CIAM とは?~顧客重視クラウドID管理~

クラウドID管理における「 CIAM 」とは

クラウドID管理における「 CIAM (Customer Identity and Access Management)」について紹介します。顧客を中心とするID管理である「CIAM」は、デジタルフォーメーションにおけるビジネスの根幹として注目されているソリューションです。

「 CIAM 」とは

CIAM = 顧客重視のID管理

CIAM (Customer Identity and Access Management)は「顧客を中心として重視する包括的ID管理」を意味します。

CIAMは、主な機能として、「デジタルプロパティへのアクセス機能」と「ユーザーデータの管理/収集/分析/保存などの各種機能」を提供します。

高機能なCIAMソリューションは、顧客が企業ブランドとの関わりにおいて、どのチャネル(Web、モバイルなど)を使用するかに関係なく、セキュアでハイパフォーマンスなユーザーエクスペリエンスを提供できます。

CIAMは、企業がデジタルIDを作成し、顧客との関係を管理する方法において、ますます中心的な役割を果たしています。多くの企業は、デジタルトランスフォーメーションの一環として、ビジネスの根幹となるCIAMに対して、大規模な投資を実施しています。

「 CIAM 」の利用技術

ID管理機能統合

CIAMソリューションは、各種ID管理機能を網羅しています。

・IDライフサイクル管理機能
・アクセス管理機能
・シングルサインオン機能
・多要素認証機能
・ディレクトリサービス機能
・データアクセスガバナンス機能 など

マーケティングビジネス関連機能統合

CIAMは、一般的なIAM(ID管理)機能に加え、マーケティングビジネス関連機能を統合しています。

・CRM(顧客関係管理)
・CMS(コンテンツ管理)
・マーケティングプラットフォーム
・eコマースプラットフォーム
・データ管理プラットフォーム など

ビジネス統合のないCIAMは、期待されるビジネスの成長という点ではほとんど価値がありません。

IDaaS

CIAMソリューションは「オンプレミス」「プライベートクラウド」「IDaaSプラットフォーム」などに展開できるソフトウェアを介して提供できます。

しかし、CIAMの複雑さとダイナミズムを考えると、多くの企業は、社内でCIAMソリューションを構築するのではなく、APIファーストのサードパーティIDaaS(Identity-as-a-Service)プロバイダーの利用を選択しています。

CIAMソリューションは配信方法に関係なく、デジタルアプリケーションへのアクセスエクスペリエンスをシームレスかつセキュアに提供することを目標としています。

「 CIAM 」が重要な理由

CIAMでは、特に「カスタマーエクスペリエンス」と「セキュリティ」が重要となります。

一方を犠牲にして他方を追求することなく、理想的なバランスを支援します。

「優れたカスタマーエクスペリエンス」を提供

CIAMにより、優れたカスタマーエクスペリエンスを提供できます。

見込み顧客に対して、効果的にブランドを紹介し、熱心な顧客になってもらうための力強いサポートとなります。

カスタマーエクスペリエンスを軽視すると、顧客離れにつながります。

「ユーザーは、お気に入りのブランドでも、1回悪い経験をすると30%離れる」という調査結果もあります。

顧客を保護する「セキュリティ」を提供

顧客は「詐欺」「金銭侵害」「プライバシー侵害」などのセキュリティリスクから保護されることを非常に重要視しています。

堅牢なCIAMソリューションは、認証からデータレイヤーにまで及ぶ強力なセキュリティ機能を提供することで、さまざまな侵害リスクを軽減し、「顧客信頼喪失」「企業評判悪化」「企業収益悪化」の発生可能性を引き下げます。

CIAM による「プライバシー」と「規制コンプライアンス」

顧客は、企業がデータの優れた管理者になることを期待しています。

CIAMは、顧客の同意により、GDPR(一般データ保護規則)などのプライバシー規則に準拠する機能も提供します。

企業は「グローバル国際標準」「国内法令」など、さまざまなコンプライアンスに準拠することが求められますが、すべてを独自でカバーすることは困難です。

最新状況に追随しアップデートを継続するCIAMは、企業にとって強力なサポートとなります。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

クラウドID管理における「ID管理ベストプラクティス」

「ID管理ベストプラクティス」とは

目的

IDおよびアクセス管理(IAM)のベストプラクティスでは『ネットワークユーザーに付与されるアクセス権限を明確に定義および監視し、許可されたユーザーにのみ適切にアクセス権限が付与されるようにすること』を目的としています。

ID管理ソリューションは、ゲートキーパーとして、施設に入ろうとしている人または対象に応じて、入室を許可(拒否)し、指定エリア内に存在するすべての訪問者の動きを注意深く監視します。

企業内でID管理ベストプラクティスを開始および実施することにより、サイバー犯罪者から、ビジネス上の「利益」「情報資産」を効果的に保護できます。

ID管理ベストプラクティスに投資して実施するためには、組織内の「ITインフラストラクチャ」「システム」「資産」の完全な概要を把握して、既存の潜在的脅威についてすべての要素を綿密に監視できるようにする必要があります。

構成要素

ID管理ベストプラクティスは、主に次の要素で構成されます。

・特定システムまたはネットワーク内のユーザー識別
・特定ユーザーの役割の識別
・個人に対する役割の追加/更新/削除
・個人に対する的確な権限割り当て
・ユーザーまたはグループのアクセス確立および権限割り当て
・システムまたはネットワーク全体のすべての情報セキュリティ対策

メリット

企業と顧客が高度に相互接続される現状を考えると、ID管理ソリューションへの投資は、すべての企業とって不可欠です。

データ漏洩に対する予測と準備を怠り、データ漏洩インシデントが発生してしまった場合、ID管理ベストプラクティスに投資するコストよりも、遥かに莫大な損害となる可能性があります。

