IAM | Identity and Access Management | アイアム | アイエーエム

IAMとは何か

IAMは “Identity and Access Management” (IDとアクセス管理) の略語で、「正しい個人を、正しい理由で、正しいリソースに、正しい回数アクセスさせる」ための情報セキュリティならびビジネス上の管理運用体系である。IAMに似た語として ”IdM” (Identity Management)、また日本語で「ID管理」があるが、これらの語はほぼ区別されずに利用されているのが実情である。

ID (Identification) とは何か

IAMの文脈で用いられるID (Identity) は、コンピューター上で作成・管理される個人の属性情報の集合を指す。特に「企業内において、社内リソースにアクセスする権限のある個人情報、ならびにその個人情報管理」を指す場合が多い。

  • 企業内の個人であれば、以下のような属性を持っているのが一般的である。
  • 氏名
  • メールアドレス
  • 電話番号
  • 住所(オフィス住所)
  • 所属企業
  • 所属部署
  • 職位
  • 社員番号などのユニークな通し番号
  • アクセス可能なリソースの情報、など

IAMが指し示す範囲は何か

IAMという語が指し示す範囲は、次の4つに分類できる。

1.ID管理

上記に解説した「ID情報」を管理運用するのがID管理である。以下では、企業内におけるID管理を例に解説する。

(1)IDの作成
新入社員が入社した際に、本人の申告情報ならびに免許証やパスポートなど公的な証明書から取得した情報、または入社時に付与された情報を、社内の「人事マスター」データベースや、「Active Direcotry」などのディレクトリに登録する。

(2)IDの管理
登録した情報に変更が生じた場合に、情報の修正を行う。例えば、「部署異動」「電話番号の変更」「職位の変更」などである。

(3)IDの削除
従業員が退社した場合や、管理対象外に異動(例:日本法人から海外法人に異動)した場合にID情報を削除する。

2.アクセス管理

IDが作成されることによって付与されるアクセス権の管理を指す。例えば、営業部門に配属されると、「顧客データベース」「売上データベース」にアクセスでき、「CRM」と「SFA」を利用する権限が付与されるといったものである。このように、ID管理とアクセス管理は密接に絡み合っているため、ID管理とアクセス管理を一緒にした IAM という略語が用いられている。

また、アクセス管理にはアクセスログの管理も含まれる。新規のIDが作成され最初のアクセスが行われたタイミングから、IDが削除され以後アクセスが行われなくなるタイミングまで、アクセスは常に追跡され、アクセスログが生成、管理される。

なお、アクセス権管理が適切に行われない場合、既にアクセス権がない個人が、社内のリソースにアクセスしたり、業務システムを利用してしまう可能性があり、最悪の場合、情報漏えいやデータ破壊の可能性がある。よって、権限がなくなった時点で即座にアクセス権を削除する必要がある。なお、IDは残るがアクセス権がなくなる「異動」や「職位の変更」、ID自体とアクセス権の両方がなくなる「退社」もある。

3.サービス

IDを管理するためのシステム・サービスを指す。管理者のみが閲覧、操作可能なシステムもあれば、自身で情報の変更が可能なオンデマンド型のシステムなどもある。最近は特に、スマートフォンから企業内リソースへのアクセスを可能としている企業が増加しているため、パソコン以外の広範なデバイスを管理できるサービスの必要性が高まっている。

4.フェデレーション

互いに信頼関係を結んでいる別々のシステムが、共通のプロトコルを用いてID情報をやり取りすることで、もう一方のシステムに認証される仕組みを指す。最も有名な仕組みは、ディレクトリ同士のフェデレーション、特にActive Directory同士または他のディレクトリサービスとのフェデレーションである “ADFS (Active Directory Federation Services)“ である。

狭義の「フェデレーション」という言葉は、「ディレクトリ同士のフェデレーション」を指すのが一般的である。そして広義のフェデレーションという語は、SAML (Security Assertion Markup Language) を利用した複数サービスのID連携まで含む場合がある。

IAMのシステムにおける必要な要素は何か

認証

パスワード、SMSの文字列、物理デバイス、生体などの情報を利用し、システム・サービスへのアクセスを可能とする認証の仕組み(すなわちログイン認証の仕組み)

認可

システム・サービス内で、例えば「一般社員は物品購入の発注申請しかできないが、部長以上の役職者は一般社員の申請を承認できる」というように、別の権限ユーザーが処理を認可する仕組み

ロール

管理者権限、グループ管理者権限、ユーザー権限というように、特定のシステム・サービスについてどこまでの権限を有するかをロール (役割) として設定する仕組み

委任

一般ユーザーなどが、自身より強い権限を持つロールに、自身のIDの管理権限を委任する仕組み

インターチェンジ (交換)

2つの異なるID管理ドメイン (管理体系、ディレクトリなど) の間で、ID情報を交換するプロトコル、または仕組み

IAM から IDaaSへ

IAMの技術的な定義は以上に紹介した通りだが、一般的にIAMというと、クラウド登場以前のID管理ならびにID連携を指すことが多い。実際、インターネットに掲載されているIAM関連の情報の多くは、クラウドがまだ本格的に導入されていない2010年以前に作成されたものが多い。

企業が業務を遂行するにあたり、クラウドサービスを利用することが前提となっている現在では、クラウドを前提としていないIAMという語よりも、クラウドを前提としているIDaaSという語が用いられる場面が増加している(厳密には、IDaaSはIAMに内包されるサービスの一形態である)。クラウドの利用拡大が不可逆なものであることから、今後もIAMという語に比して、IDaaSという語の重要性が高くなると考えられる。

