アイデンティティ管理
アイデンティティ管理とは
アイデンティティ管理とは、ネットワークエンティティのアイデンティティと、エンタープライズネットワークのリソースへのアクセスレベルを確認する方法を指しており、ITシステム、ネットワーク、およびデータのセキュリティ保持に役立ちます。
アイデンティティ管理の目的
アイデンティティ管理 (ID管理やIDMとも呼ばれる) の主な目的は、個人かデバイスかを問わず、認証されたユーザーだけが、許可を受けた特定のアプリケーション、コンポーネント、およびシステムにアクセスできるようにすることです。ITのセキュリティはアクセス制御と密接に関連しているため、アイデンティティ管理は、ITセキュリティ全体にとって重要な要素となっています。
アイデンティティ管理の仕組み
アイデンティティ管理の主な機能は、各ネットワークエンティティにデジタルアイデンティティを割り当てることです。デジタルアイデンティティが設定されると、アイデンティティ管理システムでは、各ユーザーまたはデバイスのアクセスライフサイクルを通じて、そのアイデンティティを維持管理、変更、監視できるようになります。
アイデンティティ管理のメリット
適切なシステムが導入されていなければ、エンタープライズ ネットワークを通じて多くのエンティティのアイデンティティ情報を追跡することは困難です。特定のエンティティだけが特定のアプリケーションとデータにアクセスできると認識することで、組織内のセキュリティと運用を強化できます。アイデンティティ管理は、企業のファイアウォールの内側か外側かを問わず、発生したサイバー脅威を最前線で防御します。
アイデンティティ管理システムでは、管理者が、新入社員の受け入れや新規デバイスのネットワークへの追加、役割に応じた適切なシステムおよびアプリケーションへのアクセス権付与など、ユーザーアカウントに関連するさまざまなタスクを自動化できます。それにより、企業リソースへのアクセスを求める新規ユーザーの価値実現時間が短縮され、そのプロセスを数日から数分程度にまで短縮できます。
多くの従業員は、業務に必要なリソースにアクセスするために、セキュアなパスワードをいくつも覚えて保持することができません。アイデンティティ管理は、通信プロセスとアクセス制御を効率化することで、ITセキュリティを強化するだけでなく、ユーザーエクスペリエンスも向上させます。アイデンティティ管理システムにより、従業員は場所を問わず、業務に必要なアプリケーションやデータに安全かつ簡便にアクセスできるようになり、高い生産性を維持できます。
アイデンティティ管理とアクセス管理との違い
アイデンティティ管理とアクセス管理という用語は、同じ意味で使われたり、一緒に使われたりすることも少なくありません。しかし、その2つの概念には明らかな違いがあります。
アイデンティティ管理は、ユーザー、ユーザーグループ、またはデバイスなどのリソースへのアクセスを求めるネットワークエンティティに関連する属性の管理に重点を置いています。また、パスワード、多要素認証 (MFA)、シングルサインオン (SSO)、生体認証などのさまざまなデジタルアイデンティティテクノロジーによってアイデンティティを保護する機能を果たしています。この機能は通常、アイデンティティ管理ソフトウェアアプリケーションおよびプラットフォームの導入によって実現されます。
アイデンティティ管理の重要な機能の1つに、組織のネットワークでアイデンティティを定義する属性に加えられた変更を追跡して管理することがあります。通常は、そうした変更が行えるのは、ネットワーク管理者、アプリケーションオーナー、人事担当者など、組織内のごく一部の人員に限られています。
一方、アクセス管理は、組織の既存のポリシーやガバナンスに基づいてユーザーまたはデバイスの属性を評価し、そうした属性に基づいてそのネットワークエンティティに特定のリソースへのアクセス権を付与すべきかどうかを見極めることに重点を置いています。アクセス権の決定では、イエスかノーを判断するだけです。
ネットワークエンティティがエンタープライズ ネットワーク上にあることを許可されているからといって、ネットワーク内のすべてのアプリケーションやデータセットに自動的にアクセスできるわけではありません。特定のリソースへのユーザーアクセスは、そのアイデンティティの属性 (役割、組織内でのレベル、所属グループなど) に基づいて許可されます。
アイデンティティ管理の主要な概念
アイデンティティ管理は、識別、認証、承認という3つの主要な概念で構成されています。
識別
エンタープライズ ネットワーク内のユーザー、デバイス、またはアプリケーションを、その属性に基づいて一意に識別する能力をいいます。その例として、ユーザー名、プロセスID、メールアドレス、従業員番号などがあります。 セキュリティシステムは、主体が客体にアクセスできるかどうかを判断するときに、このアイデンティティを利用します。
認証
認証は、ネットワークエンティティがその認証情報に基づいて主張するアイデンティティを検証するプロセスです。次の3つの要素を検証に利用できます。
1. 知識の要素 - パスワードやPINなど、ユーザーが認識している情報に基づくもの
2. オーナーシップの要素 - IDカード、スマートカード、セキュリティトークンなど、ユーザーが所持するアイテムに基づくもの
3. 固有の要素 - 指紋や生体認証など、ユーザーの属性に基づくもの
承認
承認とは、特定のエンティティや特定の種類のユーザー証明に対して、企業のポリシーやガバナンスに一致する方法でネットワークリソースへのアクセス権を付与するプロセスを指します。たとえば、ネットワーク上の共有ファイルを編集するユーザーパーミッションを付与するには承認が必要です。つまり、認証とはユーザーを確立することを指し、承認はユーザーが実行できることを確立します。セキュアなネットワーク環境を維持するために、承認の前に認証を行わなければなりません。
アイデンティティ管理とHPE
組織がサービスとしてのソフトウェア (SaaS) アプリケーションの利用を拡大し、マルチクラウド環境を導入して従業員のリモート化を促進するとともに、より多くのInternet of Things (IoT) デバイスをネットワークに接続するなかで、アイデンティティ管理の業務もより一層煩雑になりつつあります。ネットワークエコシステムにはさまざまな要素があり、オープンかつ柔軟なアイデンティティおよびアクセス制御基準に対応していないものもあります。今日のハイブリッド環境で企業が必要としているのは、エッジからクラウドまでを網羅し、共通のコントロールプレーンによってアイデンティティ、認証情報、デバイス、アプリケーションとアクセスを管理できる、最新の統合型アイデンティティ管理システムです。
Project Cosignoは、オープンソースプロジェクトのSPIFFEとSPIREが基盤となっており、サービスアイデンティティファブリックを提供して標準ベースのサービス認証レイヤーを構築することで、ハイブリッド環境におけるゼロトラスト セキュリティモデルをサポートします。HPE Ezmeralソフトウェアエコシステムのメンバーとして、組織がクラウド、コンテナ、オンプレミスインフラストラクチャなどのさまざまなプラットフォームで標準の暗号サービスアイデンティティを展開できるように支援します。
HPE Pointnext Servicesは、ハイブリッドIT運用向けにカスタマイズされた、将来のニーズにも対応できるアイデンティティ管理プラットフォームの設計と構築をサポートし、従業員の能力と生産性の向上に貢献します。お客様のチームやHPEのソリューションパートナーと緊密に連携しながら、既存環境の初期評価からロードマップの策定、ソリューションの実装までのあらゆる段階でお客様をサポートします。