「IDライフサイクル管理」とは

IDライフサイクル管理(ILM：Identity Lifecycle Management)とは、ユーザーIDの「作成」「更新」「削除」などの継続的かつ適切なメンテナンスアクションの実行を指します。

IDライフサイクル管理は、エンドユーザーがアクセスするすべてのアプリケーション(サービス)に直接結びついているため、IAM戦略全体の中でも非常に重要とされています。

「IDライフサイクル管理」の目標

IDライフサイクル管理の目標は「組織環境全体におけるIDプロセスの自動化」にあります。

自動化により、組織内の異種システム全体において、IDが信頼できるソースと一致する状態になります。

ILMエンジンがなく自動化できていない状態では、IDの変更を手動で処理および管理し、適切なアクションを確実に実行しなければならないため、維持管理は非常に困難となります。

「IDライフサイクル管理」の自動化レベル

「IDライフサイクル管理」の自動化レベルについては、以下のように、おおまかに5段階でレベル設定されています。

レベル0：手動

レベル0は「アカウントのプロビジョニングは完全に手動」「アドホックベースまたは事後対応ベースで完了」の段階です。

各ユーザーアカウントは個別に手動で処理されるため、アカウントデータには人為的エラーが発生しやすくなります。

新入社員入社などの時期には、大量の手動処理が発生するために、多くの時間とコストが必要となります。

レベル1：スクリプトベース

レベル1は「スクリプトベースによる一部自動化」の段階です。

この段階では、アドホックリクエストを解決するために、システム単位でスクリプトが作成され運用されるケースが多いため、システム間連携のためのスクリプトも必要となります。

また、組織内の他部門では、別スクリプトによる異なる運用が実施されているため、全社レベルの完全性は低いものとなります。

レベル2：オンボーディング自動化

レベル2は「オンボーディング自動化」の段階です。

ベンダー提供のツールなどを利用して、オンボーディング(プロビジョニング)を実施することで、新しいユーザーアカウントを作成します。

ただし、この段階では、ユーザーが組織を離れた場合の「ID削除処理」や「部門間異動処理」などの機能はありません。

レベル3：IDロジックエンジン

レベル3は「IDロジックエンジン」の段階です。

このレベルでは、すべてのILM機能を一元化し、IDオンボーディングだけではなく、多数イベントで構成されるライフサイクルプロセス全体を統合的に管理できるIDロジックエンジンを利用できます。

そのため、ユーザーが組織を離れた場合には、IDは簡単に削除できます。

また、どのユーザーがどのアプリケーションやリソースにアクセスできるかを示せるため、監査プロセスが簡素化されます。

レベル4：API駆動型ILM

レベル4は「API駆動型ILM」の段階です。

これは、既存システムが新しいシステムにID情報をプッシュする方法を設計する必要がなく、新しいシステムがAPIでID情報を取得します。

RESTfulAPIを提供することは、システム間の統合またはデータ同期を可能にするための事実上の標準になりつつあります。

ILM実装の複雑さを軽減するために、業界がAPI主導の方向に向かっていることを示す多くの標準が公開されています。

「IDライフサイクル管理」における主な課題

①IDデータ設計

IDデータ設計の課題としては以下のようなものがあります。

・ユーザー情報について信頼できるソースは何か？
・複数ソースがある場合、それらの間でデータを同期するにはどうすればよいか？
・どのようにして一意の「ユーザー名」と「メールアドレス」を作成するか？　など

②アドホック手動ID処理タスク

ITチームは、以下の理由で、手動IDタスクによって頻繁に圧迫されます。

・アプリ所有者やビジネスユニット管理者が「誰からのアクセスを許可するか？」を決定する
・各部門で高度にカスタマイズされたビジネスロジックを実装している　など

③アクセス許可管理

リモート作業環境の大幅増加が、新しいデジタルコラボレーションリソースの需要を押し上げていることにより、従来にはなかったアクセス許可に関するタスクが増大しています。

IDライフサイクル管理における「特権アクセス管理」

関連用語解説

「特権ID」とは

「特権ID(特権アカウント)」とは「IT部門内で最も強力なアカウント」です。
「組織内の高度なIT資産」および「その中に保存されている機密情報」にアクセスできる強力な権限を持ちます。

特権IDは、主に以下の作業で利用します。
・ITインフラストラクチャのセットアップ
・新しいソフトウェア(ハードウェア)のインストール
・重要なサービスの実行管理
・メンテナンス操作の実行　など

特権IDは、あらゆる環境のコンポーネントに分散しています。
・インフラコンポーネント—OS、ドメインコントローラー、ネットワークデバイス
・アプリコンポーネント—データベース、API、スクリプト、プログラム、レガシーアプリ
・エンドユーザーデバイスのアカウント
・クラウドアプリケーション—IaaS、PaaS、SaaS
・ソーシャルメディアアカウント
・SSHキー
・サードパーティベンダーのアクセス　など