ID管理ソリューションに投資しベストプラクティスを実装することで、潜在的な内部および外部のデータ侵害のリスクを軽減できます。企業はシステムを手動で監視する場合と比較して、ネットワークやシステムについて大幅に効率的に管理できます。

ID管理ベストプラクティス10選

ID管理ソリューションの有効性を最大化するために活用できる「10のベストプラクティス」を紹介します。

①ゴールを明確にする

ID管理システム構築の発端

ID管理ソリューションの選定開始は、通常、組織の問題点発覚がきっかけとなります。
・ITエコシステムの複雑さが増している
・過度の「アクセス要求」「パスワードリセット要求」による負荷増大
・コンプライアンス監査での違反発覚
・過剰なユーザー権限が発見される など

しかし、重大インシデントが発生する前に「データ侵害が組織に影響を与える危険性」に対するアクションを開始できるのは幸運でもあります。

ゴールの明確化

ID管理システム構築における最初のステップは、「最終的にどこに行きたいのか?」という目標を明確にイメージすることです。

各種テクノロジーソフトウェアは、特定の問題セットに応じて、作業プロセスの自動化や高速化に役立ちますが、企業が直面しているすべての問題を解決できるわけではありません。

企業の理想的なプロセスを掘り下げて学んだルールとポリシーを実装することによってのみ、ID管理ソリューションは望ましい最終結果に到達できます。

②スモールスタート

ID管理システムの最初の実装時に、大規模システムの一部である小規模システムから開始すると、タイムラインを短く集中させることができ、短期的成果も獲得できます。

このような「短いスプリント」のプロジェクトサイクルは、「追加モジュール統合」や「ID管理システムの拡張統合」などの、将来の作業を支援します。

ID管理システムは、最初の実装が完了した後も、組織とともに進化し成長し続ける必要があります。

③統合可視性を高める

監視対象は複雑な巨大システム

システムやネットワークの領域は非常に複雑になる場合があり、膨大な数の「サーバ」「ポータル」「データベース」「アプリケーション」「ユーザー」などが存在しています。

これらすべてが同時に稼働し、それぞれのタスクが実行されるため、すべてのコンポーネントを監視することは困難です。

これに加えて、すべてのネットワークユーザーを適切に監視し、資格のあるディレクトリやファイルにのみにアクセスを許可する責任があります。

統合可視性

作業規模を考慮すると「統合可視性」が重要となります。

・「ID管理」と「サインオンポリシー」の両方を一元化
・調和のとれた監査済ユーザーエクスペリエンスを提供
・割り当てられたすべてのネットワークマネージャーの統合可視性を高める など

④ゼロトラストセキュリティアプローチ

ゼロトラストセキュリティアプローチとは

ゼロトラストは、ID管理ランドスケープに該当するネットワークセキュリティモデルです。

ゼロトラストの哲学は『すべてのユーザーとアプリケーションは、ネットワークの内外を問わず、信頼されるべきではない』という考え方にあります。

「ユーザーが正しいパスワードを入力できた」という理由だけで、そのユーザーに対して全幅の信頼を与えてはいけません。

企業は情報資産を守るために、これまで以上に、すべてのユーザーを疑い続けるスタンスが必要です。

検証レイヤーの追加実装

企業システムは「多くのスタッフが企業ネットワークの外部で作業」「複数のデバイスとアプリケーションを使用」「オンプレミスとSaaSアプリケーションが混在」など、企業ネットワークの内外が複雑に絡み合う状態になっています。

複数のポートやプラットフォームを介してアクセスされる場合に、システムまたはネットワークがユーザーアクセス権限をさらに検証できるようにする手段を実装する必要があります。

セキュリティ障壁である検証レイヤーの追加により、サイバー犯罪者による不正侵入を防げる可能性を高めることができます。

⑤最小特権原則の実装

「最小特権の原則」とは、『ユーザーに必要最小限なアクセス権限のみを割り当てる』という考え方です。

「ロールベースアクセス制御」や「アクセス領域の最小化」は、内部および外部のデータ侵害のリスクを軽減する効果的な方法です。

「ユーザーおよびグループのIDセキュリティ強化」「ビジネスプロセスの定義および強化」「サイバーセキュリティ全体の可視性向上」などに役立ちます。

⑥オンボーディング(オフボーディング)プロセスの自動化

「オンボーディングプロセス」と「オフボーディング」を自動化することにより、ITチームは、「一般的に共有されているディレクトリ」や「特定用途で使用するためのディレクトリ」などについて、新入社員が受け取る必要のあるアクセス権限の明確なフレームワークを作成して実装できます。

このベストプラクティスは「すべてのユーザーに社内情報ネットワーク全体へのアクセスを提供する」「ユーザーの部門異動時に即座に権限変更ができる」「組織内からのデータ悪用を適切に制御できる」などの有用性があります。

ITチームは管理負荷を低減できるようになり、セキュリティ脅威の防止にさらに専念できます。

⑦多要素認証

脆弱なパスワードセキュリティ

パスワードによる保護は、個人情報や企業情報の保全のためには脆弱すぎることが何度も示されています。

「弱くて推測しやすいパスワード設定」「パスワード共有」「すべてのデバイスで同じパスワードを使用する」などのセキュリティに対する知見や意識が低いスタッフの存在が、ハッカーによるデータ侵害を引き起こしています。

多要素認証によるセキュリティレイヤーの追加

企業が実行できるID管理ベストプラクティスとして「多要素認証システムの使用」があります。

多要素認証は、ユーザーがシステムに資格情報を入力する時に、二重に安全であることを保証する追加の検証方法です。

多要素認証などのアクセス管理ツールを実装することにより、アプリケーションやデバイスへのログオン時、セキュリティの追加レイヤーを作成できます。

機密情報が保存されているディレクトリへのアクセス要求ページに、より堅牢なレイヤーを追加することで、潜在的なサイバーセキュリティ攻撃を阻止できる可能性を高めることができます。

