Identity and Access Management:概要とこれが重要である理由
Identity and Access Management(IAM)のベストプラクティスを導入することは、ランサムウェアなどのサイバー脅威に対するプロアクティブな防御において重要な要素であり、これによって、企業のファイルやデータにアクセスできるユーザーを迅速かつ効果的に制御および制限できるようになります。Identity and Access Managementは、ユーザーID、コンピューター、モノのインターネット(IoT)、およびデータ、情報、システムへのアクセスを希望する、またはアクセスする必要があるその他のデバイスの検証に重点を置いています。検証が完了すると、IAMはユーザー(またはデバイス)がタスクを実行するために必要なリソースへのアクセスのみを許可し、承認されていない要求や認識されない要求を拒否します。また、IAMはGDPRやHIPPAなどの基準の規制コンプライアンスにも役立ち、デジタル変革の取り組みにおける重要な要素となる可能性があります。
IAMは、リモートワーク、マルチクラウド環境、IoTデバイス、個人所有の機器の持ち込み(BYOD)の増加に伴い、これらすべての環境へのアクセスを一元化し、作業を安全かつシンプルに保てるように支援できます。
Identity and Access Managementと組織のセキュリティ態勢の基盤となるのは、ゼロトラストです。これは、オンプレミス、クラウド、ハイブリッドのいずれにおいても、絶対的な信頼という従来の考え方に疑問を投げかけることで、デバイス、アプリ、データを保護するアプローチです。ゼロトラストは、デジタル環境の内側と外側すべてが安全であると仮定するのではなく、「決して信頼せず、常に検証する」という3つの主な原則に基づいて運用されています。
侵害を想定する。この原則は、ネットワークがすでに侵害されている、またはいつでも侵害される可能性があると想定することから始まり、組織がプロアクティブなセキュリティ対策に移行することを奨励します。
明示的に検証する。リソースへのアクセスを許可する前に、ユーザーとデバイスは、従来のユーザー名とパスワードの組み合わせ以外の方法でIDを証明する必要があります。これには多くの場合、マルチファクター認証やその他の高度な手段が含まれます。
最小特権アクセスを適用する。ユーザーやシステムにタスクを実行するための最低限のアクセス権のみを付与して、侵害が発生した場合の潜在的な損害を軽減します。
IAMの主なコンポーネント
Identity and Access Managementの4つの柱は次のとおりです:認証、承認、管理、および監査。
認証:ログイン時に一意の識別子とログイン情報の入力をユーザーに要求し、ユーザーが本人であることを確認します。
承認:適切なユーザーが適切なリソースに適切なタイミングでアクセスできるようにします。
管理:管理ポリシーを設定し、ユーザーグループ、ロール、および権限を管理します。
監査:ユーザーの行動を監視し、アクセス権限の使用方法やアクセスするデータ、ファイル、システムなどのユーザーアクティビティをログに記録します。これにより、管理者はユーザーの役割とポリシーを決定し、規制コンプライアンスをサポートし、不正なアクティビティが検出された際にセキュリティアラートを作成できます。
IAMのベストプラクティス
デジタル環境が急速に成長する中、組織は従業員の生産性にいつでもどこでもに焦点を当てるだけでなく、リスクを最小限に抑え、ビジネスの成長に合わせて確実にセキュリティと保護を維持できる方法を継続的に模索しています。これまで以上に、IAMに対するより効果的なアプローチを考案する必要性が高まっています。長くて複雑なパスワードを要求し、頻繁に変更するだけでは、もはや十分ではありません。堅牢なIAMポリシーは、組織のセキュリティ態勢を強化し、サイバーセキュリティインシデントや攻撃から保護する上で重要な要素となっています。
IDのベストプラクティス
ここでは、悪意ある活動に対して非常に高いレベルの保護を提供し、Identity and Access Managementアプローチの改善に役立つIDのベストプラクティスをいくつか紹介します。
パスワードレス:知識、所持、生まれつき備わっている要素など、他の認証方法を使用します。知識ではユーザー固有の質問を通じてIDを証明しますが、キーフォブやスマートカードなどの物理的なアイテムは、所持することによってユーザーを認証でき、網膜や指紋などのスキャン可能な生物学的特性は、生まれつき備わっている要素として機能します。