IAM | Identity and Access Management | アイアム | アイエーエム

IAMとは何か

IAMは “Identity and Access Management” (IDとアクセス管理) の略語で、「正しい個人を、正しい理由で、正しいリソースに、正しい回数アクセスさせる」ための情報セキュリティならびビジネス上の管理運用体系である。IAMに似た語として ”IdM” (Identity Management)、また日本語で「ID管理」があるが、これらの語はほぼ区別されずに利用されているのが実情である。

ID (Identification) とは何か

IAMの文脈で用いられるID (Identity) は、コンピューター上で作成・管理される個人の属性情報の集合を指す。特に「企業内において、社内リソースにアクセスする権限のある個人情報、ならびにその個人情報管理」を指す場合が多い。

  • 企業内の個人であれば、以下のような属性を持っているのが一般的である。
  • 氏名
  • メールアドレス
  • 電話番号
  • 住所(オフィス住所)
  • 所属企業
  • 所属部署
  • 職位
  • 社員番号などのユニークな通し番号
  • アクセス可能なリソースの情報、など

IAMが指し示す範囲は何か

IAMという語が指し示す範囲は、次の4つに分類できる。

1.ID管理

上記に解説した「ID情報」を管理運用するのがID管理である。以下では、企業内におけるID管理を例に解説する。

(1)IDの作成
新入社員が入社した際に、本人の申告情報ならびに免許証やパスポートなど公的な証明書から取得した情報、または入社時に付与された情報を、社内の「人事マスター」データベースや、「Active Direcotry」などのディレクトリに登録する。

(2)IDの管理
登録した情報に変更が生じた場合に、情報の修正を行う。例えば、「部署異動」「電話番号の変更」「職位の変更」などである。

(3)IDの削除
従業員が退社した場合や、管理対象外に異動(例:日本法人から海外法人に異動)した場合にID情報を削除する。

2.アクセス管理

IDが作成されることによって付与されるアクセス権の管理を指す。例えば、営業部門に配属されると、「顧客データベース」「売上データベース」にアクセスでき、「CRM」と「SFA」を利用する権限が付与されるといったものである。このように、ID管理とアクセス管理は密接に絡み合っているため、ID管理とアクセス管理を一緒にした IAM という略語が用いられている。

また、アクセス管理にはアクセスログの管理も含まれる。新規のIDが作成され最初のアクセスが行われたタイミングから、IDが削除され以後アクセスが行われなくなるタイミングまで、アクセスは常に追跡され、アクセスログが生成、管理される。

なお、アクセス権管理が適切に行われない場合、既にアクセス権がない個人が、社内のリソースにアクセスしたり、業務システムを利用してしまう可能性があり、最悪の場合、情報漏えいやデータ破壊の可能性がある。よって、権限がなくなった時点で即座にアクセス権を削除する必要がある。なお、IDは残るがアクセス権がなくなる「異動」や「職位の変更」、ID自体とアクセス権の両方がなくなる「退社」もある。

3.サービス

IDを管理するためのシステム・サービスを指す。管理者のみが閲覧、操作可能なシステムもあれば、自身で情報の変更が可能なオンデマンド型のシステムなどもある。最近は特に、スマートフォンから企業内リソースへのアクセスを可能としている企業が増加しているため、パソコン以外の広範なデバイスを管理できるサービスの必要性が高まっている。

4.フェデレーション

互いに信頼関係を結んでいる別々のシステムが、共通のプロトコルを用いてID情報をやり取りすることで、もう一方のシステムに認証される仕組みを指す。最も有名な仕組みは、ディレクトリ同士のフェデレーション、特にActive Directory同士または他のディレクトリサービスとのフェデレーションである “ADFS (Active Directory Federation Services)“ である。

狭義の「フェデレーション」という言葉は、「ディレクトリ同士のフェデレーション」を指すのが一般的である。そして広義のフェデレーションという語は、SAML (Security Assertion Markup Language) を利用した複数サービスのID連携まで含む場合がある。

IAMのシステムにおける必要な要素は何か

認証

パスワード、SMSの文字列、物理デバイス、生体などの情報を利用し、システム・サービスへのアクセスを可能とする認証の仕組み(すなわちログイン認証の仕組み)

認可

システム・サービス内で、例えば「一般社員は物品購入の発注申請しかできないが、部長以上の役職者は一般社員の申請を承認できる」というように、別の権限ユーザーが処理を認可する仕組み

ロール

管理者権限、グループ管理者権限、ユーザー権限というように、特定のシステム・サービスについてどこまでの権限を有するかをロール (役割) として設定する仕組み

委任

一般ユーザーなどが、自身より強い権限を持つロールに、自身のIDの管理権限を委任する仕組み

インターチェンジ (交換)

2つの異なるID管理ドメイン (管理体系、ディレクトリなど) の間で、ID情報を交換するプロトコル、または仕組み

IAM から IDaaSへ

IAMの技術的な定義は以上に紹介した通りだが、一般的にIAMというと、クラウド登場以前のID管理ならびにID連携を指すことが多い。実際、インターネットに掲載されているIAM関連の情報の多くは、クラウドがまだ本格的に導入されていない2010年以前に作成されたものが多い。

企業が業務を遂行するにあたり、クラウドサービスを利用することが前提となっている現在では、クラウドを前提としていないIAMという語よりも、クラウドを前提としているIDaaSという語が用いられる場面が増加している(厳密には、IDaaSはIAMに内包されるサービスの一形態である)。クラウドの利用拡大が不可逆なものであることから、今後もIAMという語に比して、IDaaSという語の重要性が高くなると考えられる。