する
検知した内容に基づき、アカウントの停止、管理者への通知などの対応を行う
IAMの機能
IAMにはIDとアクセス権を管理するための様々な機能が備わっています。主にID情報の管理や認証の機能で、IDのライフサイクル管理を効率的に運用する機能や、ユーザーがITリソースを利用する上で利便性を高める機能なども実装されています。
アイデンティティ管理の主要な機能
アクセス制御
複数のアプリケーションを一元管理することで、ユーザーごとに各システムでの権限を設定することができます。参照のみ、データの編集が可能、新規ユーザーの作成が可能、など、詳細な権限設定が可能です。
権限申請のワークフローの構築
使用予定のシステムに対するアクセス申請・承認のプロセスをサポートすることができます。事前に申請のプロセスを設定しておくことで、プロセスの簡略化や申請時の不備防止に役立ちます。また、権限の変更履歴をログとして残すことでインシデント発生時の調査をサポートします。
各アカウントのプロビジョニング
複数のアプリケーションのプロビジョニング(アカウント作成や権限の設定などユーザーがシステムを利用できるようにするまでのプロセス)をまとめて行うことができます。クラウド上のアプリケーションだけでなくオンプレミスのアプリケーションも一括して管理することも可能です。
職務分掌
職務の分離とも呼ばれ、1人の担当者が2つ以上の職務を重複して持つことで不正を行う機会が発生してしまうことを未然に防止、内部統制およびコンプライアンスを実現します。例えば、ある担当者に「会社の口座の参照権限」と「その口座から送金を行う権限」を同時に持たせることができないようにすることができます。このような設定を行うことで、個人の不正やヒューマンエラーを防止することができます。
操作記録の管理
ユーザーが行ったIDの操作を記録することができます。例えば、申請フローでは誰がいつどのような権限を申請または承認したか、などを操作履歴で残します。セキュリティ施策の改善や、監査業務の軽減に役立ちます。
アクセス管理の主要な機能
多要素認証(MFA)
多要素認証(MFA)は、2つ以上の認証要素を組み合わせて認証を強化します。企業はMFAを利用し、ログイン時のセキュリティ向上と認証コントロールが可能です。
シングルサインオン(SSO)
シングルサインオン(SSO)は認証サービスの一種で、ユーザーは一度のログイン操作で複数のアプリケーションやサイトにアクセスできます。
IAMのメリット
IAMの仕組みを導入することで、アカウントやアクセス権限の付与、管理、監視を自動で行うことができるようになります。マニュアル作業によるヒューマンエラーのリスクも軽減され、運用効率を向上できます。また、クラウドベースでIAMを提供するIDaaSを取り入れることで、オンプレミスよりも容易に導入することができます。
IAMの主なメリット
運用の効率化
これまで手動で行っていたユーザー管理を自動化することで、人的リソースの削減とヒューマンエラーのリスクが軽減され、運用効率の向上が期待できます。
利便性の向上
利用者にとってもセキュリティを犠牲にすることなく使い勝手のよい環境を手にいれることになり、より積極的なIT資産の業務への活用が見込めます。
ガバナンスの強化
利用者にとってもセキュリティを犠牲にすることなく使い勝手のよい環境を手にいれることになり、より積極的なIT資産の業務への活用が見込めます。
IAMはビジネスを成長させる鍵
多くの企業は、セキュリティツールとしてマルウェア対策、ファイアウォール、不正アクセスの検知や防御する対策に重点を置いていますが、IAMは、ITリソースへのユーザーアクセスを制御し、適切に管理することで、強力なセキュリティを実現します。
まとめ
IAMは、企業のセキュリティ強化とコンプライアンス遵守の徹底に役立つだけでなく、従業員の生産性とビジネスのスピード向上にも寄与します。
SailPointの製品を導入した企業
SailPointについての問い合わせ
*必須フィールド