目指せ!理想のID管理#1 「ID管理の理想像」とは?
3行でわかる本記事のサマリ
- ゼロトラストセキュリティの実現には、ID管理が不可欠であり、IAM、IGA、PAMが重要な役割を果たす。
- ゼロトラストアクセスでは、ユーザごとに都度アクセス許可を行い、最小限のアクセス権限を制限する必要がある。
- ID管理の課題は、権限の詳細な管理やガバナンスの不足があり、IAMだけでは解決できない。IGAソリューションの導入が必要。
1. はじめに
本シリーズ「目指せ!理想のID管理」では、働き方改革やクラウド活用の促進などに伴い、企業のID管理を見直す必要のあるお客様を支援するべく、ID管理に必要な観点を段階的に記事にしていきます。
今回は最初のステップとして、目指すべき「ID管理の理想像」について考えていきたいと思います。「何から始めて良いのか分からない」といった課題をお持ちの方も、まずこの理想像をご確認いただき「何が足りていないのか」の判断するきっかけとなれば幸いです。
目次
・ゼロトラストセキュリティの最小権限のアクセス許可
・ID管理を実施する際に立ちはだかる課題
・ID管理の理想像とは
・まとめ
2. ゼロトラストセキュリティの最小権限のアクセス許可
ID管理はゼロトラストセキュリティを実現するために不可欠で、その実現に向けて、どのようなアクセスも明示的に検証し、利用者へ与える権限を必要最小のアクセスのみに限定した上で、侵害を想定して運用方法を見直すことが必要となります。
どのようなアクセスも明示的に検証するには、ユーザIDを動的に認証・認可する必要があり、その部分を担うのがIAM(Identity Access and Management)やIGA(Identity Governance and Administration)、PAM(Privileged Access Management)といったID管理ソリューションです。
各ID管理ソリューションの機能の違いについては以下の記事でご紹介しておりますので、併せてご覧ください。
「ゼロトラストでのID管理、IDaaSで十分」の誤解 IDガバナンス強化に必要不可欠なIGAって何?
利用者へ与えるアクセス権限を必要最小のアクセスのみに限定するには、ユーザが利用する通信ごとに都度アクセス許可を行い、社内外を問わないあらゆる通信を全て保護するといった「ゼロトラストアクセス」が必要になります。
一般的にゼロトラストアクセスの実現にはNW通信の制御が必要という認識まではあるものの、実はそもそも前提として、ユーザが利用する様々なアプリケーションの中にどのような権限があるのかを把握し、「適切な人」が・「適切なリソース」に・「適切なタイミング」で・「適切な理由」によりアクセスしているのか可視化する必要があります。
ユーザが所持するIDにどのようなアカウントやアクセス権限が紐づいているのか、全体を可視化して、管理・制御できる環境を整えることが、ゼロトラストセキュリティを実現するための土台となります。そこでIGAソリューションが「最小権限のアクセス許可」を満たすための一つのパーツとなっているのです。
図1 ゼロトラストセキュリティの最小権限の原則を満たすための要素
3. ID管理を実施する際に立ちはだかる課題
企業内のID管理を見直す際には様々な課題があります。
顕在的な課題=IAM導入したが、ガバナンスやアカウントの詳細権限が設定できていない
潜在的な課題=ガバナンスや詳細権限の設定ができていると思っているが、実は足りていない(見直す余地あり)
ユーザの認証・認可を強化するために、「多要素認証」や「フェデレーション」といった基本的なIAMの要件は徐々に浸透しており、認証基盤の整備に取り組み始めた企業様も多くいらっしゃるでしょう。
IAMの導入で、既にある程度IDアクセスの管理やIDガバナンスの管理が行うことが出来ている、と考えるお客様も少なくはありません。しかし、「ゼロトラストセキュリティの最小権限の原則」に基づいて改めて考え直すと、実はまだID管理について見直す余地が多々あります。
例えば、アプリケーションへのプロビジョニングで、ユーザに付与する権限が基本的にログインを行うためのアカウントレベルに留まっており、アカウントに紐づく詳細な権限までは考えられていないケースが多いです。
ゼロトラストセキュリティを実現する上では、アカウントに留まらずユーザがアプリケーションにログインした後に、どのような職務を実施するのかまで考慮して、詳細なアクセス権限を管理・制御することが必要です。
IAMの導入・運用を進めていくと、次に見えてくる課題がIDガバナンスです。
IDガバナンスの実現には、職務分掌や棚卸といった機能が求められますが、IAMの要件だけでは満たすことができません。
