IDとアクセス管理(IAM) システムで、ユーザーIDを検証しユーザー権限を管理します。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
IDとアクセス管理(短縮形はIAMまたはIdAM)は、ユーザーが誰で、そのユーザーには何が許可されているのかを伝える手段です。IAMは、ナイトクラブの玄関先に立っている用心棒のようなもので、顧客リストを見て客の入店の可否や、VIPエリアへの入場可否を判断します。IAMはID管理(IdM)とも呼ばれます。
より技術的な説明にすると、IAMは、任意のユーザーのデジタルIDとそのIDに関連付けられた権限を管理する手段です。これは、そうした基本的な機能を果たすさまざまなプロダクトの総称です。組織内において、IAMは単一の製品である場合もあれば、管理者が組織のデータにアクセス可能な人物を管理できるようにするプロセス、ソフトウェア製品、クラウドサービス、およびハードウェアを組み合わせたものになっている場合もあります。
個人のすべての識別情報をコンピューターにアップロードして保存することはできないため、コンピューティングの文脈における「ID」とは、測定が便利でデジタル記録が可能な、プロパティ一式を意味します。身分証明証やパスポートを思い出してみてください。その人物に関するすべての事実がIDカードに記録されているわけではなく、その人が誰なのかをそのIDカードで即座に照合するに十分な個人の特徴が記載されているにすぎません。
IDを検証するため、コンピューターシステムはそのユーザーに固有の特徴を評価します。一致すればこのユーザーのIDが確定します。このような特徴は、ユーザーが自称するとおりの人物であることの証明を補助するため、「認証要素」としても知られています。
次の認証要素が、最も広く使用されています。
そのユーザーが知っている事柄: この要素は、ユーザー名とパスワードの組み合わせのように、1人のユーザーだけが持つ1つの知識です。
ジョンが、自宅から自分のメールをチェックする場面を思い浮かべてください。メールをチェックするには、まず彼自身のIDを確立してメールアカウントにログインする必要があります。なぜなら、彼以外の人がジョンのメールにアクセスすれば、会社のデータが侵害されると考えられるからです。
ジョンさんは、自身のメールアドレスのjohn@company.comと、ジョンさんだけが知っているパスワード、たとえば“5jt*2)f12?y”を入力してログインします。おそらく、ジョンさん以外に誰もこのパスワードを知らないので、メールシステムはジョンという人を認識し、メールアカウントへのアクセスを許可するでしょう。もし誰かが、ジョンさんになりすまして“john@company.com”を入力したとしても、パスワードの“5jt*2)f12?y”を知らなければ、入力できず、なりすましは失敗に終わるでしょう。
そのユーザーが持っている物:この要素は、ユーザーを認証するために発行された物理的トークンを所有していることを意味します。この認証要素の最も簡単な例は、自分の家に入るための物理的なカギの使用です。家を所有、賃貸、またはその家に入ることが許可されている人のみが、カギを持っていると仮定します。
コンピューティングの文脈における、このような物体は、キーフォブやUSBデバイス、スマートフォンなどです。ジョンの所属先が、すべてのユーザーが本当にその人が言うとおり本人なのか、1つではなく2つの認証要素をチェックすることで一段上の確証を得ようとしている、と仮定してみましょう。つまり、ジョンは彼の秘密のパスワード(ユーザーが知っている事柄)を入力するだけでなく、メールシステムに対し、彼がほかの誰も持っていない物体を持っていることを示さなければなりません。ジョンは、世界で一人だけ、ジョン用のスマートフォンを持っていますから、メールシステムからショートメッセージでジョンに対してワンタイムコードを送信し、ジョンがこのコードを入力して、彼がこのスマートフォンを所有していることを証明します。
そのユーザー自身:これは、その人の身体の物理的特性を指します。この認証要素として実際によく使われている例は、Face IDで、最近の多くのスマートフォンでこの機能が提供されています。もう1つが指紋スキャンです。また、それほど多くありませんが、高度なセキュリティが求められる組織では網膜スキャンや血液認証を行っている場合もあります。
ジョンの所属先組織で、セキュリティをさらに強化して二要素ではなく三要素認証(レアなケースですが)の実施が決定されたと考えてください。ジョンが自身のパスワードを入力し、スマートフォンで検証し、自身の指紋をスキャンしてはじめて、メールシステムは彼がジョンであると確定することができます。
まとめ:現実の世界で、一人の人のIDは、個人の特徴や履歴、位置、その他要素が複雑に混ざり合ったものです。デジタルの世界では、ユーザーのIDは3つの認証要素の一部または全部で構成され、IDデータベースに電子的に保存されます。本物のユーザーへのなりすましを防止するため、コンピューターシステムがユーザーのIDをIDデータベースに照らし合わせてチェックします。
「アクセス」とは、ユーザーがデータを見ることおよび、ログイン後に実行できるアクションを指します。ジョンは、自身のメールシステムにログインした後、自身のすべての送受信メールを見ることができます。しかし、同僚のトレイシーが送受信したメールは見ることができません。
言い換えれば、ユーザーのIDが検証されたからといって、システムやネットワーク内に好きなようにアクセスできるという意味ではありません。たとえば、会社内で職位の低い従業員は、自身のメールアカウントにアクセスすることはできますが、給与記録や人事部の機密情報にアクセスすることはできません。
