Webサイトを快適にご利用いただくためには、IE11以降、Chrome、Firefox、またはSafariをご使用ください。
OneLoginとOne Identityが協力してIAMを提供。詳細はこちら

IDおよびアクセス管理におけるアクセス管理とは

アクセス管理(AM)とは、エンタープライズITエコシステム内でユーザアクセスを制御および管理するために使用されるすべてのツール、ポリシー、および手順を指します。デバイス、ファイル、サービス、データなどのさまざまな種類のエンタープライズIT資産にアクセスするためのユーザの権限を組織が追跡、管理、および制御できるようにします。

IAM(IDおよびアクセス管理) ソリューションの一部として、AMソリューションは、適正なユーザだけが、正規の理由がある場合にのみ、これらのリソースにアクセスできるようにします。企業が正当なユーザを承認でき、未承認のユーザがビジネスクリティカルなリソースや機密データにアクセスできないようにします。これにより、組織をデータ漏洩とサイバー攻撃から保護します。

IAMにおけるID管理とは、ユーザが最初にエンタープライズシステムへのアクセスを許可されて���ることを確認するために、ユーザを認証することです。アクセス管理は、承認済みのユーザのア��セスを制御するために、さらに一歩先を行きます。その目的は、特定のシステムまたはアカウントにのみアクセスできるようにすること、または特定のアクションのみを実行できるようにして、未承認のユーザや悪意のあるユーザからネットワークを保護することです。

アクセス管理とは

アクセス管理とは、オンプレミスとクラウドサービスの両方で、正当なユーザ(人間および人間以外)のエンタープライズITリソースへのアクセスを制御および管理することです。その目的は、承認済みのユーザが必要なリソースにアクセスできるようにし、一方で未承認のユーザによるアクセスを禁止することです。

承認済みのユーザには、以下が含まれます。

  • 従業員
  • 顧客
  • ベンダー、パートナー、供給業者、請負業者などのサードパーティ
  • API
  • アプリケーションキー
  • クラウドコンテナ

エンタープライズITリソースには、以下が含まれます。

  • エンドポイントデバイス
  • サーバ
  • コントローラ
  • センサー
  • アプリケーション
  • サービス
  • データ

アクセス管理システムとは

アクセス管理システムは、セキュリティアクセス管理システムとも呼ばれますが、ユーザ(個人またはデバイス)ごとに1つのデジタルIDを確立します。AMはまた、ユーザのアクセスライフサイクル全体を通じてこのIDを維持および監視します。

すべてのユーザとそのアクセスレベルおよび権限を監視することで、AMシステムは、データ漏洩またはサイバー攻撃につながる可能性のある不正アクセスから組織を保護しやすくします。

アクセス管理は、次の4つの主要要素で構成されます。

  1. 承認済みのユーザを定義および識別するためのディレクトリ
  2. アクセスライフサイクル全体でユーザデータを追加、変更、および削除するためのツール
  3. ユーザアクセスを監視および制御する機能
  4. アクセスを監査し、レポートを生成する機能

最も優れたAMシステムは、以下の機能を備えています。

  • アクセス特権を管理し、ITインフラストラクチャ全体で一貫してユーザアクセスを管理する
  • ユーザアクティビティとログオン試行を追跡する(承認済みと未承認の両方)
  • 権限の承認を管理する
  • ユーザのオンボーディングとオフボーディングをタイムリーかつシームレスに管理する

アクセス管理の例

例1。従業員はクラウドデータベースにアクセスする必要があります。サインイン画面にログイン資格情報を入力します。AMシステムは、アクセスレベルと権限をチェックして、データベースへのアクセスが承認されているかどうかを検証します。システム内に設定されている権限に応じて、データベースを表示または変更できます。

例2。チームリーダーは、チームメンバーのタイムシートを承認する必要があります。タイムシートポータルにログインすると、すべてのタイムシートを参照でき、必要に応じて承認または却下できます。ただし、自分のタイムシートを承認または却下することはできません。これを行えるのは、マネージャまたはスーパーバイザのみです。

不十分なアクセス制御がもたらすリスク

堅牢なAMシステムが導入されていない企業では、誰がいつ、なぜリソースにアクセスするのかを制御できません。セキュリティチームは、承認されたユーザだけが企業のシステムとデータにアクセスできるのか、また、これらのユーザが業務に必要なリソースにアクセスできるのかどうかを確認できません。

同じくらい重要なのは、未承認のユーザが、まったく持つべきではない権限を持っているかどうかを確認できないことです。

これらの欠点があると、組織は以下に対して脆弱なままになります。

  • 偶発的なデータ漏洩。機密性の高いIT資産へのアクセスを許可された個人は、役割の一部としてこのアクセス権を必要としないにもかかわらず、不注意や、サイバー攻撃への対抗措置の悪さにより、誤ってデータを漏洩する可能性があります。また、誤った相手と情報を共有する可能性もあります。
  • 内部および外部の悪意のある人物。組織内部または外部の悪意のある人物が、脆弱なアクセス制御メカニズムを利用して企業システムに侵入して、マルウェアやランサムウェアをインストールしたり、競合他社に代わって企業秘密を盗んだり、顧客情報を暴露して組織の評判を傷つけたりする可能性があります。
  • データ漏洩。アクセス管理が不十分だと、外部の関係者が正当なユーザの資格情報やプロファイルにアクセスし、エンタープライズシステムをハッキングして、機密データにアクセスしたり、機密データを窃盗、改ざんしたり、流出させたりする可能性があります。

