IAM（アイデンティティおよびアクセス管理） とは

IAM（アイデンティティおよびアクセス管理）は、ITチームが各ユーザーまたはデバイスのデジタルアイデンティティに基づいて、コンピューターシステム、クラウドアプリケーション、ネットワーク、アセットへのアクセスを制御するサイバーセキュリティのフレームワークです。

IAMツールの主要な機能は次のとおりです。

• ユーザーごとに1つのデジタルアイデンティティを割り当てる
• ユーザーを認証する
• 関連リソースへの適切なアクセスを承認する
• 組織内の変更に合わせてアイデンティティを監視および管理する

IAMが重要な理由

デジタル環境において、組織は企業インフラストラクチャやアセット（データを含む）のセキュリティを確保するという大きなプレッシャーにさらされています。同時に、業務を遂行するためにクラウドやオンプレミスのリソースなど、さまざまなデジタルリソースへアクセスする必要がある正当なユーザーに対しては、シームレスな操作性を提供する必要があります。

接続されたデバイスの増加や「どこからでも仕事ができる」というトレンドの加速により、IT環境がますます複雑になる中で、組織はシームレスかつ効率的な方法ですべてのユーザーに適切なアクセス権を確実に提供する必要があります。

IAMは、組織がIAMタスクを合理化および自動化し、よりきめ細かなアクセス制御と特権を有効にするのに役立ちます。IAMソリューションを使用すると、ITチームはアクセス制御を手動で割り当てたり、特権をモニタリングおよび更新したり、アカウントのプロビジョニングを解除したりする必要がなくなります。また、組織はSSO（シングルサインオン）ツールを有効にしてユーザーのアイデンティティを認証し、複数のアプリケーションやWebサイトへのアクセスを、1つの認証情報セットのみで許可することもできます。

IAMとアイデンティティセキュリティの違い

技術的に言えば、IAMツールはセキュリティソリューションではなく、管理ソリューションです。IAMはデジタルアイデンティティを管理することでリソースへのアクセスを制限するのに役立ちますが、IAMのポリシー、プログラム、およびテクノロジーは、セキュリティを主目的として設計されているわけではありません。

例えば、アイデンティティを保存および管理してSSOまたはMFA（多要素認証）機能を提供するIAMテクノロジーは、アイデンティティを利用した攻撃をリアルタイムで検知して防止することはできません。同様に、IAMソリューションはアイデンティティ戦略全体の重要な部分ですが、多くの場合、アイデンティティとユーザーの振る舞いに加えて、エンドポイント、デバイス、ワークロードに対する詳細な可視性を欠いています。

同時に、アイデンティティ保護はIAMポリシー、プログラム、テクノロジーに取って代わるものではありません。そうではなく、アイデンティティ保護は、高度な脅威検知および防御機能によってIAMを補完し、強化する役割を果たします。人間、サービスアカウント、特権アカウントを問わず、すべてのユーザーに必要不可欠なセキュリティを追加し、Active Directory内のセキュリティリスクを排除するのに役立ちます。

最後に、アイデンティティセキュリティとIAMはセキュリティアーキテクチャにおいて重要な機能であるとはいえ、これらはより広範なセキュリティプラットフォームの一部にすぎないことを忘れてはなりません。最も強力な保護を実現するためには、組織は包括的なサイバー防御戦略を策定する必要があります。その中には、エンドポイントセキュリティ、ITセキュリティ、クラウドワークロード保護、コンテナセキュリティが含まれるべきです。

IAMの利点

IAMソリューションを実装すると、組織に次のような利点がもたらされます。

• 個別のエンティティに合わせてカスタマイズされた最適なアクセスおよび認証
• 複数のパスワードを覚えなくて済むようになるSSOソリューションをユーザーに提供することで、生産性が向上する
• 適切なユーザーが適切なアセットに対する適切な量のアクセス権を持つことにより、データ侵害のリスクが低減する
• セキュリティがすべてのプロセスに組み込まれているため、異なるチームやベンダー間での協力が促進される
• 規制や標準がツールに組み込まれているため、コンプライアンス要件への準拠が容易になる