多要素認証の例

・追加パスコード認証—チャレンジ/レスポンス方式、SMSメッセージングシステム
・バイオメトリクス認証—顔認識、指紋認識
・セキュリティトークン認証
・セキュリティカード認証 など

⑧高リスクシステムの特定と管理

高リスク(レガシー)システムが存在しているリスク

エンタープライズ企業や中小企業では、安全性とセキュリティの更新が行われなくなったレガシーシステムを引き続き利用しています。

これらのパッチが適用されていないレガシーシステムを使用して保存されている機密情報には、サイバー犯罪者がレガシーの抜け穴を使用してネットワークに侵入しアクセスする危険性があります。

ITセキュリティを管轄するITチームは、稼働しているすべてのシステムのリストを作成することで、セキュリティ状況を確認し、潜在的なセキュリティ脅威を洗い出しておく必要があります。

危険性が判明したレガシーシステムに対しては、セキュリティが維持されている代替可能システムへの移行を検討しなければいけません。

レガシーシステム監視強化によるリスク低減

レガシーシステムの応急手当的セキュリティ強化方法として、レガシーシステムに対する監視強化でリスクを低減する方法があります。

レガシーシステムへの「ログイン画面」や「入出力ポート」などに、セキュリティレイヤーを追加することで、ある程度のセキュリティ向上を図れます。

クラウド移行によるリスク低減

歴史的に、企業はセキュリティ脅威を恐れて、オンプレミスからクラウドへの移行について消極的でした。

しかし、クラウドサービスプロバイダーは、セキュリティに関して多大な人的リソースやコストを投入することで、オンプレミスでは対応できない豊富なセキュリティ機能を提供するようになりました。

昨今において、セキュリティレベルが最高水準に達していないオンプレミスサーバを利用し続けることは、クラウドベースよりもリスクが高い状況になってきています。

レガシーシステムを廃止しクラウドサービスへ切り替えることで、「パッチ管理」「セグメンテーション」「暗号化」「統合」などのアクセス要件を通じてセキュリティを強化できます。

⑨孤立アカウントの監視と破棄

サイバー犯罪者が狙うエントリポイント

サイバー犯罪者は、企業内ネットワークにアクセスするために悪用できる脆弱なエントリポイントを執拗に探しています。

認識されている弱点の1つとして「孤立(休止状態)アカウント」があります。

孤立アカウントは監視対象としての重要度が低めとなっている場合が多く、サイバー犯罪者に利用されると、企業情報を盗み出すための金鉱になります。

アカウントの非アクティブ化

ユーザーの「退社」や「グループ会社への異動」などによって発生する孤立アカウントは、対応する処理と同時に、非アクティブ化を実施し、孤立アカウントが存在し続けることがないように対応する必要があります。

⑩企業要件に合致するソリューションの選択

すべての企業には「経営規模」「従業員人数」「ユーザーアクセス要件」「ビジネス目標」などに応じて、さまざまなITセキュリティニーズがあります。また、時間の経過により、ニーズは変化し続けます。

そのタイミングのニーズに適合するようにID管理ソリューションを選定し、ニーズの変化に合わせて、セキュリティポリシーを変更し、ID管理ソリューションのカスタマイズを継続していく必要があります。

そのため、ID管理ソリューションの初期導入の際には、「セキュリティ強度」と共に「十分な拡張性」にも留意が必要です。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

クラウドID管理のリスクと課題「アクセス管理監査」

「ID管理監査」の必要性

サイバーセキュリティの課題

今日のデジタルファーストの世界においては、サイバーセキュリティの観点から、企業にとっては「侵入者の攻撃から資産とデータを保護」と「コンプライアンスと規制の要件を満たす」という2点が最大の課題となっています。

適切な運用のためのチェックリスト

堅牢な「IDおよびアクセス管理(IAM:Identity and Access Management)システム」は、企業に防衛線を提供しますが、適切に運用されなければリスク低減効果は縮小してしまいます。

最大限に機能させるためには「ID管理ポリシー」と「ID管理監査チェックリスト」を作成し、定期的にレビューや見直しを実施する必要があります。

このチェックリストにより、ID管理監査要件に沿って、望ましい方法で機能させることができます。

ID管理監査チェックリスト

ID管理監査チェックリストとして、以下の8つのポイントを紹介します。

①ID管理ポリシー作成

組織のセキュリティは、ID管理ポリシーの定義から始まります。

ID管理ポリシーを明確化しておくことで、望ましい結果が得られる可能性が高くなります。

ID管理ポリシー作成の利点

・コンプライアンス要件を満たすための指針となる
・ユーザーのアクセスおよび承認管理の指針となる
・利害関係者へのアクセス管理を定義できる
・手順の「設計」「開発」「合理化」がやりやすくなる
・インシデント発生に対して迅速かつ自信を持って対応できる など

②役割定義

ID管理プロセスにおいて、すべての利害関係者が関与する手順を設定し、それらの役割を定義する必要があります。

ユーザー(利害関係者)リストには「責任」と「アクション」に関する情報が必要です。

これは、すべての人のプロセス合理化にも役立ちます。

③アクセスレビュー

どのような組織でも「ユーザー(アカウント)」「役割」「責任」は変化し続けるため、ユーザーのアクティビティやデータを把握し続けることは困難になります。

そのため、すべてのユーザーに適切な「アクセス権限」と「承認権限」が設定されていることを確認するために、ユーザーアクセスレビュープロセスを策定します。

ユーザーアクセスレビュープロセスは定期的に実施することが重要です。

④適切な特権管理

ユーザーアクセス権限が「適切な職務要件」に限定されたままであり、過度な権限を有していないことを確認することは非常に重要であり、ID管理システムの堅牢性を定義する重要なポイントとなります。