セキュアなアクセス管理があれば、こうした問題を防ぐことができます。AMツールを使用すると、ITチームはユーザを正確にプロビジョニングし、データ漏洩やサイバー攻撃につながる可能性のある、過剰なアクセス権限をユーザに付与することを回避できます。これにより、企業の防御を強化し、悪意のある人物や不注意な内部関係者から組織を保護しやすくなります。

アクセス制御ツールとシステムの主な機能

継続的かつ信頼性の高いエンタープライズセキュリティを確保するために、アクセス制御システムは次の機能を提供する必要があります。

シームレスなユーザプロビジョニング

エンタープライズセキュリティを維持するために、管理者は以下をシームレスに行うことにより、AMシステムを使用してユーザアカウントのプロビジョニングとプロビジョニング解除を簡単に行える必要があります。

  • 新規ユーザの追加とアクティブ化
  • 離職したユーザなど、アクティブでなくなったユーザや関連がなくなったユーザの非アクティブ化と削除
  • ユーザが別の部門に異動し、別の権限またはアクセスレベルを必要とするなど、ユーザの変更

ロール固有のテンプレート

管理者にとって、標準化されたロール固有のテンプレートを使用して新しいユーザアカウントを設定する方が簡単です。必要な作業は、適切なテンプレートを選択して、ユーザまたは組織のアクセス要件に従って変更することだけです。

セルフサービスの権限ポータル

セルフサービスのポータルを使用すると、従業員やサードパーティなどのユーザは、管理者からではなく、データ所有者から直接、アクセス権限を要求できます。所有者はこれらの要求を確認し、承認して要求されたアクセスを提供するか、拒否することができます。どちらの場合も、ポータルでデータアクセス権をデータ所有者に委ね、データ所有者は、誰が自分のデータにアクセスできる(できない)かをより適切に制御できます。

リスクの高いアカウントへのインサイト

アクセス管理ツールは、管理者がリスクの高いアカウントを追跡できるようにする必要があります。これにより、管理者は権限レベルを監視し、悪意のある内部関係者がこれらのアカウントを使用して組織を内部から攻撃するのを防ぐことができます。

ツールによっては、管理者がActive Directoryとグループポリシーを監視、分析、および確認して、最近の変更を参照し、その変更を誰がいつ行ったのかを特定することもできます。

他のビジネスシステムとの統合

包括的なAMシステムは、Active DirectoryやNTFS権限など、他の承認関連システムと統合して、セキュリティチームが以下のことを効果的にできるようにする必要があります。

  • グループメンバーシップとアクセス権を一元化された場所で確認する
  • どのユーザがどのシステムまたはデータにアクセスできるかを特定する
  • 特権アカウントを可視化する

直感的な可視化機能

可視化することで、アクセスエコシステム全体をより直感的に、一目で確認できます。マップ、ツリー構造、ダッシュボード、ビジュアルレポートを使って、セキュリティ担当者は誰がどのリソースにアクセスできるかを確認できます。また、特定のユーザやリソースに対する権限の変更または取り消しについて、より迅速な決定を行うことができます。成長中の組織や大規模組織の多忙なセキュリティチームにとって、このような可視化を提供するAMシステムは特に有用です。

コンプライアンス対応

HIPAA、GDPR、PCI DSSなどのデータセキュリティ規制に準拠する必要がある組織は、ユーザ・アクセス・レコードにすぐにアクセスできる必要があります。コンプライアンスを達成して示すには、これらのレコードの追跡、アクセス権の検証、アクセスアクティビティの確認が必要です。

効果的なAMシステムは、この情報をすべて素早く表示することで、管理者が詳細なコンプライアンスレポートを生成し、コンプライアンスのギャップを埋めるために迅速な行動を取ることができるようにする必要があります。

ID管理とアクセス管理の違い

ID管理とアクセス管理はどちらもより広範なIAM分野のコンポーネントです。これらは一緒に動作しますが、同じではありません。

  • ID管理は認証に重点を置いています。ID管理により、組織はITリソースへのアクセスを許可されているユーザ(内部と外部の両方)を識別できます。簡単に言えば、ユーザのIDをチェックして、本人であることを確認します。
  • アクセス管理は承認に関連するものです。その目的は、特定のユーザが、アクセスを許可されているリソースまたはデータにのみアクセスできるようにすることです。あるユーザがファイルを参照する権限のみを持ち、別のユーザがファイルを参照および変更する両方の権限を持っていることもあります。また、3人目のユーザが、ファイルの参照、修正、ダウンロード、さらには置換も許可されていることもあるでしょう。AMシステムはこれらの権限をすべて管理し、各ユーザが特定の資産にのみアクセスし、行動できるようにします。

まとめ

堅牢なAMシステムは、企業資産およびデータへのユーザアクセスの割り当て、監視、および管理のプロセスを合理化します。これにより、承認済みのユーザだけが、企業のITリソースとデータにアクセスできるようになります。ロールとプロファイルに基づいてユーザの詳細を保存し、ユーザがこれらの割り当てられたロールに基づいて会社のセキュリティとアクセスポリシーに準拠していることを保証します。IAMシステムでは、アクセス管理とID管理が連携して、ユーザIDを監視し、アクセスを制御します。最終的に、未承認のユーザが組織に損害を与えることを防ぎ、サイバー攻撃とセキュリティ侵害から組織を保護します。

OneLoginソリューション

現代の企業にクラウドベースのアクセス管理を提供します。