IAMコンポーネントの詳細 

IAMでは、次の必要不可欠な手法とテクノロジーが統合されているため、組織は生産性を高め、企業コンプライアンスを確保しながら機密情報を保護できます。

• アイデンティティライフサイクル管理：このコンポーネントは、作成からメンテナンス、オフボーディングまで、組織内のデジタルアイデンティティのライフサイクル全体を管理します。組織は、アイデンティティをそのライフサイクル全体にわたって監視することで、ロールの変更、昇進、組織の変化に合わせてアクセス権が常に正確に保たれるように制御できます。これにより、古くなった権限に伴うセキュリティリスクが最小限に抑えられます。
• アクセス制御メカニズム：IAMツールは、RBAC（ロールベースのアクセス制御）とPAM（特権アクセス管理）ポリシーを適用して、職務の遂行に必要な権限のみをユーザーに付与します。これらのメカニズムでは、POLP（最小特権の原則）が導入されています。これは、機密リソースへのアクセスを制限することで潜在的な攻撃ベクトルを最小限に抑え、不正アクセスのリスクを軽減するセキュリティのベストプラクティスです。
• 認証と承認：認証と承認はIAMの中核であり、ユーザーが自分のアイデンティティを検証する方法とユーザーがアクセスできる対象を決定します。従来のパスワードベースの認証は未だによく使用されていますが、多要素認証やSSOなどのより安全性の高い方法が標準となっています。これらのアプローチは、検証を多層化することでセキュリティを強化し、不正なユーザーが簡単にはアクセスを取得できないようにすると同時に、アクセスのハードルを下げることで操作性を向上させます。
• アイデンティティガバナンス：アイデンティティガバナンスは監視とモニタリングを提供し、組織が特定のリソースにアクセスできるユーザーとその理由を追跡および管理できるように支援します。監査と追跡を通じて、組織はアクセス権限がGDPRやHIPAAなどの規制標準に沿って付与されていることを確認し、コンプライアンスを支援し、データ保護を強化できます。ガバナンスメカニズムは、アクセス管理における透明性と説明責任を維持するために不可欠なレポート生成と可視性もサポートします。
• 統合されたセキュリティとアクセシビリティ：これらのIAMコンポーネントを組み合わせることで、ユーザーのアクセシビリティを維持しながらセキュリティを強化するバランスの取れたアプローチが実現します。この総合的な戦略は、特にリモートワークやハイブリッドワークのモデルが多く使用されるようになっていることから、現代の職場の動的アクセスのニーズをサポートします。強力なセキュリティ対策と容易なアクセスを兼ね備えたIAMは、保護機能を損なうことなく、組織の生産性向上をサポートできます。

IAMの実装の保護

IAMは組織の広範なIT環境およびサイバーセキュリティアーキテクチャの一部です。そのため、実装はアイデンティティセキュリティソリューションやゼロトラストアーキテクチャを含む他のシステムやソリューションと統合する必要があります。

Active Directoryのセキュリティ

IAM実装における最も重要な側面の1つは、Active Directoryのセキュリティです。Active Directoryのセキュリティは、組織のActive Directoryがすべてのシステムアクセスを制御するため、ビジネスの全体的なセキュリティポスチャにおいて非常に重要です。効果的なActive Directoryの管理は、ビジネスの認証情報、アプリケーション、機密データを不正アクセスから保護するのに役立ちます。悪意のあるユーザーによりネットワークが侵害され、損傷を受ける前に強力なセキュリティ対策を実施することが重要です。

Active Directoryの侵害を監視する最適な方法は、イベントログ監視システムを使用することです。これらのログでアクティビティを監視することで、組織はさらなる被害が発生する前に、侵害を検出できます。

イベントログを監視する際は、次のようなイベントを含む疑わしいアクティビティの兆候を探します。

• 特権アカウントのアクティビティ：一般的に攻撃者は、特権の脆弱性を悪用し、権限昇格を試行して、侵害されたユーザーアカウントの特権を上げます。また、特権ユーザーアカウントでの時間外アクティビティが発生したり、ユーザーアカウントがアクセスするデータ量が突然増加したりする可能性があります。
• ログイン失敗：アカウントのログインに繰り返し失敗する場合、脅威アクターがアクセスしようとしている可能性があります。
• リモートログイン：多くの場合、悪意のあるユーザーは、システムにリモートでアクセスしようとします。異なる国やロケールのIPアドレスからのログインがある場合、Active Directoryが侵害されている可能性があります。

IAMユースケース

IAMは、運用効率を維持しながら組織のリソースを保護するために不可欠です。IAMを効果的に実装するには、さまざまなビジネスシナリオにおける具体的な利用方法と、その有効性を最大限に高めるベストプラクティスを理解する必要があります。IAMによってセキュリティとアクセスが強化される主なユースケースを次に示します。 

