アイデンティティおよびアクセス管理 (IAM) とは何ですか?

小規模（従業員50～249名）、中規模（従業員250～999名）、大規模（従業員1,000～4,999名）、エンタープライズ（従業員5,000名以上） 小規模、中規模、大規模、エンタープライズ

特徴

高度な攻撃検出、高度な自動化、どこからでも復旧など

3グレイログ

アイデンティティとアクセス管理とは何ですか?

IAMとは、組織のオンラインおよびデジタルリソースへのゲートキーパーとして機能する、ポリシー、プロセス、および様々なセキュリティツールの集合体です。クラウドや在宅勤務が普及する以前の時代では、比較的シンプルなテーマでした。

かつてはファイアウォールだけで十分な保護機能がありました。ファイアウォールの内側であれば、社内でログインするだけで必要なものにアクセスできました。しかし今日では、IAMは従業員が自宅、オフィス、あるいは外出先など、どこにいても対応できる必要があります。そして、こうした作業環境において、データやアプリケーションは社内、プライベートクラウド、あるいはパブリッククラウドに存在する可能性があります。しかし、場所を問わず、承認されたユーザーは迅速にアクセスできる必要があります。

したがって、現代のIAMは、アプリとデータの分散化に対応しつつ、メール、データベース、データへの安全なアクセスを、真正であることが検証されたIDのみに提供できる必要があります。優れたシステムは、セキュリティと機能性の適切なバランスも実現する必要があります。ユーザーは、業務ツールへのアクセスに長い時間をかけたくありません。セキュリティ上のハードルが多すぎると、生産性に影響が出始めます。したがって、IAMの役割は、ハッカーや犯罪者をブロックしながら、従業員、承認されたパートナー、顧客へのアクセスを許可することです。

アイデンティティアクセス管理が必要な理由

フィッシングが蔓延し、セキュリティ意識向上トレーニングを実施しているにもかかわらず、多くの従業員が依然としてフィッシングの被害に遭っている現状では、さらなる安全対策を講じる必要があります。IAMは、誰が何にアクセスできるかを監視し、必要に応じて権限を取り消すという作業を簡素化します。

IAMのメリット

• データと ID を安全に保つ: IAM は、多要素認証 (MFA)、シングル サインオン (SSO)、暗号化などの機能により、両方に対して強力な障壁を提供します。
• コラボレーション: IAM は、不要な訪問者を遮断するだけでなく、適切な権限を持つユーザーが安全に情報を共有できる安全な空間も提供します。
• コンプライアンス: IAM が存在すると、コンプライアンスに取り組む人々がさまざまな規制への準拠を実証しやすくなります。
• 利便性: IAM には通常、SSO などの機能が組み込まれているため、一度ログインすると、他のアプリケーションやシステムに対して追加の資格情報を入力する必要はありません。
• 集中管理:自動化された機能と標準化されたユーザー プロファイルの存在により、業務の効率化とセキュリティの強化が実現します。

IAMの欠点

• 権限の定義が不十分： IAMでは、アイデンティティ管理のフレームワークの構築に加え、各ユーザーの権限を定義するための標準化されたプロファイルの構築が求められます。適切に定義されていないと、ユーザーは本来の役割に見合わないアクセス権限を付与されてしまう可能性があります。
• 内部者の悪用: IAM は、所属していないユーザーを締め出すのに効果的ですが、不正な内部者や不満を持つ従業員が、権限のないユーザーに権限を付与したり、多くの場合は検出されずにシステムを広範囲に公開したりすることで、システムを悪用する可能性があります。
• 実装の課題: IAM には、IAM を徹底的に実装し、その過程で発生する多くの障壁を克服できる熟練した IT およびセキュリティ担当者が必要です。
• 単一障害点:管理者権限が侵害されると、組織全体とすべてのユーザーが重大な危険にさらされます。

IAMの仕組み

名前が示すように、アイデンティティとアクセス管理には、アイデンティティの管理とアクセスの管理という2つの主要な機能があります。これらはさらに、以下のように細分化できます。

