この記事では、リソースを効果的にセキュリティで保護するために役立つ ID とアクセス管理 (IAM) の基本的な概念について説明します。
ID とアクセス管理とは
ID とアクセス管理により、適切なユーザー、マシン、ソフトウェア コンポーネントが適切なリソースに適切なタイミングでアクセスできるようになります。 まず、ユーザー、マシン、またはソフトウェア コンポーネントは、自分が主張している本人または本物であることを証明します。 その後、ユーザー、コンピューター、またはソフトウェア コンポーネントは、特定のリソースへのアクセスを許可または拒否されます。
IAM の機能
IAM システムには、通常、次のコア機能が用意されています。
- ID 管理: ID 情報を作成、格納、および管理するプロセス。 ID プロバイダー (IdP) は、ユーザー ID の追跡と管理に使用されるソフトウェア ソリューション、およびそれらの ID に関連付けられているアクセス許可とアクセス レベルです。
- ID フェデレーション: 他の場所 (エンタープライズ ネットワーク内、インターネットまたはソーシャル ID プロバイダーなど) に既にパスワードを持っているユーザーがシステムにアクセスできるようにします。
- ユーザーのプロビジョニングとプロビジョニング解除: どのユーザーがどのリソースにアクセスできるかを指定したり、アクセス許可とアクセス レベルを割り当てたりするなど、ユーザー アカウントを作成および管理します。
- ユーザーの認証: ユーザー、コンピューター、またはソフトウェア コンポーネントが誰であるか、何であるかを確認します。
- ユーザーの承認: 権限のあるツールへのアクセスの正確なレベルと種類がユーザーに付与されていることを確認します。
- アクセス制御: どのリソースにアクセスできるかを決定するプロセス。 このプロセスには、ユーザー ロールとアクセス許可の定義と、認証と承認のメカニズムの設定が含まれます。 アクセス制御は、システムとデータへのアクセスを規制します。
- レポートと監視: コンプライアンスを確保し、セキュリティ リスクを評価するためのプラットフォーム アクション (サインイン時間、アクセスされたシステム、認証の種類など) に関するレポートを生成します。
ID
デジタル ID は、システム内の個人、ソフトウェア コンポーネント、コンピューター、資産、またはリソースを表す一意の識別子または属性のコレクションです。 識別子には次の値を使用できます。
- メール アドレス
- サインイン資格情報 (ユーザー名/パスワード)
- 銀行口座番号
- 政府発行の ID
- MAC アドレスまたは IP アドレス
ID は、リソースへのアクセスの認証と承認、通信の有効化、トランザクションの容易化、およびその他の目的への対応に使用されます。
ID は、次の 3 種類に分類されます。
- 人間の ID は、従業員 (社内および現場担当者) や外部ユーザー (顧客、コンサルタント、ベンダー、パートナー) を含むユーザーを表します。
- ワークロード ID は、アプリケーション、サービス、スクリプト、コンテナーなどのソフトウェア ワークロードを表します。
- デバイス ID は 、デスクトップ コンピューター、携帯電話、IoT センサー、IoT マネージド デバイスなどのデバイスを表します。 人間の ID とは異なります。
認証
認証では、ユーザー、ソフトウェア コンポーネント、またはハードウェア デバイスに対して、自分の身元を確認したり、誰であるか、何を主張しているのかを証明したりするために、資格情報を要求します。 認証には通常、ユーザー名とパスワード、指紋、証明書、ワンタイム パスコードなどの資格情報が必要です。 認証は AuthN と短縮される場合があります。
多要素認証 (MFA) は、ユーザーが自分の ID を確認するために複数の証拠を提供する必要があるセキュリティ対策です。 たとえば、次のようになります。
- パスワードなど、ユーザーが知っているもの。
- バッジのように、彼らが持っているもの。
- 生体認証 (指紋や顔) など。
シングル サインオン (SSO) を使用すると、ユーザーは ID を 1 回認証し、後で同じ ID に依存するさまざまなリソースにアクセスするときにサイレント認証を行うことができます。 認証後、IAM システムは、ユーザーが使用できる他のリソースの ID 信頼のソースとして機能します。 複数の個別のターゲット システムにサインオンする必要がなくなります。