最大制限を設定することを要求する「最小特権アカウントの原則」に従い、特別な特権を付与する必要がある場合は、その必要な期間のみ付与し、不要になったら即座に解除します。

⑤脅威範囲の限定化

重要タスクの場合は、それを小さなタスクに分割し、複数の人に割り当てます。

これにより、「該当プロセス」+「関連するセキュリティ機能」を他プロセスから独立した状態に保てるため、脅威範囲を特定プロセス内に限定できます。

⑥汎用アカウント管理

トレーニングやテストなどの定期的かつ一般的アクティビティを実行するために、汎用アカウントが使用される場合があります。

汎用アカウントに特別な権限を付与すると大きなリスクとなるため、必要最小限の権限のみを付与します。

⑦アイドルアカウントの削除(無効化)

ID管理システムは、クリーンでセキュアな状態を維持することが重要です。

使用していないアイドル状態のアカウントが存在していると、セキュリティリスクにつながる可能性があるため、対象アカウントは必要とする期間のみ有効にすることが求められます。

⑧すべてをドキュメント化

ドキュメント化は「ポリシー」「使用法」「管理アクティビティ」「不正リスク評価」などを共有する必要があるID管理監査プロセスの鍵となります。

ドキュメント化プロセスにより、ID管理システム全体の理解が深まり、さらに改善する方法を見つけることにも役立ちます。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

クラウドID管理のリスクと課題「特権アカウントのベストプラクティス」

特権アカウントは標準アカウントよりも適切に保護する必要があり、特権アカウント管理(PAM:Privileged Access Management)では、すべての特権アカウントを管理するための厳格な計画とITインフラストラクチャを必要とします。

「特権アカウントの概要」については、こちらを参照ください。
→Keyspider.jp →クラウドID管理のリスクと課題「特権アカウントの概要」

「データ侵害の74%は特権アカウントへのアクセスに関係している」というデータもあります。

今回は、特権アカウント管理を確実に実施するためのベストプラクティスを紹介します。

主なベストプラクティス

確実な特権アカウント検出プロセスを確立

重要データにアクセスできるアカウントを指定するためには、オンプレミスとクラウドの両方で、すべての特権アクセスを識別する必要があります。

これには「個人アカウント」「共有アカウント」「ローカル管理者アカウント」「ドメイン管理者アカウント」などのすべてが含まれます。

システムやアカウントは常に更新されているため、継続的プロセスを確立することが重要です。

特権アカウント用パスワード保護ポリシーの導入

「不正アクセス防止」「規制準拠実証」のために、特権アカウント用パスワード保護ポリシーを導入します。

特権アカウントを使用および管理するすべての人が理解して受け入れることができる明確なポリシーを作成することが重要となります。

強力なパスワードは基本的なサイバーセキュリティ要件ですが、パスワードを定期的に変更し、パスワード管理のベストプラクティスに従う必要があります。決して共有されてはいけません。

パスワードだけではなく、生体認証を加えた多要素認証によるセキュリティ強化も必要です。

最小特権を実装

攻撃者が機密データにアクセスするリスクを減らすために、ユーザーには仕事をするために必要な最低限の特権のみを与えます。

特権アカウントは適切な担当者にのみ付与しますが、必要に応じて職務と特権を分離して割り当てる必要があります。

職務と特権を分離することで、担当者によるセキュリティ違反を防ぎ、インシデント調査ログの整合性を確保できます。

特権アクティビティの監視と監査

特権アカウントに対する脅威の1つとして「正当な特権アクセスを持つ担当者による組織内からの侵害」があります。

この脅威を防ぎ軽減するために、特権セッション監視機能を実装して、疑わしい特権アクティビティを監視する必要があります。

特権ユーザー行動分析ソリューションは、「ユーザーアクティビティ」「アカウント行動」「アクセス行動」「資格情報の機密性」「ユーザー行動を考慮した機械学習アルゴリズムに基づく行動ベースライン」などを使用して、特権アクティビティに関する洞察を得るのに役立ちます。

その結果、推奨ガイドラインからの逸脱を検出し、潜在的攻撃開始前に防げる可能性が高まります。

また、特権アクティビティの監視と記録に加えて、キーストロークとスクリーンショットをキャプチャして、すべてのアクティビティを監査する場合もあります。

適切なPAMソリューションを選択

適切なPAMソリューションを導入することで、専門的なセキュリティ評価が可能となります。

特権アカウントが保護しているものを特定し、「セキュリティポリシー」「制御」「プロセス」を客観的に詳細化することにより、一定のレベルまでセキュリティを向上できます。

特権アカウントの「包括的可視性確立」「適切なポリシー制定」「最小限特権実装」「厳格なアクティビティ監視」などが実施されることで、特権アカウントの悪用を防ぎ、組織内外のセキュリティリスクに対して効果的に取り組むことができます。

スタッフトレーニング

多くの場合、エンドユーザーのセキュリティリテラシーが、ITシステムにおいて最も弱い部分となります。

これは、迫り来る脅威を知らず、ハッカーから身を守る方法を理解していないためです。

そのため、アカウントを保護するために必要な情報を提供し、サイバーセキュリティ慣行の重要性についてスタッフと話し合うことが重要となります。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

