LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

サービス・製品 | 

IAM(アイデンティティおよびアクセス管理)とは?主な機能を解説

クラウドサービスの普及やテレワークの導入に伴い、管理しなければならないユーザアカウントの数が増加している企業も少なくありません。そこで注目を集めているのが、複数のユーザアカウントを一元管理できる「IAM(アイアム・アイエーエム)」です。IAMを導入すればセキュリティを強化できるだけでなく、自社のサービスを使うユーザの利便性も向上できます。

今回は、IAMの概要や導入する必要性、主な機能などについて解説します。セキュリティを向上させつつ、ユーザアカウントの管理作業に割いていた人員やコストを削減したい企業の方は、ぜひご一読ください。

IAMとは

IAMとは「Identity and Access Management(アイデンティティおよびアクセス管理)」の略で、1つのユーザアカウントで複数のサービスを利用できるよう整備する機能です。なお、IAMには企業・従業員(Enterprise)向けの「EIAM」と消費者(Consumer)向けの「CIAM」の2種類がありますが、本セクションではEIAMについて解説します。

IAMを利用すると、企業内で利用している複数のサービスのユーザアカウントを統合して管理できます。また、ユーザごとに適切なアクセス制御を実施できれば、情報が脅威にさらされるのを防ぎ、セキュリティを高めることが可能です。

企業を脅かす攻撃は年々増加しているため、セキュリティ対策は欠かせません。IAMはユーザアカウントを管理する負担を軽減しつつ、情報漏えいや不正アクセスなどの被害を防ぐ手段として役立ちます。

アイデンティティ管理

IAMにおける「Identity Management」は、その人がその人であることを表す情報(同一性:Identity)の登録、保管、更新、削除を行います。アイデンティティ管理は、ID、パスワードといったクレデンシャル情報だけでなく、属性の集合が含まれます。

クレデンシャル情報だけを管理する仕組みをアイデンティティ管理とうたう製品も存在しますが、本来の姿ではありません。

アクセス管理

IAMで「どこにアクセスして何ができるのか」というユーザの権限を管理するのが、アクセス管理です。アクセス管理を行わないと、誰でも簡単に機密情報や個人情報にアクセスできてしまうため、情報漏えいの発生リスクが高まります。ユーザごとに権限を管理して必要最小限の情報にのみアクセスを許可することで、リスクを抑えられます。

消費者向けに特化したIAM

消費者向けに特化したIAMとして、CIAMがあります。CIAMは消費者が使うサービスのアカウントを統合管理し、個人情報を守るのに役立つIAMです。

アカウントを統合管理すると、消費者がサービスごとにID・パスワードを設定する必要がなくなるため、UX(ユーザエクスペリエンス)が向上します。UXとは、ユーザがサービスを使いやすいと感じる感動や体験のことです。

また、パスワードを使いまわしたり、桁数が少なく解読されやすいパスワードを設定したりすることがなくなるので、不正アクセスやなりすましの被害に遭いにくくなります。UXだけでなく個人情報の安全性も高められるため、企業とユーザの両方にメリットがあります。

なお、企業・従業員向けのEIAMと消費者向けのCIAMの違いは、安全性と利便性のバランス配分です。セキュリティ事故が起こると企業へのダメージが大きいため、EIAMは安全性に重きを置いています。一方でCIAMは、利便性を損なうと消費者が離れる可能性があるため、安全性と利便性を同程度に重視します。

IAMの必要性

IAMを利用するイメージ

セキュリティ事故が起きる原因にはさまざまなものがありますが、ユーザアカウントの管理が甘く、不正アクセスやなりすましによって情報漏えいを引き起こしてしまう事例が後を絶ちません。原因に対処してセキュリティ事故を防ぐには、IAMが必要です。

