IDとアクセスの管理(IAM)とは何ですか?

IDとアクセス管理(IAM) システムで、ユーザーIDを検証しユーザー権限を管理します。

Share facebook icon linkedin icon twitter icon email icon

IAM

学習目的

この記事を読み終えると、以下のことができます。

  • コンピューティングの文脈における「ID」の意味について学ぶ
  • ユーザーアクセスとは何かを理解する
  • IDとアクセスの管理がクラウドにとってなぜ重要なのかを詳しく知る

IDとアクセスの管理(IAM)とは何ですか?

IDとアクセスの管理(短縮形はIAMまたはIdAM)は、ユーザーが誰で、そのユーザーには何が許可されているのかを伝える手段です。IAMは、ナイトクラブの玄関先に立っている用心棒のようなもので、顧客リストを見て客の入店の可否や、VIPエリアへの入場可否を判断します。IAMはID管理(IdM)とも呼ばれます。

identity and access management iam

より専門的に説明すると、IAMは、任意のユーザーのデジタルIDとそのIDに関連付けられた権限を管理する手段です。IAMは、この基本的な機能を共通して持つ多数の異なる製品の総称です。1つの組織内において、IAMは単一の製品の場合もあれば、管理者が組織のデータにアクセス可能な人物を管理できるようにするプロセス、ソフトウェア製品、クラウドサービス、およびハードウェアの組み合わせになっている場合もあります。

コンピューティングの文脈におけるIDとは何ですか?

個人のすべての識別情報をコンピューターにアップロードして保存することはできないため、コンピューティングの文脈における「ID」とは、測定が便利でデジタル記録が可能な、プロパティ一式を意味します。身分証明証やパスポートを思い出してみてください。その人物に関するすべての事実がIDカードに記録されているわけではなく、その人が誰なのかをそのIDカードで即座に照合するに十分な個人の特徴が記載されているにすぎません。

IDを検証するため、コンピューターシステムはそのユーザーに固有の特徴を評価します。一致すればこのユーザーのIDが確定します。このような特徴は、ユーザーが自称するとおりの人物であることの証明を補助するため、「認証要素」としても知られています。

次の認証要素が、最も広く使用されています。

  • そのユーザーが知っている事柄
  • そのユーザーが持っている物
  • そのユーザーは何か

そのユーザーが知っている事柄: この要素は、ユーザー名とパスワードの組み合わせのように、1人のユーザーだけが持つ1つの知識です。

ジョンが、自宅から自分のメールをチェックする場面を思い浮かべてください。メールをチェックするには、まず彼自身のIDを確立してメールアカウントにログインする必要があります。なぜなら、彼以外の人がジョンのメールにアクセスすれば、会社のデータが侵害されると考えられるからです。

ジョンは、自身のメールアドレスjohn@company.comと、彼しか知らないたとえば“5jt*2)f12?y”などのパスワードを入力してログインします。おそらく、ジョン以外の人は誰もこのパスワードを知らないので、メールシステムはジョンを認識し、メールアカウントへのアクセスを許可するでしょう。もし、誰かほかの人がジョンになりすまして“john@company.com”を入力しても、パスワードとして入力する“5jt*2)f12?y”を知らなければ、なりすましには失敗するでしょう。

そのユーザーが持っている物:この要素は、ユーザーを認証するために発酵された物理的トークンを所有していることを意味します。この認証要素の最も基本的な例は、自分の家に入るための物理的なカギの使用です。家を所有、賃貸、またはその家に入ることが許可されている人のみが、カギを持っていると仮定します。

コンピューティングの文脈における、このような物体は、キーフォブやUSBデバイス、スマートフォンなどです。ジョンの所属先が、すべてのユーザーが本当にその人が言うとおり本人なのか、1つではなく2つの認証要素をチェックすることで一段上の確証を得ようとしている、と仮定してみましょう。つまり、ジョンは彼の秘密のパスワード(ユーザーが知っている事柄)を入力するだけでなく、メールシステムに対し、彼がほかの誰も持っていない物体を持っていることを示さなければなりません。ジョンは、世界で一人だけ、ジョン用のスマートフォンを持っていますから、メールシステムからショートメッセージでジョンに対してワンタイムコードを送信し、ジョンがこのコードを入力して、彼がこのスマートフォンを所有していることを証明します。

そのユーザーは何か:これは、その人の身体の物理的特性を指します。この認証要素として実際によく使われている例は、Face IDで、最近の多くのスマートフォンでこの機能が提供されています。もう1つが指紋スキャンです。また、それほど多くありませんが、高度なセキュリティが求められる組織では網膜スキャンや血液認証を行っている場合もあります。

ジョンの所属先組織で、セキュリティをさらに強化して二要素ではなく三要素認証(レアなケースですが)の実施が決定されたと考えてください。ジョンが自身のパスワードを入力し、スマートフォンで検証し、自身の指紋をスキャンしてはじめて、メールシステムは彼がジョンであると確定することができます。

まとめ:現実の世界で、一人の人のIDは、個人の特徴や履歴、位置、その他要素が複雑に混ざり合ったものです。デジタルの世界では、ユーザーのIDは3つの認証要素の一部または全部で構成され、IDデータベースに電子的に保存されます。本物のユーザーへのなりすましを防止するため、コンピューターシステムがユーザーのIDをIDデータベースに照らし合わせてチェックします。

アクセス管理とは何ですか?