パスキー:パスワードレス認証の一種として、パスキーは、Webサイトやアプリケーションの認証方法として使用されるデジタルログイン情報として機能します。これらは通常、デバイスに保存され、生体認証または画面ロックと一緒に動作します。
MFA:マルチファクター認証(MFA)には、2つ以上のID確認用のログイン情報が必要です。最も単純な形式では、このプロセスでは、パスワードに加えてワンタイムパスワードまたはパスキーが必要です。
SSO:シングルサインオン(SSO)は、ユーザーが1つのログイン情報セットだけで複数のアプリケーションにアクセスできるようにするサードパーティサービスです。ログイン情報は、ID連携と呼ばれる信頼できるサードパーティによって保護されています。これにより、認証とログインのプロセスが簡素化されます。
SSPR:セルフサービスパスワードリセット(SSPR)を使用すると、パスワードを忘れたユーザーは、ヘルプデスクに問い合わせることなく、自分でパスワードをリセットできます。SSPRは、通常、別の形式の認証を使用してパスワードのリセットを可能にするため、より安全です(ハードウェアトークン、生体認証サンプル、通知メールなど)。
アクセス管理のベストプラクティス
以下は、企業およびクラウドベースのコンピューターシステムでユーザーアクセス権限を判別するために使用される手法です。アクセス管理は、ID検証に続く別の機能です。これらのベストプラクティスには、次のものが含まれます。
条件付きアクセス:ユーザーやグループ、ネットワークの場所、アプリ、デバイスなど、データや情報の種類へのアクセスを管理します。アクセスがブロックアクセス、必須MFA、準拠デバイス、強制パスワード変更などの方法で認証された後に実施されます。このプロセスでは、意思決定を行い、組織のポリシーを適用するために、IDに基づくさまざまなシグナルが1つにまとめられます。たとえば、従業員がMicrosoft 365と社内のSharePoint上の情報にアクセスする場合、目的のアプリと情報にアクセスするには、VPNを介して接続し、MFAを使用して認証する必要があります。
RBAC:ロールベースのアクセス制御(RBAC)は、組織内の個人のロールを使用して、企業のシステムや情報へのアクセスレベルを決定します。これにより、従業員が業務を遂行するために必要なレベルの情報へのアクセスが制限されます。RBACは、ユーザーが企業の販促物やデータに対するデータの読み取り、書き込み、または変更権限を持っているかどうかも判断します。
最小特権アクセス:最小特権という概念では、ユーザーのアクセスを、作業を完了するために必要なデータ、情報、およびシステムのみに制限します。このプロセスでは、作業が区分化され、ユーザーの境界を縦方向または横方向に設定することができます。
権限管理:これは、サードパーティのサービスによって、異なるプラットフォームやクラウド全体に権限と可視性を拡張する場合です。権限管理を使用すると、異常を識別し、アクセスポリシーを適用し、権限の変更を時系列に沿って特定できます。
堅牢なIAM戦略
外部と内部の悪質な脅威から組織を保護するには、堅牢なIAM戦略が不可欠です。この保護は、従業員とデバイスの役割を明確に定義し、誰が何にアクセスできるかに制限を設けることによって実現されます。これにより、適切なユーザーやデバイスが適切な情報に適切なタイミングでアクセスできるようになります。
最適なIAM戦略の選択
IAMを検討している場合、すでにいくつかのアプリケーションがクラウドにある可能性があります。重要なステップは、クラウドまたはハイブリッドクラウドセキュリティとコンプライアンスのニーズを明確にすることです。これは、特定の環境に最適な認証および識別管理システムを決定するのに役立ちます。考慮すべきもう1つの要素はスケーラビリティです。つまり、IAMが貴社と共に成長し、どのような形であれ貴社の環境の進化に合わせて稼動できるかどうかです。また、現在のシステムにIAM戦略を効果的に統合できるかどうかも検討する必要があります。
IAMのメリット
堅牢なIAM戦略を立てることのメリットとしては、以下が挙げられます。
データセキュリティの強化:ランサムウェアなどの悪質な攻撃や不正な操作から、データの保護が強化されます。ユーザーロールのセグメンテーションは、ユーザーがアクセスできる企業データの範囲を制限することを意味しており、これによってサイバー犯罪者による情報の窃取がより困難になります。