アイデンティティライフサイクル管理

ログイン試行は、一元化されたIDデータベースと照合する必要があります。この全ユーザーの記録は、組織への入社や退職に伴い、継続的に更新する必要があります。役割の変化や組織の進化に伴い、IDデータベースは適切に維持管理される必要があります。採用されたらすぐに、その人のプロフィールをデータベースに正確に入力する必要があります。このプロフィールは、在職期間中、常に最新の状態に保たれます。退職時には、その人のプロフィールと関連する権限を削除し、重要なシステムにアクセスできないようにする必要があります。

アクセス制御

本人確認に続いて、IAMの次の機能はアクセス権の管理です。これは、ユーザーが何を閲覧できるか、何を閲覧できないか、そしてどのアプリケーションを使用できるのか、できないのかといったことすべてに関わるものです。アクセス制御に関しては、組織によって厳格な場合もあれば、より緩い場合もあります。IAMを導入することで、IT部門はこの機能を監視し、過剰な権限を付与されているユーザーを特定することができます。

認証と承認

IDが認証されると、特定の資産へのアクセスを許可できます。IAMは、役職、在職期間、セキュリティクリアランス、プロジェクトメンバーシップなどの要素に基づいて、誰が何を閲覧できるかを決定します。

アイデンティティガバナンス

IAMはコンプライアンスと密接に結びついています。アイデンティティガバナンスは、アイデンティティとアクセス機能の全範囲を網羅し、適切な基準がすべて遵守されていること、組織が適用される規制を遵守していること、そしてアイデンティティとアクセス権の変更に関する監査証跡が存在することを保証します。

人気のIAMソリューション

JumpCloud、OneLogin、ManageEngine AD360、Oktaは、市場で最も人気のあるIAMソリューションです。いずれも多くの業種で広く導入されています。IAMツールを選択する際には、それぞれの長所と短所に注意を払う必要があります。

ジャンプクラウド

JumpCloudは、豊富な機能を備えているため、大規模なクラウド展開を行っている企業に最適です。また、Active Directory（AD）の代替としてMicrosoftストアにも適しています。主な機能としては、豊富なプリビルドアプリケーションとエンタープライズクラスのパスワードマネージャーが挙げられます。プラットフォームの料金は、ユーザーあたり月額19ドル、ゼロトラストとプレミアムサポートを追加した場合は24ドルです。

オクタ

Oktaは大規模エンタープライズの導入に最適ですが、中規模市場にも対応しています。そのため、幅広いカスタマイズ、ノーコード/ローコード/コード、そして統合オプションを提供しています。価格は個々の機能によって異なります。MFA、ディレクトリ、SSO、ライフサイクル管理、API管理、特権アクセス管理（PAM）などの機能は、ユーザーあたり月額3ドルから15ドルの範囲です。

ワンログイン

OneLoginは、IAM（アイデンティティ・アクセス・アイデンティティ）へのすぐに使えるアプローチを求めていない組織に特に適しています。豊富な統合機能に加え、開発者はプラットフォームにカスタムブランディングを含む高度なカスタマイズを施すことができます。魅力的な価格設定も、中小企業にとって魅力的な選択肢です。Oktaと同様に、SSOやMFAなどの特定の機能ごとに価格が分かれています。

マネージエンジンAD360

ManageEngine AD360は、ゼロトラスト、IAM、そしてセキュリティ情報イベント管理（SIEM）への統合アプローチを目指す組織に最適です。大規模組織に必要となる幅広いセキュリティ機能に加え、SIEM、ゼロトラスト、その他のセキュリティツールやテクノロジーとの統合も提供します。価格はユーザー数に基づいて段階的に設定されており、100ユーザーで年間395ドルからご利用いただけます。

アイデンティティ管理（IAM）とアクセス管理（IAM）は、現代の企業にとって中核的なセキュリティ技術となっています。IAMについて詳しくは、ホワイトペーパー「IAMに関する10の普遍的な真実」をご覧ください。