「アクセス」とは、ユーザーがデータを見ることおよび、ログイン後に実行できるアクションを指します。ジョンは、自身のメールシステムにログインした後、自身のすべての送受信メールを見ることができます。しかし、同僚のトレイシーが送受信したメールは見ることができません。

言い換えれば、ユーザーのIDが検証されたからといって、システムやネットワーク内に好きなようにアクセスできるという意味ではありません。たとえば、会社内で職位の低い従業員は、彼ら自身のメールアカウントにアクセスすることはできますが、給与記録や人事部の機密情報にアクセスすることはできません。

アクセス管理とは、アクセスを制御し追跡するプロセスです。システム内の各ユーザーは、各人の必要性に応じた異なる権限を持っています。会計担当者は、給与記録へのアクセスや編集を行う必要があるので、会計担当者は、ID検証後はメールアカウントにアクセスするだけでなく給与記録を表示して更新することもできるようになります。

IAMはなぜ、クラウドコンピューティングにとってそれほど重要なのですか?

In cloud computing, data is stored remotely and accessed over the Internet. Because users can connect to the Internet from almost any location and any device, most cloud services are device- and location-agnostic. Users no longer need to be in the office or on a company-owned device to access the cloud. And in fact, remote workforces are becoming more common.

その結果、アクセス制御においては、ネットワークの境界ではなくIDが最も重要なポイントになっています。* デバイスや場所ではなくユーザーのIDによって、どのデータにアクセス可能なのか、そもそもアクセス自体が可能なのかが決まります。

IDの重要性を理解するために、1つ例を挙げます。サイバー犯罪者が、ある会社のデータセンター内の機密ファイルにアクセスしたがっているとします。クラウドコンピューティングが広く採用される以前、サイバー犯罪者は、その企業の社内ネットワークを保護しているファイアウォールを突破するか、建物内に侵入したり社内の従業員を買収したりする方法で物理的にサーバーに接近する必要がありました。犯罪者の主な目的は、ネットワーク境界を越えることでした。

ところが、クラウドコンピューティングでは、機密ファイルは離れた場所にあるクラウドサーバーに保存されています。会社の従業員はファイルにアクセスする必要があるため、ブラウザまたはアプリ経由でログインします。今、サイバー犯罪者がファイルにアクセスしたければ、必要なのは社員のログイン資格情報(たとえばユーザー名とパスワード)とインターネット接続のみです。犯罪者はネットワークの境界を越える必要はないのです。

IAM helps prevent identity-based attacks and data breaches that come from privilege escalations (when an unauthorized user has too much access). Thus, IAM systems are essential for cloud computing, and for managing remote teams.

*ネットワーク境界は、社内ネットワークの端を指します。これは、管理された安全な社内ネットワークと管理されず安全ではないインターネットとを分ける、仮想的な境界線です。オフィス内のすべてのコンピューターとこれに接続されたプリンターなどのデバイスは、この境界線の内側にありますが、世界各地のデータセンター内のリモートサーバーは内側にはありません。

IAMは、クラウドのデプロイメントのスタック/クラウドアーキテクチャのどこに位置しますか?

IAMはたいていの場合、ユーザーが組織のクラウドインフラストラクチャに到達するにはそこを通過しなければならない、クラウドサービスです。組織の施設内の社内ネットワーク上にデプロイすることもできます。最後に、一部のパブリッククラウドベンダーは、ベンダーの他のサービスにIAMをバンドルしている場合があります。

マルチクラウドまたはハイブリッドクラウドアーキテクチャを使用している企業では、IAM用に別のベンダーを使用している場合があります。IAMを他のパブリックまたはプライベートクラウドサービスから切り離すことで柔軟性が高まります。つまり、クラウドベンダーを切り替えてもIDを維持したままデータベースにアクセスすることができます。

IDプロバイダー(IdP)とは何ですか?

Idプロバイダー(IdP)は、IDの管理に役立つ製品またはサービスです。IdPの多くは実際のログインプロセスの処理も担っています。シングルサインオン(SSO)プロバイダーは、このカテゴリーに入ります。IdPはIAMのフレームワークの一部になり得ますが、ユーザーアクセスの管理はサポートしません。

Identity-as-a-Service(IDaaS)とは何ですか?

Identity-as-a-Service(IDaaS)は、IDを検証するクラウドサービスです。これはクラウドベンダーが提供するSaaS製品で、ID管理を部分的に外注する方法です。IDaaSとIdPは本質的に同義である場合もありますが、IDaaSベンダーがIDの検証と管理に加えて別の機能を提供している場合もあります。IDaaSベンダーが提供する能力によって、IDaaSは、IAMのフレームワークの一部となるか、もしくはIAMのシステム全体となります。

CloudflareはどのようにIAMとクラウドをサポートするのですか?

Cloudflare Access is an IAM product that monitors user access to any domain, application, or path hosted on Cloudflare. It integrates with SSO providers and allows administrators to alter and customize user permissions. Cloudflare Access helps enforce security policies for both on-premises internal employees and remote workers.

Cloudflareは任意のクラウドインフラストラクチャのセットアップの正面に配置することができ、IAMプロバイダーを含むマルチクラウドやハイブリッドクラウドのデプロイを使用している企業により多くの柔軟性を提供します。