ここでは、IAMの必要性を2つの観点から紹介します。

煩雑なID・パスワード管理を楽にする

IAMを導入すると、サービスごとに管理していたアカウントを1つにまとめられ、煩雑だったID・パスワード管理が楽になります。企業は従業員一人ひとりに合わせてアクセス制御できるため、アクセスすべきでない場所に知らずに入り込んでしまい、情報漏えいが起きるといった事態を防げます。

また、サービスの消費者であるユーザは、普段から使用しているID・パスワードで別のサービスにもログインできるようになります。面倒なアカウント管理作業がなくなるため、気軽にサービスを利用してもらえるようになり、企業としてもユーザ数を増やせるといった効果が期待できます。

ゼロトラスト実現に役立つ

ゼロトラストの大原則は「都度確認すること」です。この中心となるのがIAMです。柔軟性のあるIAMを採用することで、この「都度確認すること」をより簡単に実装することができます。

また、SaaS利用の増加により、インターネット上での「都度確認」が必要となります。インターネットを前提として考えることがとても重要です。

ゼロトラストを実現するには、以下の内容を確かめる必要があります。

  • 誰がアクセスするのか
  • どのような目的でどの情報にアクセスするのか
  • どのような操作をするのか

上記の内容について、複数のユーザアカウントを一元管理できるのがIAMです。IAMを導入することで外部脅威の早期発見や、社内不正を防止することができます。

IAMの機能

IAMが持つ機能は、主に以下の6つです。

機能 概要
ユーザアカウントの管理 ユーザアカウントの作成・修正・削除を管理する
ユーザの認証 安全な認証方法を用いて本人確認を行い、ユーザを認証する
ユーザの承認 どの情報へのアクセスを許可するのかユーザごとに管理する
(複数のユーザを一括で権限付与できるように、ユーザをグループに分けることが可能)
プロビジョニング ユーザにアクセスを許可する情報と、アクセスレベル(閲覧・編集・管理)を指定する
IDフェデレーション 1つのユーザアカウントを連携させ、複数のサービスへのアクセスを可能にする
レポート作成機能 アクセスのあった情報や時間などについてレポートを作成する

IAMの機能を活用し、ユーザのアクセス権限やアクセスレベルを適切に管理することで、安全性をより高められます。

IAMのセキュリティ機能

IAMには、セキュリティに特化した以下のような機能が備えられています。

  • 多要素認証(MFA)
  • シングルサインオン(SSO)
  • ユーザ管理
  • アクセス管理
  • ライフサイクル管理

以下では、各機能がどのような仕組みでセキュリティを強化しているのかを解説します。

多要素認証(MFA)

IAMにはログイン時のセキュリティを向上させる機能として、多要素認証を備えています。多要素認証とは「知識情報」「所持情報」「生体情報」の3要素のうち、2つ以上を組み合わせて認証する方法です。

認証要素
知識情報
  • ID・パスワード
  • PINコード
  • 秘密の質問
所持情報
  • ワンタイムパスワード
  • ICカード
生体情報
  • 指紋認証
  • 顔認証
  • 静脈認証
  • 虹彩スキャン

推測されやすいパスワードを設定したり、複数のサービスでパスワードを使いまわしたりすると、パスワードの漏えいによる情報事故のリスクが高まります。従来のID・パスワードの入力に加えて別の認証要素を組み合わせることで、セキュリティレベルを向上させることが可能です。

また、最近ではWebAuthn、Passkeysといった、パスワードレスの仕組みも簡単に実装することができ、セキュリティとユーザービリティーを両立することができます。

シングルサインオン(SSO)

シングルサインオン(SSO)とは、一度のユーザ認証で複数のサービスが利用できるようになる仕組みです。サービスごとにID・パスワードを覚えておく必要がなくなるため、UXが向上します。

また、シングルサインオンによる安全性をさらに高める仕組みに、リスクベースとコンテキストベースがあります。

リスクベース

ログインするユーザの行動パターンを自動で分析し、本人認証を行う仕組み。普段と異なる行動をすると、リスクとみなして追加の認証を求める。

コンテキストベース

ログインするIPアドレスやデバイス、場所などのコンテキスト(情報)を基に、アクセス制御を行う仕組み。同一ユーザであっても、デバイスや認証方法に応じてアクセス権を個別に設定できる。