• 安全なリモートアクセス：リモートワークおよびハイブリッドワークモデルが増大する中、IAMではMFAとSSOを使用してデータを保護し、不正アクセスを最小限に抑えているため、どこからでも安全にリソースにアクセスできます。
• クラウドアプリケーションへのアクセス：IAMは、クラウドアプリケーションに対する一貫したアクセス制御の実施を容易にし、組織がロールベースの権限を適用して、クラウドに保存された機密データをさまざまなプラットフォームで効果的に保護できるようにします。
• PAM：IT管理者などの高レベルのロールについては、IAMはPAMを実装して特権アカウントをモニタリングおよび制御し、昇格された権限に伴うリスクを軽減させます。
• 企業コンプライアンスのサポート：IAMは、監査証跡を提供し、規制標準に従ってアクセスをモニタリングすることでコンプライアンスを支援し、GDPRやHIPAAなどの要件を確実に遵守できるようにします。
• 自動化されたオンボーディングとオフボーディング：IAMは、従業員の入社時にアクセスを付与し、退職時にアクセスを取り消すプロセスを自動化して、アクセスが最新の状態に保たれるようにし、古くなった権限に伴うリスクを最小限に抑えます。

IAMの実装

基本的なIAMの実装手順は次のとおりです。

• IAMソリューションのための主要な目標セットを確立する
• 既存のシステムおよびレガシーシステムを監査し、既存アーキテクチャ内のギャップを特定する
• アイデンティティマッピングとユーザーアクセスルールの定義を支援するための主要なステークホルダーを特定する
• すべてのユーザーグループを把握し、必要なだけの詳細を含める
• すべてのユーザーアクセスシナリオを特定し、それに対応するルールを定義する。クラウドアセットを考慮し、クラウド環境内でのアクセスがオンプレミスアクセスとどのように異なるかを考慮する
• ゼロトラストソリューションやアイデンティティセキュリティシステムを含む、他のセキュリティシステムやプロトコルとの統合ポイントを考慮する

IAMとコンプライアンス

今日のデータ主導型の環境において、IAMは、組織がユーザーデータを保護し、プライバシーを確保するための規制標準を満たすことができるよう支援する、重要な役割を果たします。IAMソリューションは、機密情報にアクセスできるユーザーを厳密に制御することを義務付けるGDPR、HIPAA、PCI DSSなどのデータ保護の法令や規制を遵守するために必要不可欠です。IAMは集中型アクセス制御によって、組織が最小特権アクセスや多要素認証などのポリシーを適用できるようにし、不正アクセスのリスクを軽減します。IAM内のアイデンティティガバナンスツールは、監査証跡、アクティビティモニタリング、アクセスレポートを提供することで、組織が規制要件の遵守を文書化して実証できるようにし、コンプライアンスもサポートします。IAMソリューションをコンプライアンスプロセスと統合することで、組織は罰金が科せられるリスクを軽減し、データ保護を強化し、顧客からの信頼を築くことができます。

IAMの未来

現代のアイデンティティを利用した攻撃の多くは、侵害された認証情報を直接利用してラテラルムーブメントを行い、さらに大規模で破壊的な攻撃を行うことにより、従来のサイバーキルチェーンをバイパスします。

このような攻撃の存在と、さらにはデジタルワークフォースが急速に拡大していることを受け、組織でIAMなどの強力で柔軟なアイデンティティセキュリティソリューションを有効にする必要性が高まっています。このようなソリューションは、EDR（エンドポイント検知・対応）ツールなど、他のセキュリティ対策の回避に成功した攻撃者を阻止することを目的としています。

CrowdStrike Falcon® Next-Gen Identity Securityでアイデンティティ攻撃対象領域を縮小

アイデンティティはゼロトラストにおける最も重要な要素であるだけでなく、新たな境界でもあります。CrowdStrike Falcon® Next-Gen Identity Securityは、オンプレミスでもクラウドでも、あらゆるアイデンティティのセキュリティを守ります。 

CrowdStrike Falcon®プラットフォームの一部であるCrowdStrike Falcon® Next-Gen Identity Securityは、認証トラフィックに存在するセキュリティ指標をリアルタイムで分析する継続的なリスクスコアリングエンジンを中心に構築されています。ゼロトラストの原則に従い、リスクスコアは、従来のアウトサイドイン（外側から内側）ソースではなく、ユーザーロール、ユーザー定義の認証ポリシー、アイデンティティストアを中心にインサイドアウト（内側から外側）に作成されます。