クラウドID管理のリスクと課題「特権アカウントの概要」

アカウントの種類

①非特権アカウント

最小権限の原則により、ほとんどのユーザーは90%以上の時間、非特権アカウントで操作しています。

最小特権アカウント(LUA:Least-privileged User Account)とも呼ばれる非特権アカウントは、次の2つのタイプで構成されます。

標準ユーザーアカウント

標準ユーザーアカウントは、「インターネット接続」「オフィスアプリケーション」などの通常業務で最低限度必要なアクセスが許可されます。

ロールベースアクセスポリシーによって定義される「限られたリソースへのアクセス」など、制限された一部特権も保有します。

ゲストユーザーアカウント

ゲストユーザーアカウントは、通常、「インターネット接続」と「基本的なアプリケーションアクセス」のみに制限されているため、標準ユーザーアカウントよりも、さらに特権が少なくなります。

②特権アカウント

特権アカウントは、「スーパーユーザーアカウント」とも呼ばれる特別な種類のアカウントです。

管理用アカウントとして「非特権アカウントの制限を超えてのアクセス」と「最大級の権限」が付与されます。

「特権アカウント」とは

概要

特権アカウント(スーパーユーザーアカウント)は、主に専門のITスタッフによる管理に使用され、コマンドを実行してシステムを変更するためなどに使用されます。

実質的に無制限の権限を有しています。

OS別特権アカウント(スーパーユーザーアカウント)

UNIX(Linux)

UNIX(Linux)でのスーパーユーザーアカウントは「root」と呼ばれます。

自己システムを破壊できるほどの最大権限を有しています。

Windows

Windowsでのスーパーユーザーアカウントは「Administrator」と呼ばれます。

Windowsシステムでは、各Windowsコンピューターに少なくとも1つの管理者アカウントがあります。

ユーザーは管理者アカウントを使用することで、「ソフトウェアインストール」や「ローカル構成設定」などの操作を実行できます。

権限

・「ファイル」「ディレクトリ」「リソース」への無制限アクセス
・完全な「読み取り権限」「書き込み権限」「実行権限」
・ソフトウェアインストール
・完全なシステム変更権限
・ネットワーク全体に体系的な変更をレンダリングする権限 など

リスク

特権アカウントは、非特権アカウントよりも大幅に強力な権限による操作が許可されているため、非常に大きなリスクをもたらす危険性があります。

「操作ミス」「悪意のある操作」などが発生した場合、「システム完全停止」「機密情報流出」などにより、企業存続にまで影響を与える可能性があります。

そのため、特権アカウント管理は、ID管理の中でも最も重点的に管理しなければならない対象とされています。

「特権アカウント」の例

ローカル管理アカウント(システムアカウント)

ローカル管理アカウント(システムアカウント)は、ローカルホスト(インスタンス)のみへの管理アクセスが許可される非個人アカウントです。

主として、メンテナンスを実行するためにITスタッフによって日常的に使用されます。

ドメイン管理アカウント

ドメイン管理アカウントは、ドメイン内のすべてのサーバに対する特権的管理アクセスが許可されます。

ネットワーク全体で広範囲なアクセスを提供します。

緊急アカウント

緊急アカウントは、緊急時に、特権のないユーザーに対して安全なシステムへの管理アクセスを提供します。

「Firecall」または「Breakglass」アカウントと呼ばれることもあります。

サービスアカウント

サービスアカウントは、アプリケーション(サービス)がOSと対話するために使用する特権アカウントです。

アプリケーションアカウント

アプリケーションアカウントは、アプリケーションが「データベースアクセス」「バッチジョブ実行」「スクリプト実行」「他アプリケーションへのアクセス」などを実行するために使用するアカウントです。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

クラウドID管理における「IDライフサイクル管理」

「IDライフサイクル管理」とは

IDライフサイクル管理(ILM:Identity Lifecycle Management)とは、ユーザーIDの「作成」「更新」「削除」などの継続的かつ適切なメンテナンスアクションの実行を指します。

IDライフサイクル管理は、エンドユーザーがアクセスするすべてのアプリケーション(サービス)に直接結びついているため、IAM戦略全体の中でも非常に重要とされています。

「IDライフサイクル管理」の目標

IDライフサイクル管理の目標は「組織環境全体におけるIDプロセスの自動化」にあります。

自動化により、組織内の異種システム全体において、IDが信頼できるソースと一致する状態になります。

ILMエンジンがなく自動化できていない状態では、IDの変更を手動で処理および管理し、適切なアクションを確実に実行しなければならないため、維持管理は非常に困難となります。

「IDライフサイクル管理」の自動化レベル

「IDライフサイクル管理」の自動化レベルについては、以下のように、おおまかに5段階でレベル設定されています。

レベル0:手動

レベル0は「アカウントのプロビジョニングは完全に手動」「アドホックベースまたは事後対応ベースで完了」の段階です。

各ユーザーアカウントは個別に手動で処理されるため、アカウントデータには人為的エラーが発生しやすくなります。

新入社員入社などの時期には、大量の手動処理が発生するために、多くの時間とコストが必要となります。

レベル1:スクリプトベース

レベル1は「スクリプトベースによる一部自動化」の段階です。

この段階では、アドホックリクエストを解決するために、システム単位でスクリプトが作成され運用されるケースが多いため、システム間連携のためのスクリプトも必要となります。

また、組織内の他部門では、別スクリプトによる異なる運用が実施されているため、全社レベルの完全性は低いものとなります。

レベル2:オンボーディング自動化

レベル2は「オンボーディング自動化」の段階です。

ベンダー提供のツールなどを利用して、オンボーディング(プロビジョニング)を実施することで、新しいユーザーアカウントを作成します。

ただし、この段階では、ユーザーが組織を離れた場合の「ID削除処理」や「部門間異動処理」などの機能はありません。

レベル3:IDロジックエンジン

レベル3は「IDロジックエンジン」の段階です。

このレベルでは、すべてのILM機能を一元化し、IDオンボーディングだけではなく、多数イベントで構成されるライフサイクルプロセス全体を統合的に管理できるIDロジックエンジンを利用できます。