シングルサインオンを活用すれば、セキュリティを高めつつ、ユーザがアカウントを管理する負担も軽減させられます。

ユーザ管理

IAMは、ユーザごとに必要最低限のアクセス許可を与えるユーザ管理を行います。ユーザにすべての権限を与えてしまうと不正行為に悪用される危険があるため、ユーザ管理は重要なセキュリティ機能です。

IAMはアクセスキーや一時的セキュリティ認証情報などにより、アクセス権をユーザに付与します。管理者はユーザごとに役割を明確にし、適切な権限を与えてアクセスをコントロールすることが大切です。

アクセス管理

IAM(Identity Access Management)にはその言葉が示す通り、アクセス管理が含まれています。ITリソースにアクセスする権利をユーザに付与し、管理する機能です。基本的な考え方の1つとして、最小特権の原則があります。ユーザやアプリケーションに与える権限を必要最小限に抑え、セキュリティを向上させます。

ライフサイクル管理

企業のシステムにログインする際などに利用するIDには、ライフサイクルがあります。従業員には入社、出向、退職などのイベントがあり、それに応じてIDを扱わなければ、機密情報の漏えいなどを引き起こしてしまうかもしれません。ライフサイクルには主に、登録、変更、抹消、休止と再開などがあります。

IAMのメリット

セキュリティ強化のイメージ

IAMの主なメリットには、以下の5つがあります。

  • 運用効率が向上する
  • 利便性が向上する
  • セキュリティを強化できる
  • リスク管理できる
  • コンプライアンスを強化できる

IAMは、企業にとっても自社のサービスを利用するユーザにとってもメリットがある機能のため、ぜひ導入を検討しましょう。

運用効率が向上する

IAMを導入するとユーザ管理を自動化できるため、運用効率が向上します。具体的に自動化できる作業は、アクセス監視やアカウントロックの解除、異常が発生した場合の原因の特定などです。

手動で行っていた作業をIAMが担ってくれるため、人為的ミスが起こるリスクを下げられます。さらにユーザ管理のために割く人員や時間も削減できるため、コストカットも期待できるでしょう。

また、シングルサインオンによって、ID・パスワードの入力の手間が省けることで、ログインがスムーズになり業務の効率も向上します。

利便性が向上する

IAMによりアカウント管理を一元化することで、利便性を向上できます。サービスごとに複数のID・パスワードを管理する手間がかからなくなり、必要な情報へスムーズにアクセスできるため、管理負担が軽減します。

またサービスを使うユーザに対し、優れたUXを提供することにもつながります。現代においては似たような内容・価格帯のサービスがあふれているため、UXが優れていれば他のサービスとの差別化が可能です。1つのアカウントで複数のサービスを使える体験はストレスが減り、ユーザに「使いやすい」と感じてもらえるでしょう。

セキュリティを強化できる

IAMでユーザごとに適切なアクセス制御を行うことにより、セキュリティを強化できます。ユーザ管理が自動化されるため、設定ミスによってセキュリティの穴を突かれるリスクが防げるでしょう。

また、複数のサービスで同じパスワードを使いまわしていると、ハッキングされるリスクが高くなります。IAMの機能の1つである多要素認証を使えば、ID・パスワードの入力だけでなく別の認証方法を組み合わせ、アクセスを試みるユーザアカウントの安全性を確保できます。

リスク管理できる

IAMの機能の1つに、なりすましや不正ログインを防ぐためのリスクベース認証があります。

リスクベース認証では、ログイン情報を取得し、ユーザにリスクが高いと判断した場合に、アクセスを拒否したり追加で認証を求めたりして、リスクを未然に防止します。

コンプライアンスを強化できる

IAMは、サービスへのアクセスを監査することによって、社内外の不正を解析でき、コンプライアンスを強化するための対策を講じることが可能です。

コンプライアンスが順守されず、ユーザアカウントが悪用されれば、情報漏えいをはじめとしたセキュリティ事故が発生し、取引先の企業やサービスを利用するユーザに不信感を与えてしまいかねません。健全な経営を行うためには、企業全体で規則や法令の順守に取り組まなければなりません。