承認
承認により、ユーザー、コンピューター、またはソフトウェア コンポーネントに特定のリソースへのアクセス権が付与されていることが検証されます。 承認は AuthZ と短縮される場合があります。
認証と承認
認証と承認という用語は、多くの場合、ユーザーが単一のエクスペリエンスのように見えるため、同じ意味で使用されることがあります。 実際には、次の 2 つの個別のプロセスです。
- 認証は、ユーザー、マシン、またはソフトウェア コンポーネントの ID を証明します。
- 認可は、ユーザー、マシン、またはソフトウェア コンポーネントの特定のリソースへのアクセスを許可または拒否します。
認証と承認の概要を次に示します。
| 認証 | 承認 |
|---|---|
| 有効な資格情報を提供するエンティティのみにアクセスを許可するゲートキーパーと考えることができます。 | 適切なクリアランスを持つエンティティのみが特定の領域に入るようにするガードと考えることができます。 |
| ユーザー、コンピューター、またはソフトウェアが主張している本人または本物であることを確認します。 | ユーザー、コンピューター、またはソフトウェアが特定のリソースへのアクセスを許可されるかどうかを判断します。 |
| ユーザー、コンピューター、またはソフトウェアに検証可能な資格情報 (パスワード、生体認証識別子、証明書など) を要求します。 | ユーザー、コンピューター、またはソフトウェアが持つアクセス権のレベルを決定します。 |
| 承認の前に行われます。 | 承認が成功した後に行われます。 |
| 情報は ID トークンで転送されます。 | 情報はアクセス トークンで転送されます。 |
| 多くの場合、OpenID Connect (OIDC) プロトコル (OAuth 2.0 プロトコル上に構築) または SAML プロトコルを使用します。 | 多くの場合、OAuth 2.0 プロトコルを使用します。 |
詳細については、「認証と承認」を参照してください。
例
ホテルに宿泊しようとしているとします。 認証と承認は、ホテルの建物のセキュリティ システムと考えることができます。 ユーザーはホテルに滞在する人々であり、リソースはユーザーが使用する部屋またはエリアです。 ホテル スタッフは別のタイプのユーザーです。
ホテルに宿泊する場合は、まずフロントへ行って「認証プロセス」を開始します。身分証明書とクレジットカードを提示すると、受付がオンライン予約と照合します。 受付係が自分が誰であるかを確認した後、受付は割り当てられている部屋へのアクセス許可を付与します。 あなたはカードキーを受け取り、部屋に行くことができるようになります。
ホテルの客室やその他のエリアへのドアには、カードキー センサーが備えられています。 センサーの前でキーカードをスワイプすることは、"承認プロセス" です。キーカードを使用すると、ホテルの部屋やホテルのエクササイズルームなど、アクセスが許可されている部屋へのドアのみを開くことができます。 カードキーをスワイプしてホテルの他の客室に入ろうとした場合、アクセスは拒否されます。
演習室や特定のゲスト ルームへのアクセスなど、個々の アクセス許可は ロールに収集され、個々のユーザーに付与できます。 ホテルに滞在している間は、ホテルの常連客のロールが付与されます。 ホテルのルーム サービスのスタッフには、ホテルのルーム サービスのロールが付与されます。 このロールにより、すべてのホテルの客室 (ただし、午前 11 時から午後 4 時までの間のみ)、ランドリー ルーム、各フロアの備品保管庫にアクセスできます。
ID プロバイダー
ID プロバイダーは、ID 情報を作成、管理します。 認証、承認、監査サービスを提供します。
先進認証では、認証サービスを含むすべてのサービスが中央 ID プロバイダーによって提供されます。 ID プロバイダーは、サーバーでユーザーを認証するために使用される情報を一元的に格納および管理します。
中央 ID プロバイダーを使用すると、組織は認証ポリシーと承認ポリシーを確立し、ユーザーの動作を監視し、疑わしいアクティビティを特定し、悪意のある攻撃を減らすことができます。
Microsoft Entra は、クラウドベース ID プロバイダーの一例です。 その他の例としては、X、Google、Amazon、LinkedIn、GitHub があります。
次のステップ
- シングル サインオン (SSO) について説明します。
- 多要素認証 (MFA) について確認する。