アクセス管理とは、アクセスを制御し追跡するプロセスです。システム内の各ユーザーは、各人の必要性に応じた異なる権限を持っています。会計担当者は、給与記録へのアクセスや編集を行う必要があるので、会計担当者は、ID検証後はメールアカウントにアクセスするだけでなく給与記録を表示して更新することもできるようになります。
クラウドコンピューティングでは、データは離れた場所に保存され、インターネット経由でアクセスします。ユーザーはほぼすべての任意の場所とデバイスからインターネットに接続できるため、ほとんどのクラウドサービスはデバイスや場所に依存しません。ユーザーは、クラウドにアクセスするためにオフィスにいる必要も、会社所有のデバイスを使う必要もありません。実際に、リモートワークは普通の働き方になってきています。
その結果、アクセス制御においては、ネットワークの境界ではなくIDが最も重要なポイントになっています。* デバイスや場所ではなくユーザーのIDによって、どのデータにアクセス可能なのか、そもそもアクセス自体が可能なのかが決まります。
IDの重要性を理解するために、1つ例を挙げます。たとえば、サイバー犯罪者がある会社のデータセンター内の機密ファイルにアクセスしようとしています。クラウドコンピューティングが広く採用される前は、サイバー犯罪者は、その企業の社内ネットワークを保護しているファイアウォールを突破するか、建物内に侵入したり社内の従業員を買収したりする方法で物理的にサーバーに接近する必要がありました。犯罪者の主な目的は、ネットワーク境界を越えることでした。
ところが、クラウドコンピューティングでは、機密ファイルは離れた場所にあるクラウドサーバーに保存されています。会社の従業員はファイルにアクセスする必要があるため、ブラウザまたはアプリ経由でログインします。今、サイバー犯罪者がファイルにアクセスしたければ、必要なのは社員のログイン資格情報(たとえばユーザー名とパスワード)とインターネット接続のみです。犯罪者はネットワークの境界を越える必要はないのです。
IAMは、IDベースの攻撃および権限昇格(承認されていないユーザーが多すぎるアクセス権を持つこと)によるデータ漏えいの防止に役立ちます。そのため、IAMシステムはクラウドコンピューティングに欠かせません。
*ネットワーク境界は、社内ネットワークの端を指します。これは、管理された安全な社内ネットワークと、管理されておらず安全ではないインターネットとを分ける仮想的な境界線です。オフィス内のすべてのコンピューターとこれに接続されたプリンターなどのデバイスは、この境界線の内側にありますが、世界各地のデータセンター内のリモートサーバーは内側にはありません。
IAMはたいていの場合、ユーザーが組織のクラウドインフラストラクチャに到達するにはそこを通過しなければならない、クラウドサービスです。組織の施設内の社内ネットワーク上にデプロイすることもできます。そして最後に、ベンダーの他のサービスにIAMをバンドルしているパブリッククラウドベンダーもあります。
マルチクラウドまたはハイブリッドクラウドアーキテクチャを使用している企業では、IAM用に別のベンダーを使用している場合があります。IAMを他のパブリックまたはプライベートクラウドサービスから切り離すことで、柔軟性が高まります。つまり、クラウドベンダーを切り替えてもIDを維持したままデータベースにアクセスすることができるということです。
IDプロバイダー(IdP)は、IDの管理に役立つ製品またはサービスです。IdPの多くは実際のログインプロセスの処理も担っています。シングルサインオン(SSO)プロバイダーは、このカテゴリーに入ります。IdPはIAMのフレームワークの一部になり得ますが、ユーザーアクセスの管理はサポートしません。
Identity-as-a-Service(IDaaS)は、IDを検証するクラウドサービスです。これはクラウドベンダーが提供するSaaSサービスで、ID管理を部分的に外注する方法です。IDaaSとIdPは本質的に同義である場合もありますが、IDaaSベンダーがIDの検証と管理に加えて別の機能を提供している場合もあります。IDaaSベンダーが提供する能力によって、IDaaSはIAMのフレームワークの一部となるか、もしくはIAMのシステム全体となります。
Zero Trustセキュリティとは、プライベートネットワーク上のリソースに接続するすべてのユーザーとデバイスについて、ユーザーやデバイスがネットワーク境界の内外にいるかにかかわらず、厳密に身元を確認するモデルです。Zero Trustは、IDチェックとアクセス制限に依存するため、IAMと密接に関係しています。
Zero Trustは、上記のID要素を1つだけでなく、2つまたは3つチェックする多要素認証(MFA)方式を採用しています。また、アクセス制御のために最小権限の原則を実装する必要があります。最も重要なことは、一旦身元が確認されたとしても、Zero Trustはその人の行動を自動的に信用するわけではありません。その代わり、すべてのリクエストを監視し、危険な行為がないか個別に検査します。Zero Trustに関する詳しい内容はこちらをご覧ください。
Cloudflare Accessは、Cloudflareにホストされているドメイン、アプリケーション、パスへのユーザーのアクセスを監視できるIDとアクセス管理(IAM)製品です。SSOプロバイダーと統合することで、管理者はユーザー権限の変更やカスタマイズを行うことができます。Cloudflare Accessは、オンプレミスで働く社員とリモートワーカーの両方がセキュリティポリシーを実施できるようにします。
Cloudflareは任意のクラウドインフラストラクチャのセットアップの正面にデプロイすることができ、IAMプロバイダーを含むマルチクラウドやハイブリッドクラウドの展開を利用している企業により多くの柔軟性を提供します。