IAMはユーザ管理やアクセス制御を適切に行えるため、セキュリティを強化する上で従うべき規律や法令に対して、簡単に準拠できます。

IAM実装に役立つサービス

IAMの実装に役立つサービスに、IDaaS(Identity as a Service)があります。IDaaSとは、クラウド経由でアイデンティティ管理やアクセス管理を提供するサービスです。IDaaSはIAMと同様に、ユーザ管理や多要素認証、シングルサインオンなどの機能を備えています。

近年は、インターネット経由でソフトウェアやデータを使用するクラウドサービスが増加しており、社内と社外の境界が曖昧になっています。セキュリティを強化するには、ユーザアカウントを一元管理できるIDaaSが有効です。また、オンプレミスとクラウドサービスの両方を使って業務を行っている場合でも、IDaaSを取り入れられます。

OktaにおけるIAM

IAM製品のリーダー企業である「Okta」は、シングルサインオンや、ライフサイクル管理の自動化によるID管理の効率化、ゼロトラストネットワークアーキテクチャ(ZTNA)などにより高い利便性とセキュリティを構築できます。

Oktaによる従業員ID管理の強み

Oktaは、一般的IDaas製品と比較して次のようなメリットがあります。

一般的なIDaaS Okta
IDaaS専業ゆえの他製品との連携
設定テンプレートは多くないが主要なものは可能

SSO:7,300以上の設定テンプレートあり
プロビジョニング:420以上の設定テンプレートあり
多要素認証
ワンタイムパスワードなど基本的な方式には対応

さまざまな多要素認証方式、デバイス認証等に対応
ID統合 ×
1つのADと同期するのが原則

複数のADやAD以外のユーザーDBを全て統合
認証統合 ×
IDaaS1つで認証するのが原則

複数のOktaテナント、IdP製品と連携可能

IAMとIGAの違い

IGA(アイデンティティガバナンス&管理)とはアイデンティティを見える化し、ユーザアカウントや権限を統制・監視することです。「誰が何に対して、どの程度の権限があるのか」「その権限があることは正しいのか」などを明確にし、適切な権限を付与します。

IAMは、ユーザアカウントの認証と認可を行ってセキュリティを強化しますが、従業員の加入や異動、退職などがあると権限変更が追いつかないケースがあります。不必要な権限を持つアカウントがあるとリスクが増大するため、素早く権限変更できる体制を整えることが重要です。IGAを導入すると自動で適切な権限を付与でき、ヒューマンエラーや作業の遅れを防げます。

IAMを導入して適切にユーザアカウントを管理しよう

本記事では、IAMの機能やメリットについて解説しました。近年は社内だけでなく、社外のネットワーク上にも、重要な情報を保持するケースが増えているため、ユーザアカウントの管理が甘いとハッキングによる情報漏えいのリスクが高まります。複数のユーザアカウントを一元管理できるIAMを導入し、セキュリティの強化を図ることが重要です。

IAMでユーザ管理を自動化すれば運用効率が向上し、手作業による人為的ミスの発生も防止できます。また、シングルサインオンの機能にはセキュリティを強化するだけでなく、UXを向上させる役割もあります。使い勝手の良いサービスが提供できれば、ユーザ数の増加も期待できるでしょう。

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • デジタル "アイデンティティ"とは何か?~広がるアイデンティティ管理の領域~

  • IT初心者の上司に説明する"ゼロトラスト"~イメージでとらえるゼロトラスト

  • 情シス部門のゼロトラスト導入に向けて#1 ゼロトラストを考えてみよう