そのため、ユーザーが組織を離れた場合には、IDは簡単に削除できます。

また、どのユーザーがどのアプリケーションやリソースにアクセスできるかを示せるため、監査プロセスが簡素化されます。

レベル4:API駆動型ILM

レベル4は「API駆動型ILM」の段階です。

これは、既存システムが新しいシステムにID情報をプッシュする方法を設計する必要がなく、新しいシステムがAPIでID情報を取得します。

RESTfulAPIを提供することは、システム間の統合またはデータ同期を可能にするための事実上の標準になりつつあります。

ILM実装の複雑さを軽減するために、業界がAPI主導の方向に向かっていることを示す多くの標準が公開されています。

「IDライフサイクル管理」における主な課題

①IDデータ設計

IDデータ設計の課題としては以下のようなものがあります。

・ユーザー情報について信頼できるソースは何か?
・複数ソースがある場合、それらの間でデータを同期するにはどうすればよいか?
・どのようにして一意の「ユーザー名」と「メールアドレス」を作成するか? など

②アドホック手動ID処理タスク

ITチームは、以下の理由で、手動IDタスクによって頻繁に圧迫されます。

・アプリ所有者やビジネスユニット管理者が「誰からのアクセスを許可するか?」を決定する
・各部門で高度にカスタマイズされたビジネスロジックを実装している など

③アクセス許可管理

リモート作業環境の大幅増加が、新しいデジタルコラボレーションリソースの需要を押し上げていることにより、従来にはなかったアクセス許可に関するタスクが増大しています。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

クラウドID管理のセキュリティ「ゼロトラストセキュリティ」

「ゼロトラストセキュリティ」とは

「絶対に信頼しない」セキュリティアプローチ

ゼロトラストセキュリティとは「絶対に信頼しない」というセキュリティアプローチです。

すべてのアクセス試行を、信頼できない「ネットワーク」「デバイス」「ユーザーアカウント」から発信されているものとして扱い、信頼が実証されるまでアクセスは許可されません。

そのため、ゼロトラストセキュリティでは、エンタープライズネットワーク内のユーザーを含むすべてのユーザーアカウントに対して、セキュリティ状態の常時継続的検証が要求されます。

ゼロトラストセキュリティアプローチは、組織が「ネットワーク」「アプリケーション」「データ」へのアクセスを制御するための効果的な方法の1つとして注目されています。

従来型アプローチとの違い

従来型セキュリティアプローチ

従来の「境界ネットワークセキュリティアプローチ」では、ファイアウォールなどの設置により攻撃者をネットワークから遠ざけることに重点を置いており、『エンタープライズネットワーク内のリソースは信頼できる』ことを前提としています。

しかし、リモートワークの普及などにより、この仮定はもはや当てはまらない状況になっています。

ゼロトラストセキュリティアプローチ

ゼロトラストセキュリティでは「ネットワークは侵害されている状態である」と想定し、ユーザー(デバイス)に対して「攻撃者ではない」ことを証明するように要求し、厳密なID検証を実施します。

ユーザー(デバイス)が適切な権限と属性を有していた場合のみアクセスを許可しますが、ユーザー属性や脅威は変更される可能性があるため、最初の1回限りのID検証では不十分です。

常時継続的なID検証が実施され、正当性がなくなるとアクセス拒否となります。

ゼロトラストセキュリティモデルの原則

①信頼できるソースは存在しない

ゼロトラストセキュリティモデルでは「信頼できるソースは存在しない」「攻撃者となりうるユーザーアカウントが潜んでいる」という前提となります。

②各種セキュリティ技術の統合活用

ゼロトラストセキュリティモデルでは、さまざまなセキュリティ技術を統合的に組み合わせて活用することで、ユーザーアカウントを検証し、システムのセキュリティを維持します。

・ID管理
・最小特権制御アプローチ
・多要素認証
・エンドポイントセキュリティ
・マイクロセグメンテーション
・クラウド統合 など

③リアルタイム監視

ゼロトラストセキュリティモデルは本質的に大部分が予防的アプローチですが、ブレイクアウトタイムを最小化するために、リアルタイム監視機能も組み込む必要があります。

ブレイクアウトタイムとは、「侵入者が最初のマシンを侵害してから他システムに侵攻している時間」であり、1秒でも早く発見して対処しなければなりません。

主なリアルタイム監視対象

・ユーザーID
・エンドポイントハードウェアタイプ
・ファームウェアバージョン
・OSバージョン
・パッチレベル
・アプリケーション
・ユーザーログイン状況
・セキュリティステータス
・インシデント検出 など

④包括的セキュリティ戦略との統合

ゼロトラストセキュリティモデルは「包括的セキュリティ戦略における一部」にすぎません。

デジタルセキュリティ技術は企業を保護するために重要な役割を果たしますが、デジタルだけでは侵害を防ぐことはできません。

企業は、ネットワークセキュリティを確保し、潜在的な攻撃を封じ込め、侵害が発生した場合の影響を最小限に抑えるために、「すべてのエンドポイントに対する常時監視」「ネットワーク構造評価」「アクセス権限評価」などを含む包括的なセキュリティ戦略を採用する必要があります。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

クラウドID管理のセキュリティ「エンドポイントセキュリティ」

「エンドポイントセキュリティ」とは

概要

エンドポイントセキュリティとは「エンドユーザーデバイスのエンドポイントまたはエントリポイントが悪意ある攻撃によって悪用されないように保護する」「オンプレミスまたはリモートデバイスから発生する脅威からエンタープライズネットワークを保護する」という考え方を指します。