「特権ID管理」とは

特権の概念は「管理者資格情報」および「発生する可能性のあるデータ侵害」に関連しているため、特権IDを適切に管理することは、あらゆる組織におけるサイバーセキュリティに不可欠です。

特権ID管理では、通常、ITチーム(システム管理者)によってさまざまなIDに割り当てられる特権を処理します。
・すべての特権アカウントに関する最新インベントリを維持
・パーソナライズされた特権アカウントの数の最小化　など

「特権アクセス管理」とは

「特権アクセス管理」は、以下の特徴があります。
・「アクセスレベル」と「特権が取得する情報の種類」を承認
・特権アカウントのアクティビティを監視
・管理者権限の不適切な使用に起因する外部および内部の脅威を防ぐ
・ビジネス安全性を確保　など

特権アクセス管理ソリューション

概要

企業や組織では、「特権アクセス管理(PAM：Privileged Access Management)ソリューション」を利用して、ユーザーおよびサービスのアカウントIDを管理する制御実装が求められます。
これまで以上に多くの組織がクラウドに移行しているため、さらに重要性が増しています。

ロール(役割)ベースのアクセス制御は、「ID検証」「アクセス許可」「ユーザー実行管理」などに役立ちます。

特権アクセス管理ソリューションは、最小限の特権を確実に適用することにより、機密データへのアクセスを保護するように設計されています。

利点

・特権クレデンシャル(特権ID認証に用いられる情報)を保護
・特権IDのログインを検出して記録—「Webアプリ」「パッケージソフトウェア」「その他アプリ」
・資格情報タイプをチェック—「プレーンテキストファイル」「暗号化」「アプリ自体にコンパイル」
・パスワードの変更同期を確認—アプリケーション間のリンクを調査　など

サービスアカウントに関する考慮事項

特権アクセス管理は、IDライフサイクルの広いコンテキスト内において、特にサービスアカウントに関連して、組み込むべき考慮事項があります。

サービスを使用して他システムにアクセスし、さまざまなタイプのIDを使用して認証する「エンドポイント」「サーバー」「アプリケーション」などについて適切に制御する必要があります。

つまり、特権アクセス管理ソリューションの一部として、「最小限の特権を適用し、アクセスを管理するポリシーに準拠すること」を意味します。

サービスアカウントの作成(承認)プロセス

新しいアプリケーションが展開される場合に、「自動的に生成されるサービスアカウントの作成および承認プロセス」の有無についてチェックします。

これをレビューおよび監査プロセスと整合させることで、より機密性の高いアプリケーションが厳格なセキュリティ制御を備えていることを確認します。

サービス依存関係のマッピング

1つのサービスアカウントに変更を加えると、特権管理計画の一部として他のアカウントに影響を与える可能性があるため、サービス依存関係をマッピングして確認します。

継続的な検出

「承認されたプロセスで作成されたサービスアカウント」または「IDライフサイクル外で作成された可能性のあるサービスアカウント」を継続的に検出します。

検出チェックを維持することで、セキュリティポリシーが正しく適用されていることを確認します。

セキュリティガバナンスの適用

コンプライアンス要件を適切なセキュリティアクセス制御にマッピングし、それらを実装することで、セキュリティガバナンスを適用します。

自動化された監査とレポート

特権アクセスのレビュー(監査)の一環として、サービスアカウントの使用状況(変更状況)について、「監視」「記録」「レポート」します。

これは「許可された変更」と「許可されていない変更」を区別するのに役立ちます。

セキュリティ制御設定確認

リスクとカテゴリに従ってサービスアカウントをグループ化します。

他の特権アカウントと共にチェックすることで、各サービスアカウントに正しいセキュリティ制御が設定されていることを確認できます。

有効期限チェックプロセス

有効期限(レビュー日)を設定して、「このアプリケーション(サービスアカウント)はまだ本当に必要なのか？」について判断します。

すべてのアプリケーションについて、継続的に実施する必要があります。

未使用(期限切れ)のサービスアカウント削除

未使用のサービスアカウントを継続的に検出し削除することで、特権セキュリティ攻撃対象領域を削減します。

プロビジョニング解除はIDライフサイクルの重要プロセスですが、サービスアカウントに関しては見過ごされがちであるため、注意が必要です。

ID管理クラウドサービス「Keyspider」とは？

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。

参考元サイト

• →info.identityautomation.com　→Advancing Your Identity Management Strategy with the IAM Maturity Model
• →okta.com　→whitepaper　→Step-by-Step Guide: How to Elevate Your Identity Lifecycle
• →blog.identityautomation.com　→Breaking Down the Identity and Access Management Capability Maturity Model, Part Two
• →heimdalsecurity.com　→Casting Some Light upon the Concept of Privilege Identity Management
• →thycotic.com　→Identity Lifecycle Management (ILM)
• →idsalliance.org　→IAM Best Practices Blog Series: Asset Discovery is an Essential Step for Privileged Access Management
• →sailpoint.com　→Privileged Access Management Security Risks