コンプライアンスの向上:堅牢なIAMポリシーを設定すると、コンプライアンスとデータの安全性要件をより容易に満たすことができます。
合理化されたユーザー管理:IAMシステムは、ワークロードを合理化および削減し、アクセス管理を簡素化します。
コスト削減と効率:セルフサービスパスワードリセット機能などのソリューションによってコールセンターのワークロードが軽減し、SSOポリシーによって従業員の効率も向上します。
課題と避けるべき落とし穴
以下の課題や落とし穴を事前に認識しておくことで、時間を大幅に短縮し、懸念事項を減らすことができます。
過度に複雑なポリシー:ユーザーロールが多すぎたり、複数のポリシーが競合したりするなど、過度に複雑なIAM戦略は避けてください。
セキュリティとユーザビリティのバランス:セキュリティのニーズと、ユーザーロールを不必要に制限することとのバランスを取ることが重要です。効率の低下も従業員の不満も引き起こしたくはないかと思います。
不十分なユーザートレーニング:IAMポリシーはこれまでの慣行から大きく逸脱する可能性があるため、新しいプロセスやシステムについてユーザーと管理者を徹底的にトレーニングすることが不可欠です。
定期的な更新の不履行:ポリシーを定期的に確認および更新して、システムと組織の変更を反映します。
パスワードを忘れた場合の対処方法:ログイン情報を紛失すると、効率が低下し、ユーザーに不満が生じます。紛失したまたは忘れたログイン情報をユーザーが自己管理できる半自動ソリューションを導入すると良いでしょう。
特権アクセスの管理:特権ユーザーアクセスの管理が不十分な場合、サイバー犯罪者が悪用するための抜け穴ができてしまう可能性があります。特権アカウントのアクティビティを継続的に監視することで、このリスクを軽減します。
従業員の離職処理:離職した従業員がシステムにアクセスできる権限を速やかに削除するシステムを導入しないと、従業員によってデータが盗まれてしまうリスクが生じ、攻撃者がログイン情報を盗む機会を作り出すことになります。
IAMとランサムウェア対策
IAMは、ランサムウェアなどのマルウェア攻撃につながる侵害を防ぐ上で重要な要素です。『2023 Thalesデータ脅威レポート』では、回答者が経験したランサムウェア攻撃の55%は人為的ミスによるものであったことが指摘されています。調査対象者のかなりの割合が、このようなサイバー攻撃に対する最善の防御策は効果的なIAMレイヤーであると回答しています。
堅牢なID管理手法を使用する強力なIAMポリシーを適用すれば、サイバー犯罪者が企業のログイン情報を盗んで悪用することははるかに困難になります。さらなる保護手順として、有効期間が限られている一時的なログイン情報を使用してください。これは、ハッカーが誰かのログイン情報を盗んだとしても、それらを悪用する時間があまりないことを意味します。
また、一貫性のある包括的なインシデント対応計画を策定し、IAMポリシーを活用して、侵害が発生したらすぐに検知して迅速に対応することも非常に重要です。Identity Defined Security Allianceの『2022 Trends in Digital Identities』レポートによると、調査対象となった500社のうち84%が、1年間に少なくとも1回はID関連の侵害を経験しています。Veeam Backup & Replicationのような堅牢なバックアップと復元ソリューションを導入する効果的な計画を策定しておくと、ランサムウェア攻撃の検知と復旧がはるかに容易になります。
コンプライアンスと規制に関する考慮事項
IAMは、データのコンプライアンスと規制要件を満たす上での重要な要素でもあります。たとえば、米国、カナダ、欧州連合の領土内で作業する場合やこれらの国々と協働で作業する場合には、遵守しなければならないデータレジデンシー、データアクセス、およびデータ保持に関する多くの法律があります。これらの法律や規制には次のようなものがあります。
GDPR:EUの包括的なデータ保護権利
サーベンスオクスリー法(SOX):米国内の株式公開会社が対象
HIPAA(ヒパア):米国内の健康情報について
FERPA:米国における学生データの保護が対象
CCPA:EU GDPRと類似するカリフォルニア州の要件が対象
PIPEDA:カナダ連邦データ保護要件
これらの規制は、機密情報の取り扱いに関する法的およびコンプライアンス基準を設定し、IAMは組織がこれらの規制を確実に遵守する上で極めて重要な役割を果たしています。
