IAMとは何ですか? 定義、機能、およびツールの説明
公開: 2019-11-23ジョンウィルキンソンによるゲストの貢献
Identity and Access Management(IAM)は、従業員のリソースへのアクセスを管理および管理する組織内の構造とプロセスの総称です。 厳密に言えば、IAMは概念的な分野であることに注意することが重要です。 IAMソリューションは、組織のIAM戦略とポリシーを実際に実施するソフトウェア実装です。 この記事では、ITリソースに関連するIAMとソリューションについて詳しく説明します。
最も洗練されたIAMソリューションは、システム、データ、およびリソースへのアクセスを一元化し、接続し、管理します。 それらは、組織のIT環境を監督する頭脳と考えてください。 各個人のID情報を一元化することで、関連する権限とセキュリティを維持し、自動化されたプロセスを推進および促進します。 組織のIAMを標準化および同期化することで、正確で管理が容易なデータベースの作成が確立され、すべてのユーザーが安全で適切にアクセスできるようになります。
IAMソリューションは、組織の固有の環境と運用における各ユーザーの特定の役割について、オープンアクセスと厳格すぎるセキュリティの間の完璧なスイートスポットを調整するのに役立ちます。 実装が成功すると、ITリソースとビジネスプロセスの管理ツールが提供されます。 これにより、役割の場所に関係なく、適切なユーザーが適切なリソースに指先で適切にアクセスできるようになります。
IAMが重要なのはなぜですか? - 歴史的背景
「なぜ?」を理解する何かのことは、「何?」を理解する上で重要な部分として機能します。 では、なぜIAMソリューションが重要なのでしょうか。 そのために、ビジネスプロセスとテクノロジーの歴史的背景に目を向けます。
従来のビジネステクノロジーは、今日私たちに提供されている相互接続性に欠けていたため、独立して運用されていました。 これにより、特定のシステム内にのみ存在する異種のデータサイロが作成されました。 マシンからマシンへの情報の転送を忘れて、それはしばしば個々のシステムとソフトウェアアプリケーションに限定されていました。 従来のビジネスプロセスはこれらの制限を回避し、適切な完了と記録の保持を確実にするために過度の労力と紙の証跡を必要としました。
「サイロ化」とは、自己完結型の構造またはシステム内で何か(データなど)を分離し、それを環境全体から隔離する行為を指します。農場の穀物サイロを考えてみてください。
組織がサイロ化されたリソースとデータに依存している場合、結果として生じる相互接続性の欠如により、明示的な境界の範囲内での使用が制限されます。 たとえば、HRデータのユーティリティはHRシステムのみに制限されます。 さらに、サイロ化は、回避策として、他の方法では非効率的なビジネスおよびアクセスプロセスの作成を強制することがよくあります。 これらの正式または臨時の回避策は救済策ではありませんが、壊れた構造骨の表面的な包帯です。
これらの回避策の多くは、5段階の承認のために走り回る必要のある紙のフォームなど、デジタル化前のレガシーな取り組みとしてかつては賢明であるように思われたかもしれません。 ただし、新しいテクノロジーの終わりのない出現は、定期的にそれらを冗長または制限的にします。
手動IAM–これまでずっと使用してきました
気付いていないかもしれませんが、組織はすでにさまざまなIAMポリシーと手順を実施しています。これらは、自動化またはデジタル化されていない可能性があります。 以下は、リソースへのアクセスを制御および監視する手動または紙駆動のIAMプロセスを示すいくつかの例です。
- キーの近くのクリップボードに名前、日付、開始マイレージと終了マイレージを記録して社用車をサインアウトする
- 個別に割り当てられたセキュリティコードを組み合わせロックに入力して、建物にアクセスできるようにする
- 従業員の支出承認のための紙の要求フォームの提出
今日のIAM
業界、規模、場所に関係なく、現代の組織は日常業務を完了するためにITリソースを必要としています。人事部門は従業員情報にHRシステムを使用しています。 経理部門は給与管理ソフトウェアを使用しています。 販売は顧客関係管理(CRM)システムを使用します。 マーケティングはコンテンツ管理システム(CMS)を使用します。 誰もがファイルとデータの共有のためにローカルまたはクラウドストレージにアクセスします。 等々。