エンドポイントデバイスの例

エンドポイントとは、ネットワークやアプリケーションへのエントリポイントであり、潜在的なサイバーセキュリティ脆弱性となりうる各種デバイスを指します。

・サーバー
・デスクトップPC
・ノートPC
・タブレット
・スマートフォン
・スマートウォッチ
・モバイルデバイス
・プリンター
・ATM機
・医療機器
・IoTデバイス など

従来の対策方法では対処不可能に

エンドポイントセキュリティという考え方が出てくるまでは、「ファイアウォール」「VPN」「ウイルス対策プログラム」などの従来のセキュリティ製品を使用して、「機密情報保護」「重要なアプリケーションやITシステムへの不正アクセス防御」「悪意のあるソフトウェア防御」「その他の脆弱性保護」などが実施されていました。

しかし、モバイルアプリケーションやクラウドサービスの普及により、かつては明確に定義されていたエンタープライズネットワークの境界が曖昧になっています。また、サイバー攻撃はより巧妙になってきており、従来のセキュリティ対策では対処が難しくなっています。

エンドポイントセキュリティシステムの機能強化

エンドポイントセキュリティシステムは、ネットワークに接続しているエンドポイントをサイバーセキュリティの脅威から保護します。エンドポイントセキュリティは、従来の対策レベルから、「高度なマルウェア」や「悪化するゼロデイ脅威」などからの包括的な保護機能を提供できるように機能強化されています。

サイバーセキュリティ脅威が増加し、高度化が着実に進んでしまっているため、より高度なエンドポイントセキュリティソリューションの必要性も高まっています。

優れたエンドポイントセキュリティシステムは、他のセキュリティテクノロジーと連携し、進行中の攻撃を迅速に検出(分析)を行い、ブロックもしくは封じ込めるように設計されています。

多層防御アプローチ

さまざまな脅威から保護するためには、エンドポイントセキュリティアプローチのみの対策では不十分であるため、各層を連携させた多層防御アプローチによる統合的かつ広範囲のセキュリティ対策が求められます。

「エンドポイントセキュリティ」と「ID管理」

関連性

エンタープライズサイバーセキュリティにおいて、「エンドポイントセキュリティ」と「ID管理」は以下のポイントで関連しています。

①デバイス識別

エンタープライズネットワークに接続するすべてのデバイスに対して、「登録」や「識別」するためのIDが必要です。

②セキュリティ対策

従来のアンチウイルスレベルでは不十分であり、潜在的な侵害を特定するために、各デバイスには動作ベースラインを備えた独自IDが必要です。

③認証と監視

エンドポイントセキュリティを動作させるためには「強力な認証」と「ログイン監視」が必要です。

エンドポイントパスワード制御

エンドポイントセキュリティの主要なコンポーネントには「アプリケーション制御」と「パスワード制御」が含まれます。

これらの機能により「悪意あるプログラムが正当なアプリを装ってデータを収集しネットワークから送信する」ことを防げます。

アプリケーション制御強化

ID管理ソリューションは、エンドポイントセキュリティにおけるアプリケーション制御強化に役立ちます。

作業エンドポイントにプログラムをダウンロードするために必要なアクセス許可をITセキュリティチームに限定することで、一般ユーザーになりすました攻撃者によるダウンロードを防げます。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

クラウドID管理のセキュリティ「概要」

ID管理におけるセキュリティの重要性

リモートアクセスユーザーの増加

サイバー空間におけるセキュリティ重要性意識の高まりにより、ID管理市場も大きな変化を遂げています。

これまで以上に多くのユーザーがリモートでさまざまなアプリケーションにアクセスしているため、リモート接続の「スタッフ」「パートナー」「顧客」のアクセス権に関する詳細な制御が重要となっています。

「シングルサインオン(SSO)ソリューション」や「多要素認証(MFA)ソリューション」などに対するセキュリティ要求も高まっています。

ID管理ソリューションは企業存続に不可欠なセキュリティ基盤

これらのID管理基盤に対して適切なコストを掛け続けない場合は、企業の存続に影響を与えかねないリスクに直結します。

主なリスク

・データ窃盗
・知的財産盗難
・サービスダウンタイム発生
・顧客からの信頼や評判の低下
・インシデント対応コスト発生
・GDPRなどのコンプライアンス規制による高額の罰金発生 など

ID管理ソリューションの高度化

ID管理ソリューションには、さまざまな新しいセキュリティ管理機能が求められているため、多くのID管理ソリューションの機能は高度化しています。

主な機能

・疑わしいアクティビティ発見による自動シャットアウト機能
・セキュリティスタッフへの適切な警告機能
・継続的な適応型監視機能 など

ID管理ソリューションに求められるセキュリティ要素

一般的な標準機能

優れたID管理ソリューションには、標準機能として多くの機能が搭載されています。

・適応認証機能
・コンテキスト認証機能
・シングルサインオン機能
・多要素認証機能
・IDプロトコルサポート—SAML、OAuth、OIDC
・アクセスポリシー管理機能
・セッション管理機能
・ロギングおよびレポート機能
・クラウドアクセスセキュリティブローカー機能
・エンドポイントセキュリティ機能
・アプリケーション+セキュリティ製品の統合機能—Webアクセスファイアウォール など

可視化機能

クラウドを含むITインフラストラクチャ全体において、「どのユーザーが何にアクセスできるのか?」「そのアクセスにより何を実行できるのか?」について、組織との関係性が適切かどうかを確認し、セキュリティと非セキュリティのスコープを把握できる可視化機能も重要です。

オンボーディング(オフボーディング)自動管理機能

ID管理ソリューションの中には、「ユーザーのオンボーディングとオフボーディング」において、時間経過による変化に対応して、ユーザーアクセス権限を自動設定する機能を提供するソリューションもあります。