まず、職務分掌について考えてみます。
例えば、見積もりを作成する権限と承認する権限のように相反する権限を1人のユーザが所持しないようにするために、権限を分離する機能が求められます。(詳しくは今後の記事でご紹介予定)
企業の中で、この職務分掌を全く行っていないということはないかと思いますが、利用する全てのアプリケーションごとに詳細なアクセス権限を管理し、それら権限を全てのユーザに適切に付与することを考えると、全て手動で実施するには限界があります。
そこで、IGAソリューションを導入することで、システムでアプリケーションの権限を自動的に管理し、且つ適切な権限を自動的にユーザへ付与することで、現環境の運用工数の大幅な削減が見込まれ、ヒューマンエラーを低減することができます。
このように、IAMを導入しただけでは解決できていない課題があります。
次の項では、そのような課題を解決する一歩として、「ID管理の理想像」についてご紹介します。
4. ID管理の理想像とは
ID管理の理想像として弊社が考えている全体像は、以下のIAM、IGA、PAMが連携した構成です。
図2 ID管理の理想像
まず、ユーザがシステムを利用する際の「認証」を担うのはIAMです。ユーザ名/PWを使用した記憶認証に加え、生体認証や所持認証といった要素を追加した多要素認証を使用することで、認証をより強固なものとすることができます。併せて、EDRやUEMといった端末ソリューションと連携することで、デバイスの状態に基づいて動的に認証可否のポリシーを適用することができます。
また、複数のアプリケーションごとに個々で設定されている認証機能を一つの基盤へ統合することにより、ユーザは一度のログインだけで全てのアプリケーションを使用(Single Sign-On)することも可能となっており、IAMではセキュリティを担保しつつユーザの利便性を上げることができるといった利点があります。
PAMは特権アカウントの管理を行います。オンプレミスアプリ/SaaSに関わらず、システム上の特権をPAMが管理し、ユーザが特権を利用する際に必ずPAMソリューションを経由させることによって、特権アカウントの不正利用を大幅に低減することができます。
IGAはID管理とIDガバナンスの二方向で関与します。
ID管理では、ユーザが人事システムに登録されたタイミングでIGA製品上にユーザをオンボーディングし、アプリケーションを利用するためにプロビジョニングを行うライフサイクル管理を自動的に行います。IAMでもプロビジョニングを行うことができますが、あくまでも認証を目的とするログイン用のアカウントをユーザに付与するのに対して、IGAではアカウントに加えて、そのアカウントがアプリケーション内で利用できる権限のプロビジョニングを行います。また、ユーザがアプリケーションの利用申請を行った際に、その申請内容のリスクに基づいた承認ワークフローを提供することもできます。
IDガバナンスでは、職務分掌や棚卸を行うことで、ユーザが所持する権限を常に最新かつ必要最小にとどめておくことができます。これにより内部不正やコンプライアンス違反といったセキュリティ・ガバナンスの強固が実現できます。
図3 IGAソリューションによる創出効果
ゼロトラストセキュリティの原則における明示的な検証、これを実現するために必要なユーザの認証・認可をIAMが担い、IDガバナンスや特権管理でIAMだけでは足りない要素をIGAやPAMが補完します。さらに、最小権限のアクセス許可を満たすために権限の可視化、そして最小権限の付与をIGAが担います。
これらの要素からも、ID管理の理想像はゼロトラストセキュリティ実現の大きな一歩となります。
5. まとめ
ここまで理想のID環境について記載しましたが、ID管理の理想像を実現するためにはIAMだけではなく、IGAの領域も考える必要があることがお分かりいただけたかと思います。
弊社では2022年5月よりIGA領域のリーディングカンパニーである、Saviynt社のソリューションを取り扱い始めました。
IDガバナンスやIGAソリューションについて更に知りたい方は、ぜひお問い合わせください。
今後の記事では、IGAについてより詳細な内容をご紹介していきます。
なぜIGAソリューションで職務分掌や棚卸を行う必要があるのか、どのようなコスト削減が見込まれるかなど、機能ベースでより深堀した内容や、他製品との連携メリットなどを第二弾、第三弾として記載していく予定です。
是非、今後のシリーズも合わせてご覧ください。
▼「これからの企業のためのアイデンティティ・ガバナンス」
▼「IDaaS選定ガイド ゼロトラスト実現に欠かせないIDaaS導入5つの選定ポイント
~既存の認証基盤とどうすみ分ける?~」