コンプライアンスと規制に関する考慮事項も重要です。なぜなら、これらすべては、ユーザーに自身のデータや個人情報をコントロールする力を与えてくれるからです。ユーザーは自分のデータが安全であることを知りたいと思っているため、貴社がこれらのガイドラインに忠実に従うことで、貴社に対するユーザーの信頼感は強まります。IAMは、企業、顧客、または患者のデータにアクセスできるユーザーをより厳密に制御するために使用できることから、規制コンプライアンスを向上させる1つの方法となっています。これにより、データの漏洩や侵害が減り、会社の評判が高まり、組織がこれらの法律や規制に準拠できるようになります。
あらゆる場合において、承認と監査を管理する堅牢なIAMソリューションは、規制コンプライアンスの徹底に大いに役立ちます。厳格なIAMポリシーは、さまざまな管轄区域や国々で事業を運営する組織が、データセキュリティ、バックアップ、長期データ保持ポリシーなどのさまざまなプライバシー要件とデータアクセス要件を適用するのに役立ちます。
IAMの現状と今後のトレンド
現状
現在のトレンドは、企業のセキュリティ強化を目的としたいくつかの戦術に焦点を当てています。現在のトレンドとしては、次のものが挙げられます。
パスワードなし:ハッカーは、文字、数字、英字を組み合わせた長いパスワードであっても、簡単に破ることができます。さらに実際のところ、ユーザーは破られやすい単語ベースのパスワードを使用することがよくあります。
MFAの有効化:MFAは、だましたり、盗んだり、ハッキングしたりするのが困難なセキュリティレイヤーを追加します。
ゼロトラスト戦略の導入:ゼロトラストの考え方では、すべてのネットワークトラフィックが侵害される(またはその可能性がある)ことを前提とします。侵害に対処するために、ゼロトラストではユーザーとそのデバイスの両方について認証を求め、タスクに必要なリソースのみにアクセスを制限します。ゼロトラストには、侵害の発生を想定することに加えて、ログインのたびに誰がどのデータにアクセスしているかを明示的に検証し、アクセスレベルを定期的に評価して、最小特権アクセスを適用することも含まれます。
今後
データセキュリティは、動く的のようなものです。サイバー専門家は、サイバーセキュリティの脅威に対処するための新しいより良い方法を常に開発していますが、ハッカーは防御を突破する新しい方法を見つけ続けます。サイバー攻撃の件数は、今後も増え続けるでしょう。これについては、Veeamの『2023ランサムウェアトレンドレポート』で強調された洞察により指摘されています。実際に、このレポートでは、76%の組織が少なくとも1回は攻撃を受けたと報告した2022年に比べて、ランサムウェア攻撃は12%以上増加したことが明らかになりました。このレポートでは、人為的ミスやその他の形態のマルウェアによって発生するデータ侵害は考慮されていません。
このことは、IAM戦略を改善し続ける必要があることを意味します。脅威の状況は、私たちと同じか、もしかしたら私たち以上のスピードで進化しているため、常に前を見据え、絶えず改善する方法を模索することが重要です。
注目を集めているソリューションの1つは、機械学習と人工知能を使用して脅威検出を改善し、リアルタイムの洞察を提供することです。AIと機械学習の使用に軸足を移すことで、検出速度が向上し、ITスタッフは他のタスクに時間を割くことができます。組織のサイバーセキュリティを最先端に保つ他の方法は、ゼロトラストセキュリティモデルを導入し、生体認証の進歩に注目することです。
もう一つの今後のトレンドは、ユーザーリスクプロファイルを認証プロセスに組み込み、さまざまなブロックチェーン方式を使用して、分散型ID管理システムを保護することです。IAMは、企業のIoTリソースへのユーザーアクセスの制御にも使用できます。
まとめ
強力なIAMは、真の統合型データセキュリティソリューションへの第一歩です。好むと好まざるとにかかわらず、侵害は日常茶飯事になりつつあり、攻撃を受けてからサイバーセキュリティについて考え始めるのは避けたいものです。IAMポリシーとゼロトラスト原則の導入は、セキュリティ態勢を強化し、最も一般的な形態のサイバー攻撃から保護するための基盤であり、最も機密性の高いデータを分離し、特権アクセスを必要とし、ランサムウェアから保護します。さらに、イミュータブルバックアップとプロアクティブな監視を備えた安全なバックアッププラットフォームも組み合わせることで、侵害に対処し、攻撃を受けた後も復旧できる準備が整います。