この自動管理機能が正しく動作すると、「監査ログ欠落」「特権クリープ」「特権昇格攻撃」「一般的なIDやパスワードの混乱」などの発生を低減できます。

ID管理実装時のセキュリティに関する課題

主導的管理者の設定

企業内にID管理システムを展開する場合、「組織内の誰が、IDおよびアクセスポリシーの開発/制定/実施において主導的な役割を果たすのか?」を決定しておく必要があります。

IDリポジトリビュー

一般的な企業では、多くの「シャドーIT」や「SaaSアプリケーション」が混在しているため、すべてのIDステータスを正確に把握することは困難になっています。

すべてのIDリポジトリを統合的に把握できる「IDリポジトリビュー」を作成し、ID管理範囲を切り分け、すべてのIDステータスを確実に把握しながら運用する必要があります。

最小特権の原則

「最小特権の原則」とは「ユーザーアクセス権を作業実行するための必要最小限アクセス許可に制限する」というコンピュータセキュリティにおける重要な概念です。

最小特権の原則を適用することで、「アプリケーション」「システム」「プロセス」「デバイス」などに関するアクセス権について、許可されたアクティビティを実行するために必要なアクセス許可のみに制限でき、セキュリティを高められるという基本的な考え方を表しています。

特権アクセス管理

スーパーユーザーアカウント(システム管理者など)に付与される特権アクセスの管理は、最悪の場合、システム群が保持する全データを失ってしまう大きなリスクがあるために、ID管理セキュリティにおいて、特に重要な管理対象となります。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

クラウドID管理のリスクと課題「J-SOX」

ID管理は、企業における「内部統制」と大きく関わります。

今回は、その内部統制の1つの基準である「J-SOX」について紹介します。

「内部統制」とは

内部統制とは「企業防衛のために組織へのあらゆる損失を回避または最小限に抑えるための管理手法」を指します。

詳細はこちらのリンクページを参照ください。

→keyspider.jp →ID管理のリスクと課題「内部統制」

「J-SOX」とは

概要

J-SOXとは「内部統制報告制度」であり、「財務報告に係る内部統制に関する報告制度」を指します。

企業における内部統制とは「さまざまな業務が適正に実施され、組織が適切にコントロールされているかどうかをチェックすること」を指しますが、日本企業は内部統制のためにJ-SOXに対応することが必要とされています。

報告義務

日本の上場企業においては、例外なくJ-SOXへの対応が必要であり、事業年度ごとに「財務業務における内部統制評価結果」を国に報告する義務があります。

公認会計士もしくは監査法人による監査を受けた「内部統制報告書+有価証券報告書」を内閣総理大臣へ提出することが義務付けられています。

米国「SOX法」と日本版「J-SOX法」

J-SOX法は、米国のSOX法(企業改革法)をベースとしており、「日本(Japan)版SOX法」ということから「J-SOX法」と呼ばれています。

米国「SOX法」と同様に日本版「J-SOX法」も、「財務報告における内部統制」と「不正会計防止」を目的としています。

米国「SOX法」は運用における企業負担が膨大となることが課題となっていましたが、日本版「J-SOX法」では「経営者向けガイダンスサポート」や「ダイレクトレポーティング(企業監査人による内部統制テスト)」などにより、企業負担低減が図られています。

目的

J-SOXによる内部統制では、「財務報告書の信頼性確保」を中心として以下の4点が目的とされています。

1.業務の有効性と効率性
2.財務報告信頼性
3.関連法規遵守
4.資産保全

対象項目

J-SOXは以下の6項目を対象としています。

1.統制環境
2.リスクの評価と対応
3.統制活動
4.情報と伝達
5.モニタリング
6.ITへの対応

J-SOXにおける「ITへの対応」

J-SOXにおける「ITへの対応」は、金融庁が出している「財務報告に係る内部統制の評価及び監査に関する実施基準」の中の「ITの統制の構築」に関連しており、特にID管理と関わる項目となります。

「ITへの対応」として、以下の3項目が対象範囲とされています。

①IT全社的統制

「①IT全社的統制」とは「企業グループ全体としてのIT統制」を意味しています。

複数の会社を抱える企業グループの場合、本社や子会社のそれぞれのITシステムリスクを個別に評価するだけでなく、企業グループ全体としてのIT統制が必要です。

グループ全体で「ITシステム活用ポリシー」を設定し、本社や子会社の区別なく企業グループの末端まで、ITシステムガバナンスが適用される仕組みの構築が必要です。

②IT業務処理統制

「②IT業務処理統制」は、「企業業務管理システムにおいて承認された業務がすべて正確に処理(記録)されることを確保するために業務プロセスに組み込まれたITに関わる内部統制」を意味します。

「①IT全社的統制」をベースとし、「ERP」「販売管理」「会計管理」「在庫管理」「ワークフロー」などの個別システムについての方向性をまとめたもので、システムの具体的な「実装」「運用」「保守」に関する部分が対象となります。

③IT全般統制

「IT全般統制」は、「業務処理統制が有効に機能する環境を保証するための統制活動」を意味しています。

「複数の業務処理統制に関係する方針と手続」であり、「業務に必要な複数のシステムを連携させる場合のルール設定」や「内外アクセス管理などのシステム安全性確保」が中心となります。

対象項目例

・システムの「開発」「運用」「保守」における変更管理
・ID管理やセキュリティ対策によるアクセスと安全性の確保
・外部委託契約管理 など

まとめ

内部統制はコーポレートガバナンスの根幹であり、その内部統制をチェックするためのJ-SOX法は企業にとって非常に重要な制度です。

企業は「内部統制」「J-SOX」「コーポレートガバナンス」「セキュリティ保護」などの多くの要求に対応できるように、適切なID管理ソリューションを導入して、厳格なID管理の運用実施が求められます。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト