デジタルアイデンティティとは?

デジタルアイデンティティとは、コンピュータが外部のユーザーやシステムの記録を保存する方法です。これは認証と密接な関係があります。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • コンピューティングの文脈におけるアイデンティティを定義する
  • アイデンティティを確認するための3つの主要な認証要素を理解する
  • IDおよびアクセス管理(IAM)について説明する

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

デジタルアイデンティティとは?

アクセス管理におけるデジタルアイデンティティとは、コンピュータが外部エンティティを識別するために記録された測定可能な特性のセットのことです。エンティティ(主体)には、人、組織、ソフトウェアプログラム、または別のコンピュータなどがそれにあたります。

デジタルアイデンティティは、コンピュータで識別可能な属性に依存します。たとえば、パスワードを知っていたり、特定の周波数で声が共振しているなどのことから、コンピュータは人物を識別することができます。コンピュータは、IP アドレスまたはメディアアクセスコントロール(MAC)アドレスによって他のコンピュータを識別することもできます。

二人の同僚、ジムとシャロンは、お互いを目視で認識することができるかもしれません。しかし、コンピュータは「ジム」が誰であるか、「シャロン」が誰であるかを知りません。代わりにコンピュータは、ジムとシャロンについて、名前、身元に関する一連の事実、および一連の特権を含む、個別のユーザープロファイルを保存します。そして、正しいパスワードを入力したかどうかなど、何らかの測定可能な方法で、彼らが誰であるかをチェックする必要があります。(ジムがシャロンのユーザー名とパスワードを知っていれば、シャロンになりすますことができます)。

なお、「デジタルアイデンティティ」という用語は、政府発行の個人IDに相当するコンピュータ化されたものを指すこともあります。これらは「デジタルID」と呼ばれることもあります。ただし、この記事では、アクセス管理システムの文脈におけるデジタルアイデンティティに焦点を当ています。

デジタルアイデンティティは誰が持っているのか?

現在、コンピュータを使用したりインターネットにアクセスしたりするほとんどすべての人は、何らかの形でデジタルアイデンティティを保有しています。これは、メールアドレスとパスワードの組み合わせであったり、インターネット閲覧の履歴であったり、オンラインストアで保存されたショッピング履歴やクレジットカード情報であったり、 IDおよびアクセス管理(IAM) システムに保存されている識別特性などの場合があります。

コンピュータおよびコンピューティングデバイスにも、ある種のアイデンティティがあります。ネットワークシステムとプロトコルは、これらのデバイスを識別するためにいくつかの異なる方法を使用します。例えば、多くのシステムは、この目的のためにIPアドレスまたはMACアドレスを使用します。また、組織には、外部システムが認識してやりとりできるようにするための特性が保存されています。APIエンドポイント*でさえ、デジタルアイデンティティを持つと言えます。適切に保護されたAPIに対しては、エンドポイントはAPI呼び出しを送受信するために、自分が誰であるかを証明する必要があります。

*APIとは、あるソフトウェアプログラムが他のソフトウェアプログラムにサービスを要求するための方法です。APIエンドポイントは、ソフトウェアプログラムまたはAPIサーバーのように、そのような要求が開始または受信されるポイントです。

アイデンティティとアクセス制御の関係は?

アクセス制御では、ユーザーがどのデータを閲覧、変更、複製できるかを定義します。経理担当であるシャロンは、自分の会社の帳簿と給与システムへのアクセスすることができます。しかし、営業担当であるジムは、顧客データベースと他のいくつかのシステムにアクセスする必要があるだけで、帳簿や給与システムにアクセスするべきではありません。雇用主はアクセス制御を使用して、1) シャロンとジムを識別し、2) シャロンが給与システムにアクセスでき、ジムがアクセスできないようにします。

この例で見られるように、アイデンティティはアクセス権を決定する要素の一部です。この場合、シャロンとジムのアイデンティティは、特定のロールに関連付けられます。アクセス権を適切に制御するには、ユーザーが誰で、その役割が何であるかを把握する必要があります。認証はアクセス制御の重要な要素の一部です。

認証とは何ですか?

認証は、同一性を確認するプロセスです。アクセス制御システムは、ユーザーまたはデバイスの1つまたは複数の特性をチェックして、それらを認証します。

認証で評価できる主な特性または「要素」には次の3つのものがあります。

  1. 知識:この認証要素はユーザーが知っていること、たとえば、パスワードの入力や秘密の質問(「あなたのお母さんの旧姓は?」など)に答えるものです。銀行や信用調査機関などの一部のサービスでは、顧客の身元を確認するために、郵送先住所や政府識別番号などの追加の個人情報の提供を求めることもあります。
  2. 所持:この認証要素はユーザーの所有物、言い換えれば、ユーザーに割り当てられた物理的または電子的なトークンを所持しているかどうかを確認するものです。例えば、システムがユーザーのスマートフォンに認証コードを送信してユーザーがそのスマートフォンを所有しているかどうかを確認したり、USBポートにハードウェアトークンを差し込むよう求めたりすることがあります。
  3. 固有特性:この認証要素はユーザーが誰であるかを、ユーザが生まれながらに持っている特性で確認するものです。例としては、網膜スキャン、顔認識、音声認識などがあります。

多くの場合、これらの要素のいくつかが多要素認証(MFA) のように一緒に評価されます。

認証と承認の対比

認証は、各ユーザーがどのような権限を持つかに関係する承認とは異なります。しかし、どちらも少なくとも部分的にはデジタルアイデンティティに依存しています。一般的に、そのユーザーが誰であるかによって、どのような行動が許可されているかが決まります。たとえば、企業の最高経営責任者(CEO)であれば、職位が下の社員よりも多くのデータへのアクセス権が与えられている可能性が高くなります。 承認と認証について、詳しくはこちらをご覧ください。

ユーザーのデジタルアイデンティティがプライバシーに与える影響とは?

デジタルアイデンティティは多くの場合、個人情報(たとえば、メールアドレス、(顔認識などの)顔の記録、または生活に関する事実(秘密の質問への回答)を保存して検証に使用します。これは、個人データが漏えいしたり、権限のないユーザーがデータを閲覧したり、ユーザーが自分の個人データがどのように使用されているかを認識していない場合、 データプライバシーの問題になる可能性があります。

IDとアクセス管理(IAM)とは?

IDおよびアクセス管理(IAM)には、デジタルアイデンティティや各アイデンティティに関連付けられた特権を管理・追跡するために連携する数多くのテクノロジーが含まれています。デジタルアイデンティティはIAMの基礎であり、ユーザーが誰であるかを知る何らかの方法がなければ、組織はユーザーへ特権を割り当てたり制限することができなくなります。

IAMは、データ損失、サイバー攻撃、その他の脅威を防ぐために非常に重要です。強力な認証は、攻撃者が正規のユーザーになりすますことができないようにします。また、ユーザーアカウントが侵害された場合でも、攻撃者がアクセスできるのは一部のデータだけであり、組織内のすべてのシステムではないため、適切に設定された認証により潜在的な被害は限定されます。

Cloudflare Zero Trustは、組織が脅威を防ぐためにアイデンティティ認識型のZero Trustのアプローチを取ることを可能にするセキュリティプラットフォームです。さまざまなシングルサインオン(SSO)ソリューションと連携し、アプリケーションへのアクセスを許可する前にユーザーの同一性を確認することができます。 Cloudflare Zero Trustについて、詳しくはこちらをご覧ください。