これらのリソースを利用するには、個人に関連付けられたユーザーアカウントが必要です。 ユーザーアカウントにアクセスするには、従業員は自分のIDを認証する必要があります。多くの場合、ユーザー名とパスワードのクレデンシャルを入力します。 ユーザーアカウントは、ライフサイクル全体にわたって作成、維持、および非アクティブ化する必要があります。これは、ほとんどの場合、そのユーザーの雇用期間と相関関係があります。
今日の即時性の期待の中でITリソースを効果的に活用するには、いつでも、どのデバイスからでも、どこからでも、アプリケーション、ファイル、およびデータに即座にアクセスする必要があります。 それに加えて、これまで以上に接続された世界での悪意のあるデジタルエンティティの終わりのない猛攻撃は、従来のプロセスとアクセスを複雑にします。
今日のビジネスの世界で繁栄することは、最適化された運用、データ、およびセキュリティに依存しています。 非効率的なプロセスは、速度を落とすために急速に増加します。 ユーザーアカウントの作成とプロビジョニング、アドホックリクエスト、認証、アクセスレビュー、セキュリティの取り組みなどを手動で管理することは、ITスタッフだけでなく、ITリソースを利用するすべての従業員に負担をかけます。 これらの課題と、ますます厳しくなる規制コンプライアンス(HIPAA、SOX、FERPAなど)および違反リスクを組み合わせることで、現在、すべての企業がこれまでで最も厳しい環境に取り組んでいます。
また、日常業務ではどのような種類のアカウントが使用されていますか? 権限が昇格された役割(ディレクター、マネージャー、特殊な役割など)が常に特権アカウントを介して操作を行う場合、それらのアカウントが安全でなくなり、通知なしに過度の活動が行われる可能性がはるかに高くなります。 特権アクセス管理は、環境を安全に保つために重要です。 特権アカウントを使用する必要がない場合は、使用しないでください。 とても簡単です。 反対に、複数のユーザーが共有する汎用アカウントは洞察を排除します。 特権アカウントと汎用アカウントを使いすぎると、管理が容易になります。アカウントが存在せず、すべてが壊滅的に安全性が低下します。
厳格なプロセス、ポリシー、およびセキュリティ対策を制定しないと、混乱が生じます。 これがないと、担当者のアクセス権がすぐに制御不能になり、その結果、役割と責任についての全員の理解が複雑になる可能性があります。 この混乱は、セキュリティリスク、見落とし、および重大な影響の可能性を伴う過失を生み出します。
IAMソリューションは、組織を成功に導くために提供できる最高のプラットフォームです。 バックエンド管理プロセスを自動化することで、重要で面倒なタスクを適切に実行し、安全なアクセスを提供し、より重要なタスクで従業員の優先順位を変更する機能を再利用できます。
Identity&Access Managementに関するその他の統計については、以下のインフォグラフィックを確認してください。
定義されたIAMソリューション
IAMソリューションは、ユーザーID、アカウントライフサイクル、ユーザー権限、およびアクティビティを管理、統合、および統合する動的テクノロジーです。 わかりやすい英語– IAMソリューションは、組織の「ますます異質な技術環境」(Gartner)で運用しているユーザーに、誰が、何を、どこで、いつ、なぜ、どのように関連付けるかを管理します。
このようなプラットフォームの実装により、検証済みのユーザーは必要なリソースにアクセスでき、ITプロフェッショナルは面倒な管理タスクではなく生産的な作業に集中でき、組織全体がより効率的に運用できます。 IAMにより、組織は、システムの管理に制約されるのではなく、影響力があり、ROIに重点を置き、有益な運用にエネルギーをシフトすることができます。
IAMソリューションコンポーネント
IAMソリューションには4つの主要なコンポーネントがあります。
1.認証管理
認証管理はIDを検証し、それに応じてシステムへの初期アクセスを許可または拒否します。 これはIAMの「アイデンティティ」側であり、すべてのユーザーが本人であることを保証します。
従来のID検証にはユーザー名とパスワードの資格情報が必要ですが、新しい多要素認証(MFA)は、ワンタイムパスワード(OTP)、トークン、スマートカードなどの使用をサポートしています。 現在最も一般的な認証方法の1つは、従業員が最初にコンピューターにログインしたときにMicrosoftのActive Directory(AD)にサインインすることです。
2.承認管理
Authorization Managementは、認証されたユーザーが特定の役割に必要なアプリケーションとリソースにのみアクセスできることを保証します。 これはIAMの「アクセス管理」側であり、ロールベースのアクセス制御(RBAC)を適用するマトリックスで構成されるシングルサインオンやアクセスガバナンス(AG)ロールモデルなどの追加要素を組み込むことができます。
ロールモデルは、アクセスに関連する階層的な従業員構造の概要を示すデジタルチャートと考えることができます。 シングルサインオン(SSO)を使用すると、シングルログインの完了後にすべてのユーザーのITリソースを利用できるようになり、さまざまなシステムやアプリにアクセスする際の認証の繰り返しやパスワードのセキュリティの低下を防ぐことができます。
3.管理
管理ユーザーアカウントライフサイクルの自動化:システムおよびアプリケーションのユーザーアカウントの作成、変更、無効化、および削除。 認証および承認管理はアクセスセキュリティを監視しますが、管理はリソースのプロビジョニングを監視します。 ソースシステム(UltiProやWorkDayなどのHRシステムなど)をターゲットシステム(AD、O365、G Suite、SalesForce、Adobeなど)にリンクするIAMソリューションを使用すると、手動タスクを自動化して完全なエンドツーエンドのプロビジョニングを行うことができます。
管理は、従業員の初日の設定から離職時の非アクティブ化まで、ユーザーアカウントのライフサイクルと一致します。 従業員の役割が変わると(プロモーション、再編成など)、IAMソリューションはリソースを自動的に再プロビジョニングおよび更新し、それに応じてアクセスします。 1回限りのプロジェクトなどのアドホックな変更は、セルフサービス機能で処理できるため、ユーザーはマネージャーまたはリソースの「所有者」に直接アクセスを要求できます。 IAMソリューションは管理インターフェイスを提供するため、ユーザーのプロビジョニングに技術的な知識は必要ありません。 管理者は、変更を承認するだけで、ソリューションに残りの処理を任せることができます。
4.監視と監査
これらの機能は、包括的なアクティビティログを介して、内部のアクティブな管理と組織の運用およびプロセスのレビューをサポートします。 アクティビティログは、ビジネスインテリジェンスのレポートと監査証跡を編集し、アクセスレビューを実行し、正しい役割を確保し、非効率的なIAMプロセスまたは問題を修正するために使用できます。
IAMの実行
IAMソリューションは、従業員のID情報を含む最も正確で完全なセットである「信頼できるデータ」で実行されます。 組織は、IAMソリューションの信頼できるデータを提供する必要があります。 信頼できるデータはクリーンで一貫した形式で入力する必要があります。そうしないと、自動化で問題が発生します。 ほとんどのIDデータは、個人/連絡先情報、開始日と終了日、機能/役割、部門、場所などを含むHRシステムなどの「ソースシステム」に保存されます。
ソースシステムとデータを自動車のバッテリーのように考えてください。あらゆる種類の電気機能と機能を接続できますが、ソースとして、バッテリーはそれらが機能するのに十分なクリーンな電流を提供する必要があります。 IAMプロセスは、クリーンで一貫性のある完全なデータ入力を使用して実行することによってのみ実行できます。 IAMソリューションは、システム間の標準コネクタを使用して、接続されたターゲットにデータをプッシュする前に、さまざまなソースシステムからのデータを集約できます。
組織は、特定の個人がその役割のために受け取るリソースを詳細に決定し、それをAGモデルに組み込む必要があります。 IAMソリューションは、構成可能なトリガーとプロセスに依存して、この信頼できるデータを取得し、IT環境全体で同期します。 さまざまなフィールドと値が変更について監視されます。 ソース値に変更が発生すると、IAMトリガーモニタリングにより、構成されたロジックに従ってデータを同期するための関連プロセスが開始されます。
組織内の個人は異なるIDを持つことができ、IAMソリューション内に個別に保存されることがよくあります。 これらのIDに基づいて、IAMは、さまざまな従業員タイプおよび役割の責任に対してさまざまなユーザーアカウントを作成および管理できます。 ユーザーが昇格された特権を必要とする職務を実行する必要がある場合(たとえば、給与情報へのアクセス)、特権アカウントを使用する必要があります。 メールをチェックしたり、ドキュメントを作成したりするには、昇格された権限なしで一般ユーザーアカウントを使用する必要があります。 特権アクセス管理により、従業員は状況に適したユーザーアカウントで操作できるようになります。
ソースシステムは、これらのIDのすべての情報を提供しますが、適切な管理を支援しません。 IAMソリューションは、信頼できるデータに基づいて機能し、IDとユーザー間のこれらの複雑なリンクをすべて可能にします。
IAMセキュリティ
セキュリティリスクは、従業員が退職する日に新しく作成されたアカウントとクレデンシャルを渡して雇用されたときに始まります。 雇用の過程で、ユーザーのリソースニーズは変化する可能性があります。 プロモーション、再編成、役割の変更、およびアドホックプロジェクトはすべて、アクセスニーズの変化に貢献します。 時間の経過とともに、このアクセスの多くは不要になるか、コンプライアンスリスクにさえなる可能性があり、これはセキュリティ上の懸念につながります。 特に、問題のアクセスが個人情報(PII)、クレジットカード、社会保障番号などの機密情報を脅かすかどうかが懸念されます。このアクセスの蓄積は「許可の肥大化」と呼ばれます。 IAMソリューションは、現在の役割に応じて従業員のニーズへのアクセスを制限することにより、「許可の肥大化」に対抗します。
これらのリスクは、包括的で自動化されたプロビジョニング解除プロセスがない限り、従業員が退職した後でも終了しません。 プロビジョニング解除プロセスでは、退職した従業員のアカウントとアクセスをクリーンアップします。 IAMソリューションがなければ、特定のユーザーのすべてのアカウント、資格情報、およびアクセス(物理的またはデジタル)を安全に追跡することはもちろん、すべてをタイムリーに削除することも不可能になります。
ユーザーが組織を離れるときは、関連するすべてのアカウントを非アクティブ化してプロビジョニングを解除する必要があります。 そうでない場合でも、元のユーザーは、組織を離れた場合でも、同じ資格情報を使用してログインできます。 悪意のある元従業員は、機密データ(クライアント情報、知的財産、アカウントの資格情報など)を取得したり、最悪のシナリオで環境に損害を与えたりする可能性があります。 元従業員は、非アクティブ化されるまでITリソースにアクセスできます。 それは、数日、数週間、数か月、さらには数年になる可能性があります。 アカウントとアクセスのクリーンアップに失敗すると、クラウドストレージ、顧客データ、今後のプロジェクト、マーケティング資料などが公開されます。 停止した非アクティブ化は、誰もが個人のデバイスからアクセスできるクラウドホスト型リソースにとって特に危険です。
「孤立したアカウント」
標準の非アクティブ化プロセスを順守するもう1つの主な理由は、「孤立したアカウント」の蓄積を防ぐためです。 孤立したアカウントとは、アクティブユーザーに関連付けられておらず、環境に残っているアカウントです。 このデジタルデトリタスは、ストレージスペースを占有しながら、環境を正確に評価する能力を乱雑にします。 IAMソリューションの最も重要なプロセスの1つは、これらをクリーンアップすることです。
未来に向けて:IAMとクラウド
今日、ほとんどの企業は、メンテナンスコストの削減、実装の迅速化、アクセスの柔軟性のためにクラウドアプリを組み込むことで、IT環境を分割しています。 ただし、これらのハイブリッド環境は、従来の事業運営と「手動IAM」に深刻な課題をもたらします。 管理されていないクラウドアプリの使用は、IT環境の無数の新しい開口部を通じてセキュリティリスクを招きます。言うまでもなく、繰り返しログインすることでユーザーを苛立たせる可能性があります。 このような問題が、クラウドベースまたはWebSSO機能が非常に重要である理由です。
クラウドベース/ Webシングルサインオン(SSO)機能を備えたIAMソリューションは、ハイブリッド環境のギャップを埋めるのに役立ちます。 SSOの中央ログインポータルは、厳格なセキュリティプロトコルと構成可能なアクセスポリシーを使用して、すべてのユーザーのITリソースをシングルログインの背後にゲートします。 認証されると、ユーザーはポータルでの役割に必要なすべてのアクセス権を持ち、ネットワークの開口部とそれに関連する侵害のリスクを最小限に抑えます。 セキュリティを強化するために、MFAをSSO認証に追加することができます。
ユーザーとそのリソースの仲介役として機能する中央の信頼できるデータベースがないと、ユーザーはオンプレミスとクラウドのインフラストラクチャ間で分離されたアカウントに繰り返しログインする必要があります。 これらのさまざまなアカウントをすべて管理すると、日常の使用と管理が複雑になります。 ユーザーは、URL、クレデンシャルの複雑さ、パスワードの有効期限、自動サインアウト、およびセキュリティを提供しながら、簡単なアクセスを妨げ、生産性を大幅に停止させるその他の手段を調整する必要があります。
成功する組織を開発するには、個人またはチームとして成功できるように担当者を有効にする必要があります。 これには、日常業務(アプリ、共有、管理ツール、コラボレーションスペースなど)を完了するための手段とリソースへのアクセスと、必要なときに断固として行動する柔軟性が必要です。 複雑なアクセス要件と肥大化したビジネスプロセスは、従業員の生産性、モチベーション、および全員の勢いにキボッシュを与えるだけです。
IAMソリューションは、常に適切なアクセス、コンプライアンス、およびセキュリティを確保してきましたが、現在、新しいデータ、多様なアプリケーションの相互運用性、およびビジネスインテリジェンスからより大きなメリットを享受し始めています。 組織の成長に積極的に貢献するIAMソリューションは、あらゆるレベルのユーザーに力を与える幅広い機能を提供します。
すべてをリンクする
すべての画期的で業界を破壊する技術的進歩にもかかわらず、データの使用は、すべてのITリソースにわたって最も重要な定数であり続けます。
検証可能なID、自動化されたプロセス、アクセスガバナンス、およびセルフサービス機能を実装することにより、IAMソリューションは組織のデータを利用してフレームワークを構築します。 このフレームワークは、ビジネスプロセス、アクセス、およびセキュリティに関する前述のすべての課題を制御および監視します。
IAMソリューションは、ユーザーの生産性を高め、運用を合理化するガバナンスポリシーを通じて、アクセスとセキュリティのどちらかを選択するという組織のジレンマを解消します。 実装が成功すると、組織の効率が向上し、ユーザーのアクセスとアクティビティを確認するための詳細な監査ログが維持されます。
インプット(従業員、キャッシュフロー、需要と供給など)に大きな変化がなければ、アウトプットの増加を達成する唯一の可能な方法は、組織の効率化です。 IAMソリューションは、より柔軟な組織、より野心的な技術の実装、セキュリティの強化、企業の取り組みの強化、またはあなたが持っている目標やビジョンを達成するかどうかにかかわらず、その出力の増加を追求するための管理ツールを提供します。
要約すると、IAMソリューションは次のとおりです。
- ユーザーが必要なリソースにアクセスできるようにします。
- セキュリティ施行のために不必要または不規則なアクセスを制限する
- 複雑な管理タスクとプロセスの最適化を実行するためのツールと洞察を管理者とITに提供します
- プロセスと面倒なタスクを自動化し、組織がより影響力のある作業で人々の優先順位を変更できる柔軟性を提供します
- アカウントとクレデンシャルのプロビジョニングと安全な引き渡しから、出発後の迅速な非アクティブ化まで、ユーザーアカウントのライフサイクル全体でセキュリティを強化します
- 高度なレポートとアクティビティログを介して監査の準備を支援します
一部のIAMソリューションプロバイダー:
- Tools4ever
- オクタ
- IBM
- Microsoft Azure
- Centrify
- PINGアイデンティティ
- アイデンティティの自動化
- SailPoint
結論として、IAMソリューションは組織内のすべての人に利益をもたらします。
この全体論的で組織主導の考え方は、IAMソリューションの実装を成功させるための中心です。 最初から、IAMソリューションは、スイッチをオンにするためにIT部門にドロップされた一連の「設定して忘れる」技術的実装ではなく、それらが達成することを可能にするものと見なしてください。 プロセスは自動化されていますが、IAMソリューションでは、目的の結果を達成するためにアクティブな管理と構成が必要です。つまり、指示どおりに実行されます。 組織のニーズと運用に最適に統合するには、ソリューションの構成がそれらを効果的に反映する必要があります。
したがって、IAMソリューションは、現代のビジネスで行うことができる最もインテリジェントで経済的に責任のある決定の1つです。 包括的なテクノロジー計画は組織的な手段として機能し、少ない労力でより多くの成果を達成できるようにします。 その前提が当てはまる場合、IDおよびアクセス管理は、その乗算が最大の利益を達成するための支点です。