クラウドID管理 とは?

「 クラウドID管理 とは?」として、「IDプロバイダーとは?」「クラウドID管理ソリューションの特徴」「マルチプロトコル相互認証接続」「セキュリティ」「管理性向上」「オンプレミスID管理との統合」など、クラウドID管理の概要について紹介します。

「 クラウドID管理 とは?」として、「IDプロバイダーとは?」「クラウドID管理ソリューションの特徴」「マルチプロトコル相互認証接続」「セキュリティ」「管理性向上」「オンプレミスID管理との統合」など、クラウドID管理の概要について紹介します。

「 クラウドID管理 」に関する近年の動向

ID管理環境の革新

過去数年間において、「デジタルトランスフォーメーション」「クラウドトランスフォーメーション」「リモートワーク」「セキュリティ」など、さまざまな理由があり、テクノロジーを革新する動きがありました。

特に、ビジネスとテクノロジーの分野において、クラウドコンピューティングでのID管理も大きな革新を遂げています。

「シングルサインオン機能」から「統合クラウドID管理」へ

クラウドID管理に関する初期の取り組みは、IDaaS(Identity as a Service)と呼ばれているWebアプリケーションへのシングルサインオン機能でした。

最近のアプローチでは、Active Directoryを拡張するだけではなく、オンプレミスのインフラストラクチャやアドオンを必要とせずに、クラウドで本格的なID管理システムを利用できるようになっています。

普及するクラウドID管理

多くの企業は、「昔ながらのオンプレミス環境」から「クラウドベース環境」に向かって進んでいます。

さまざまなベンダーを通じて、プライベート(パブリック)クラウドプラットフォームにビジネスプロセスを移行しています。

ビジネスプロセスの基盤となるID管理についても、多くの企業がIDの認証と承認のプロセスをクラウドに移行しています。

「クラウドID管理」の概要

クラウドベースフレームワーク

クラウドID管理サービスは、ユーザーがアプリケーションに接続できるようにするフレームワークを提供します。

クラウドID管理の成長

クラウドID管理(CIM)は、IDおよびアクセス管理(IAM)に属するセグメントの1つであり、ホスト型IDプロビジョニングサービスの自然な進化として成長しています。

クラウドID管理の成長の原動力には、クラウドサービスの「規模」「柔軟性」「弾力性」「エンタープライズセキュリティ」「豊富なID管理機能」が含まれます。

クラウドID管理の目標

クラウドコンピューティングにおけるID管理の主な目標として、次の2点があります。

①個人のID情報を処理
②ユーザーのアクセスを正確に制御—データ、コンピューターリソース、アプリケーション、サービス

次世代のID管理

クラウドコンピューティングにおけるID管理は、単純なWebアプリのシングルサインオン(SSO)ソリューションではなく、IDおよびアクセス管理(IAM)ソリューションの次のステップです。

各種ID管理技術のクラウド化

「各種ID管理技術」および「ID管理インフラストラクチャ全体」がクラウドへシフトしています。

・IDプロバイダー
・シングルサインオン(SSO:Single Sign-On)
・多要素認証(MFA:Multi-Factor Authentication)
・特権IDアクセス管理(PAM:Privileged Access Management)
・IDガバナンス管理(IGA:Identity Governance & Administration) など

クラウド化によるメリット

クラウドID管理により、エンタープライズクラスのID管理は大きく進化しました。

これにより、多くのメリットを享受できます。
・ヘルプデスクのアウトソーシング
・アカウントのライフサイクル管理標準化
・セキュリティ向上
・コンプライアンス向上 など

DaaS

「DaaS:Directory-as-a-Service」とは、従来のオンプレミスで利用されていた「LDAP:Lightweight Directory Access Protocol」や「AD:Active Directory」をクラウドサービス化したものです。

従来のオンプレミスレガシーソリューションが提供する機能に加え、最新のクラウドID管理技術をサポートできます。

「IDプロバイダー」とは?

ユーザーがアクセスを取得しようとすると、アプリケーションは最初にIDプロバイダーに認証を確認します。

堅牢なIDプロバイダーソリューションを使用することで、複雑化しているIT環境においてID認証を実施できます。

ディレクトリサービスを提供

IDプロバイダー ≒ ディレクトリサービス

IDプロバイダーとは、基本的に、従来のディレクトリサービスと同様な機能を提供します。

ネットワーク上に存在する「リソース」「所在」「属性」「設定」などの情報を収集しており、エンタープライズユーザーの中央レジストリを提供し、適切なユーザーが必要なリソースに安全にアクセスできるようにします。

セキュリティ管理者は、この機能により、「ユーザー」「デジタルデバイス」「ネットワークリソース」などのIDを整理し管理できます。

管理対象リソースの例

IDプロバイダーは、さまざまなリソースを管理対象とします。

・クライアントソフトウェアアプリケーション
・サーバーソフトウェアアプリケーション
・PC、サーバー
・モバイルデバイス
・IoTデバイス—各種センサー類
・プリンター
・物理制御システム など

主なIDプロバイダー

主なIDプロバイダーとして、以下のようなものがあります。

・Azure Active Directory
・OKTA
・PingIdentity
・OneLogin
・Keyspider など

フェデレーションIDによるシングルサインオン機能

IDプロバイダーを利用すると、ネットワーク全体で単一のIDを実装できます。

この単一IDは「フェデレーションID」と呼ばれ、シングルサインオン(SSO)に活用できます。

検証済みユーザーは、単一の資格情報セットを使用して複数のアプリケーションにアクセスできます。

通信規格

IDプロバイダーは「SAML」や「OAuth」を使用して相互に通信し、Webサービスプロバイダーと通信します。

SAML

「SAML:Security Assertion Markup Language」は、ドメイン間で認証情報を交換する一連のプロファイルです。

SAMLモデルでは、IDプロバイダーはプロファイルを使用して認証を発行します。

この方法は、Webアプリケーションで機能するように設計されていますが、デスクトップアプリでも機能します。

OAuth

「OIDC:OpenID Connect」を使用する「OAuth:Open Authorization」は、特別なタイプのOAuth2.0認証サーバーを使用するOAuth上のIDレイヤーです。

トークンを使用してユーザーを検証し、認証を提供します。

クラウドID管理ソリューションの特徴

マルチプロトコル相互認証接続

最新のクラウドID管理ソリューションは、事実上すべてのITリソースが「ネイティブ認証言語」で接続できるようにするマルチプロトコルであることに重点を置いています。

LDAPまたはSAMLベースの認証を使用するさまざまなリソースにユーザーを接続します。
・オペレーティングシステム
・オンプレミスアプリケーション
・Webベースアプリケーション
・クラウドサービス
・任意のデバイス など

セキュリティ

ユーザーポリシー

クラウドID管理では、検証済みIDに対して「ユーザーポリシー」と「制限」を組み込むことにより、エンタープライズシステム内のリソースへのアクセスを制御します。

これは、ネットワーク上のユーザーに関する情報を制御するための優れた方法であり、「ポリシー」「ロール」「アクセス権限」を設定することにより、システム全体でユーザーIDを制御できます。

ゼロトラストセキュリティ

「ゼロトラストの原則」を使用して、クラス最高のセキュリティを活用できます。

トランザクション可視性

「セキュリティ」「プライバシー」「コンプライアンス」が最優先される時代において、最新のクラウドID管理プラットフォームは、すべてのアクセストランザクションの詳細な可視性を提供できます。

管理性向上

クラウドID管理により管理オーバーヘッドを制限し、セキュリティとユーザー管理性を向上できます。

一貫したアクセス制御インターフェース

クラウドID管理ソリューションは、単一のアクセス制御インターフェースを提供します。

管理ユーザーは、クラウドサービスを使用してすべてのサービスや機能を1か所で処理できます。

クイックプロビジョニング

実質的にすべてのITリソースに人事管理システムを統合して、「プロバイダー」「プラットフォーム」「プロトコル」「場所」などに関係なく、ユーザーをプロビジョニングできます。

また、オンボーディング(オフボーディング)プロセスの自動化も可能です。

オンプレミスID管理との統合

オンプレミスからクラウドへの拡張

既存のオンプレミスディレクトリ(LDAPやActive Directory)を、「AWS」「Google Cloud」「Azure」などでホストされているクラウドサーバーに接続することで、クラウド拡張できます。

クラウドコンピューティングにおけるID管理の最新アプローチとしては、コマンドを実行する使いやすいSaaSベースのソリューションを使用して、既存ディレクトリをクラウドに拡張します。

オンプレミス+クラウド両立の弊害

「クラウドID管理ソリューション」と「オンプレミスディレクトリを利用するレガシーID管理ソリューション」を同時にアクティブにすると、混乱と弊害が発生します。

クラウドとオンプレミスのIDを統合していない場合、ユーザーを管理するためのコストが増大し、最終的には大きなセキュリティリスクにつながります。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

CIAM とは?~顧客重視クラウドID管理~

クラウドID管理における「 CIAM 」とは

クラウドID管理における「 CIAM (Customer Identity and Access Management)」について紹介します。顧客を中心とするID管理である「CIAM」は、デジタルフォーメーションにおけるビジネスの根幹として注目されているソリューションです。

「 CIAM 」とは

CIAM = 顧客重視のID管理

CIAM (Customer Identity and Access Management)は「顧客を中心として重視する包括的ID管理」を意味します。

CIAMは、主な機能として、「デジタルプロパティへのアクセス機能」と「ユーザーデータの管理/収集/分析/保存などの各種機能」を提供します。

高機能なCIAMソリューションは、顧客が企業ブランドとの関わりにおいて、どのチャネル(Web、モバイルなど)を使用するかに関係なく、セキュアでハイパフォーマンスなユーザーエクスペリエンスを提供できます。

CIAMは、企業がデジタルIDを作成し、顧客との関係を管理する方法において、ますます中心的な役割を果たしています。多くの企業は、デジタルトランスフォーメーションの一環として、ビジネスの根幹となるCIAMに対して、大規模な投資を実施しています。

「 CIAM 」の利用技術

ID管理機能統合

CIAMソリューションは、各種ID管理機能を網羅しています。

・IDライフサイクル管理機能
・アクセス管理機能
・シングルサインオン機能
・多要素認証機能
・ディレクトリサービス機能
・データアクセスガバナンス機能 など

マーケティングビジネス関連機能統合

CIAMは、一般的なIAM(ID管理)機能に加え、マーケティングビジネス関連機能を統合しています。

・CRM(顧客関係管理)
・CMS(コンテンツ管理)
・マーケティングプラットフォーム
・eコマースプラットフォーム
・データ管理プラットフォーム など

ビジネス統合のないCIAMは、期待されるビジネスの成長という点ではほとんど価値がありません。

IDaaS

CIAMソリューションは「オンプレミス」「プライベートクラウド」「IDaaSプラットフォーム」などに展開できるソフトウェアを介して提供できます。

しかし、CIAMの複雑さとダイナミズムを考えると、多くの企業は、社内でCIAMソリューションを構築するのではなく、APIファーストのサードパーティIDaaS(Identity-as-a-Service)プロバイダーの利用を選択しています。

CIAMソリューションは配信方法に関係なく、デジタルアプリケーションへのアクセスエクスペリエンスをシームレスかつセキュアに提供することを目標としています。

「 CIAM 」が重要な理由

CIAMでは、特に「カスタマーエクスペリエンス」と「セキュリティ」が重要となります。

一方を犠牲にして他方を追求することなく、理想的なバランスを支援します。

「優れたカスタマーエクスペリエンス」を提供

CIAMにより、優れたカスタマーエクスペリエンスを提供できます。

見込み顧客に対して、効果的にブランドを紹介し、熱心な顧客になってもらうための力強いサポートとなります。

カスタマーエクスペリエンスを軽視すると、顧客離れにつながります。

「ユーザーは、お気に入りのブランドでも、1回悪い経験をすると30%離れる」という調査結果もあります。

顧客を保護する「セキュリティ」を提供

顧客は「詐欺」「金銭侵害」「プライバシー侵害」などのセキュリティリスクから保護されることを非常に重要視しています。

堅牢なCIAMソリューションは、認証からデータレイヤーにまで及ぶ強力なセキュリティ機能を提供することで、さまざまな侵害リスクを軽減し、「顧客信頼喪失」「企業評判悪化」「企業収益悪化」の発生可能性を引き下げます。

CIAM による「プライバシー」と「規制コンプライアンス」

顧客は、企業がデータの優れた管理者になることを期待しています。

CIAMは、顧客の同意により、GDPR(一般データ保護規則)などのプライバシー規則に準拠する機能も提供します。

企業は「グローバル国際標準」「国内法令」など、さまざまなコンプライアンスに準拠することが求められますが、すべてを独自でカバーすることは困難です。

最新状況に追随しアップデートを継続するCIAMは、企業にとって強力なサポートとなります。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

クラウドID管理における「 ID管理 ベストプラクティス 」

クラウドID管理における「 ID管理 ベストプラクティス 」として、「対応すべきサイバーセキュリティ」「ID管理ベストプラクティス10選」について紹介します。企業はID管理ベストプラクティスを再評価することで、さらにセキュリティレベルを向上させる必要性にせまられています。

クラウドID管理における「 ID管理 ベストプラクティス 」として、「対応すべきサイバーセキュリティ」「ID管理ベストプラクティス10選」について紹介します。企業はID管理ベストプラクティスを再評価することで、さらにセキュリティレベルを向上させる必要性にせまられています。

「ID管理ベストプラクティス」とは

目的

IDおよびアクセス管理(IAM)のベストプラクティスでは『ネットワークユーザーに付与されるアクセス権限を明確に定義および監視し、許可されたユーザーにのみ適切にアクセス権限が付与されるようにすること』を目的としています。

ID管理ソリューションは、ゲートキーパーとして、施設に入ろうとしている人または対象に応じて、入室を許可(拒否)し、指定エリア内に存在するすべての訪問者の動きを注意深く監視します。

企業内でID管理ベストプラクティスを開始および実施することにより、サイバー犯罪者から、ビジネス上の「利益」「情報資産」を効果的に保護できます。

ID管理ベストプラクティスに投資して実施するためには、組織内の「ITインフラストラクチャ」「システム」「資産」の完全な概要を把握して、既存の潜在的脅威についてすべての要素を綿密に監視できるようにする必要があります。

構成要素

ID管理ベストプラクティスは、主に次の要素で構成されます。

・特定システムまたはネットワーク内のユーザー識別
・特定ユーザーの役割の識別
・個人に対する役割の追加/更新/削除
・個人に対する的確な権限割り当て
・ユーザーまたはグループのアクセス確立および権限割り当て
・システムまたはネットワーク全体のすべての情報セキュリティ対策

メリット

企業と顧客が高度に相互接続される現状を考えると、ID管理ソリューションへの投資は、すべての企業とって不可欠です。

データ漏洩に対する予測と準備を怠り、データ漏洩インシデントが発生してしまった場合、ID管理ベストプラクティスに投資するコストよりも、遥かに莫大な損害となる可能性があります。

ID管理ソリューションに投資しベストプラクティスを実装することで、潜在的な内部および外部のデータ侵害のリスクを軽減できます。企業はシステムを手動で監視する場合と比較して、ネットワークやシステムについて大幅に効率的に管理できます。

「ID管理ベストプラクティス」によって対応すべきサイバーセキュリティ

コロナ禍の影響によりリモートワークが普及したことは、「ID管理」と「サイバーセキュリティ」の関係において、セキュリティリスクが増大する結果となりました。

社外ネットワークに潜む脅威は、急激なリモートワーク移行の隙を突き、ランサムウェア攻撃被害が増加しました。

企業は、IDおよびアクセス管理のベストプラクティスを再評価することで、さらにセキュリティレベルを向上させる必要性にせまられています。

フィッシング攻撃

企業従業員に対するサイバーセキュリティ教育が促進されたことにより、以前より、従業員はフィッシング戦術に気付くようになってきてはいます。

しかし、サイバー攻撃者はそれを上回るように巧妙化したフィッシング攻撃を繰り返しています。

クローンフィッシング攻撃

クローンフィッシング攻撃は、巧妙化したフィッシング攻撃の1パターンです。この攻撃スタイルには、基本的なフィッシング詐欺の要素がすべて含まれています。

クローンフィッシング攻撃では、特定の要求でユーザー(組織)を装うのではなく、信頼できる組織によって以前に送信された正当な電子メールをコピーすることで、ユーザーをだまします。

攻撃者はリンク操作を使用して元の電子メールに含まれている実際のリンクを置き換え、被害者を詐欺サイトにリダイレクトして、ユーザーをだまして実際のサイトで使用する資格情報を入力させます。

BYOD(Bring Your OwnDevice)

BYOD(Bring Your OwnDevice)とは、従業員が自分の「ノートPC」「スマートフォン」「タブレット」などを使用して、「会社の電子メール」や「仕事のドキュメント」などにアクセスし、選択したデバイスで作業できるようにするポリシーを指します。

リモートワークへの移行により、強制的に加速されたBYOD環境が作り出されました。

企業は従業員が自分のデバイスで作業できるようにすることで、大幅なコスト削減を享受できますが、しかし一方で、セキュリティシステムへの負担を増大させています。

さまざまな種類のデバイスを追跡し厳格に管理することは困難であり、多くのデータ漏洩インシデントなどが報告されています。

課題①デバイス紛失

デバイス紛失は、BYODセキュリティにおいて最大の脅威となる可能性があります。

悪意のある人物にデバイスが渡った場合、簡単に侵入され、ID管理関連情報がマイニングされる危険があります。

課題②マルウェア感染

マルウェアはPCに感染することは知られてきましたが、スマートフォン(タブレット)に感染するマルウェアが存在していることは、まだそれほど認知されていません。

スパイ目的で作成されている可能性があるアプリをインストールすることに注意を払わない従業員も数多くいます。

また、サポートが終了した古いモバイルOSを利用し続けることも、大きなリスクとなります。

課題③安全ではないネットワークへの接続

従業員が無料Wi-Fiを使用して仕事にログインすると、企業データが危険にさらされます。

空港やカフェなどの公共スペースにあるような無料Wi-Fiには、トラップが仕掛けられている場合があるため、安全ではないインターネットネットワークと認識すべきです。

攻撃者は、従業員デバイスと企業システムの間で送受信されるトラフィックを傍受し、それを分析して企業システムに侵入するリスクがあります。

クラウド脆弱性

レガシーデータセンターに関連する多様性とコストのために、企業は機密データをレガシーデータセンターからクラウドに急速にシフトしています。

『企業のワークロードの83%がクラウド上に存在している』というデータもあります。

しかし「クラウドならば安全」ということはなく、クラウドにも脆弱性課題があります。

クラウドセキュリティ脆弱性の例

・アカウント乗っ取り
・DDoS攻撃
・安全ではないインターフェース(API)
・悪意のある内部脅威
・構成の誤り
・サプライチェーンリスク など

IoT脆弱性

IoTの採用により、企業は相互接続されたテクノロジーへの依存度を高めています。

その結果、攻撃者はIoTインフラストラクチャの脆弱性を悪用し、DDoSやランサムウェアなどのセキュリティ脅威が一般的になりつつあります。

電子医療記録

病院や医療施設が患者の記録をデジタル化することで、電子医療記録は急速にサイバー犯罪者の大きな標的になりつつあります。

攻撃者はセキュリティ防御の複数の欠陥を突いて医療情報を奪取します。

プライバシー情報の根幹とも言える医療記録情報が盗まれ悪用されることは、非常に大きな脅威となります。

ID管理ベストプラクティス10選

ID管理ソリューションの有効性を最大化するために活用できる「10のベストプラクティス」を紹介します。

①ゴールを明確にする

ID管理システム構築の発端

ID管理ソリューションの選定開始は、通常、組織の問題点発覚がきっかけとなります。
・ITエコシステムの複雑さが増している
・過度の「アクセス要求」「パスワードリセット要求」による負荷増大
・コンプライアンス監査での違反発覚
・過剰なユーザー権限が発見される など

しかし、重大インシデントが発生する前に「データ侵害が組織に影響を与える危険性」に対するアクションを開始できるのは幸運でもあります。

ゴールの明確化

ID管理システム構築における最初のステップは、「最終的にどこに行きたいのか?」という目標を明確にイメージすることです。

各種テクノロジーソフトウェアは、特定の問題セットに応じて、作業プロセスの自動化や高速化に役立ちますが、企業が直面しているすべての問題を解決できるわけではありません。

企業の理想的なプロセスを掘り下げて学んだルールとポリシーを実装することによってのみ、ID管理ソリューションは望ましい最終結果に到達できます。

②スモールスタート

ID管理システムの最初の実装時に、大規模システムの一部である小規模システムから開始すると、タイムラインを短く集中させることができ、短期的成果も獲得できます。

このような「短いスプリント」のプロジェクトサイクルは、「追加モジュール統合」や「ID管理システムの拡張統合」などの、将来の作業を支援します。

ID管理システムは、最初の実装が完了した後も、組織とともに進化し成長し続ける必要があります。

③統合可視性を高める

監視対象は複雑な巨大システム

システムやネットワークの領域は非常に複雑になる場合があり、膨大な数の「サーバ」「ポータル」「データベース」「アプリケーション」「ユーザー」などが存在しています。

これらすべてが同時に稼働し、それぞれのタスクが実行されるため、すべてのコンポーネントを監視することは困難です。

これに加えて、すべてのネットワークユーザーを適切に監視し、資格のあるディレクトリやファイルにのみにアクセスを許可する責任があります。

統合可視性

作業規模を考慮すると「統合可視性」が重要となります。

・「ID管理」と「サインオンポリシー」の両方を一元化
・調和のとれた監査済ユーザーエクスペリエンスを提供
・割り当てられたすべてのネットワークマネージャーの統合可視性を高める など

④ゼロトラストセキュリティアプローチ

ゼロトラストセキュリティアプローチとは

ゼロトラストは、ID管理ランドスケープに該当するネットワークセキュリティモデルです。

ゼロトラストの哲学は『すべてのユーザーとアプリケーションは、ネットワークの内外を問わず、信頼されるべきではない』という考え方にあります。

「ユーザーが正しいパスワードを入力できた」という理由だけで、そのユーザーに対して全幅の信頼を与えてはいけません。

企業は情報資産を守るために、これまで以上に、すべてのユーザーを疑い続けるスタンスが必要です。

検証レイヤーの追加実装

企業システムは「多くのスタッフが企業ネットワークの外部で作業」「複数のデバイスとアプリケーションを使用」「オンプレミスとSaaSアプリケーションが混在」など、企業ネットワークの内外が複雑に絡み合う状態になっています。

複数のポートやプラットフォームを介してアクセスされる場合に、システムまたはネットワークがユーザーアクセス権限をさらに検証できるようにする手段を実装する必要があります。

セキュリティ障壁である検証レイヤーの追加により、サイバー犯罪者による不正侵入を防げる可能性を高めることができます。

⑤最小特権原則の実装

「最小特権の原則」とは、『ユーザーに必要最小限のアクセス権限のみを割り当てる』という考え方です。

「ロールベースアクセス制御」や「アクセス領域の最小化」は、内部および外部のデータ侵害のリスクを軽減する効果的な方法です。

「ユーザーおよびグループのIDセキュリティ強化」「ビジネスプロセスの定義および強化」「サイバーセキュリティ全体の可視性向上」などに役立ちます。

⑥オンボーディング(オフボーディング)プロセスの自動化

「オンボーディングプロセス」と「オフボーディング」を自動化することにより、ITチームは、「一般的に共有されているディレクトリ」や「特定用途で使用するためのディレクトリ」などについて、新入社員が受け取る必要のあるアクセス権限の明確なフレームワークを作成して実装できます。

このベストプラクティスは「すべてのユーザーに社内情報ネットワーク全体へのアクセスを提供する」「ユーザーの部門異動時に即座に権限変更ができる」「組織内からのデータ悪用を適切に制御できる」などの有用性があります。

ITチームは管理負荷を低減できるようになり、セキュリティ脅威の防止にさらに専念できます。

⑦多要素認証

脆弱なパスワードセキュリティ

パスワードによる保護は、個人情報や企業情報の保全のためには脆弱すぎることが何度も示されています。

「弱くて推測しやすいパスワード設定」「パスワード共有」「すべてのデバイスで同じパスワードを使用する」などのセキュリティに対する知見や意識が低いスタッフの存在が、ハッカーによるデータ侵害を引き起こしています。

多要素認証によるセキュリティレイヤーの追加

企業が実行できるID管理ベストプラクティスとして「多要素認証システムの使用」があります。

多要素認証は、ユーザーがシステムに資格情報を入力する時に、二重に安全であることを保証する追加の検証方法です。

多要素認証などのアクセス管理ツールを実装することにより、アプリケーションやデバイスへのログオン時、セキュリティの追加レイヤーを作成できます。

機密情報が保存されているディレクトリへのアクセス要求ページに、より堅牢なレイヤーを追加することで、潜在的なサイバーセキュリティ攻撃を阻止できる可能性を高めることができます。

多要素認証の例

・追加パスコード認証—チャレンジ/レスポンス方式、SMSメッセージングシステム
・バイオメトリクス認証—顔認識、指紋認識
・セキュリティトークン認証
・セキュリティカード認証 など

⑧高リスクシステムの特定と管理

高リスク(レガシー)システムが存在しているリスク

エンタープライズ企業や中小企業では、安全性とセキュリティの更新が行われなくなったレガシーシステムを引き続き利用しています。

これらのパッチが適用されていないレガシーシステムを使用して保存されている機密情報には、サイバー犯罪者がレガシーの抜け穴を使用してネットワークに侵入しアクセスする危険性があります。

ITセキュリティを管轄するITチームは、稼働しているすべてのシステムのリストを作成することで、セキュリティ状況を確認し、潜在的なセキュリティ脅威を洗い出しておく必要があります。

危険性が判明したレガシーシステムに対しては、セキュリティが維持されている代替可能システムへの移行を検討しなければいけません。

レガシーシステム監視強化によるリスク低減

レガシーシステムの応急手当的セキュリティ強化方法として、レガシーシステムに対する監視強化でリスクを低減する方法があります。

レガシーシステムへの「ログイン画面」や「入出力ポート」などに、セキュリティレイヤーを追加することで、ある程度のセキュリティ向上を図れます。

クラウド移行によるリスク低減

歴史的に、企業はセキュリティ脅威を恐れて、オンプレミスからクラウドへの移行について消極的でした。

しかし、クラウドサービスプロバイダーは、セキュリティに関して多大な人的リソースやコストを投入することで、オンプレミスでは対応できない豊富なセキュリティ機能を提供するようになりました。

昨今において、セキュリティレベルが最高水準に達していないオンプレミスサーバを利用し続けることは、クラウドベースよりもリスクが高い状況になってきています。

レガシーシステムを廃止しクラウドサービスへ切り替えることで、「パッチ管理」「セグメンテーション」「暗号化」「統合」などのアクセス要件を通じてセキュリティを強化できます。

⑨孤立アカウントの監視と破棄

サイバー犯罪者が狙うエントリポイント

サイバー犯罪者は、企業内ネットワークにアクセスするために悪用できる脆弱なエントリポイントを執拗に探しています。

認識されている弱点の1つとして「孤立(休止状態)アカウント」があります。

孤立アカウントは監視対象としての重要度が低めとなっている場合が多く、サイバー犯罪者に利用されると、企業情報を盗み出すための金鉱になります。

アカウントの非アクティブ化

ユーザーの「退社」や「グループ会社への異動」などによって発生する孤立アカウントは、対応する処理と同時に、非アクティブ化を実施し、孤立アカウントが存在し続けることがないように対応する必要があります。

⑩企業要件に合致するソリューションの選択

すべての企業には「経営規模」「従業員人数」「ユーザーアクセス要件」「ビジネス目標」などに応じて、さまざまなITセキュリティニーズがあります。また、時間の経過により、ニーズは変化し続けます。

そのタイミングのニーズに適合するようにID管理ソリューションを選定し、ニーズの変化に合わせて、セキュリティポリシーを変更し、ID管理ソリューションのカスタマイズを継続していく必要があります。

そのため、ID管理ソリューションの初期導入の際には、「セキュリティ強度」と共に「十分な拡張性」にも留意が必要です。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

クラウドID管理のリスクと課題「アクセス管理監査」

「ID管理監査」の必要性

サイバーセキュリティの課題

今日のデジタルファーストの世界においては、サイバーセキュリティの観点から、企業にとっては「侵入者の攻撃から資産とデータを保護」と「コンプライアンスと規制の要件を満たす」という2点が最大の課題となっています。

適切な運用のためのチェックリスト

堅牢な「IDおよびアクセス管理(IAM:Identity and Access Management)システム」は、企業に防衛線を提供しますが、適切に運用されなければリスク低減効果は縮小してしまいます。

最大限に機能させるためには「ID管理ポリシー」と「ID管理監査チェックリスト」を作成し、定期的にレビューや見直しを実施する必要があります。

このチェックリストにより、ID管理監査要件に沿って、望ましい方法で機能させることができます。

ID管理監査チェックリスト

ID管理監査チェックリストとして、以下の8つのポイントを紹介します。

①ID管理ポリシー作成

組織のセキュリティは、ID管理ポリシーの定義から始まります。

ID管理ポリシーを明確化しておくことで、望ましい結果が得られる可能性が高くなります。

ID管理ポリシー作成の利点

・コンプライアンス要件を満たすための指針となる
・ユーザーのアクセスおよび承認管理の指針となる
・利害関係者へのアクセス管理を定義できる
・手順の「設計」「開発」「合理化」がやりやすくなる
・インシデント発生に対して迅速かつ自信を持って対応できる など

②役割定義

ID管理プロセスにおいて、すべての利害関係者が関与する手順を設定し、それらの役割を定義する必要があります。

ユーザー(利害関係者)リストには「責任」と「アクション」に関する情報が必要です。

これは、すべての人のプロセス合理化にも役立ちます。

③アクセスレビュー

どのような組織でも「ユーザー(アカウント)」「役割」「責任」は変化し続けるため、ユーザーのアクティビティやデータを把握し続けることは困難になります。

そのため、すべてのユーザーに適切な「アクセス権限」と「承認権限」が設定されていることを確認するために、ユーザーアクセスレビュープロセスを策定します。

ユーザーアクセスレビュープロセスは定期的に実施することが重要です。

④適切な特権管理

ユーザーアクセス権限が「適切な職務要件」に限定されたままであり、過度な権限を有していないことを確認することは非常に重要であり、ID管理システムの堅牢性を定義する重要なポイントとなります。

最大制限を設定することを要求する「最小特権アカウントの原則」に従い、特別な特権を付与する必要がある場合は、その必要な期間のみ付与し、不要になったら即座に解除します。

⑤脅威範囲の限定化

重要タスクの場合は、それを小さなタスクに分割し、複数の人に割り当てます。

これにより、「該当プロセス」+「関連するセキュリティ機能」を他プロセスから独立した状態に保てるため、脅威範囲を特定プロセス内に限定できます。

⑥汎用アカウント管理

トレーニングやテストなどの定期的かつ一般的アクティビティを実行するために、汎用アカウントが使用される場合があります。

汎用アカウントに特別な権限を付与すると大きなリスクとなるため、必要最小限の権限のみを付与します。

⑦アイドルアカウントの削除(無効化)

ID管理システムは、クリーンでセキュアな状態を維持することが重要です。

使用していないアイドル状態のアカウントが存在していると、セキュリティリスクにつながる可能性があるため、対象アカウントは必要とする期間のみ有効にすることが求められます。

⑧すべてをドキュメント化

ドキュメント化は「ポリシー」「使用法」「管理アクティビティ」「不正リスク評価」などを共有する必要があるID管理監査プロセスの鍵となります。

ドキュメント化プロセスにより、ID管理システム全体の理解が深まり、さらに改善する方法を見つけることにも役立ちます。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

クラウドID管理のリスクと課題「特権アカウントのベストプラクティス」

特権アカウントは標準アカウントよりも適切に保護する必要があり、特権アカウント管理(PAM:Privileged Access Management)では、すべての特権アカウントを管理するための厳格な計画とITインフラストラクチャを必要とします。

「特権アカウントの概要」については、こちらを参照ください。
→Keyspider.jp →クラウドID管理のリスクと課題「特権アカウントの概要」

「データ侵害の74%は特権アカウントへのアクセスに関係している」というデータもあります。

今回は、特権アカウント管理を確実に実施するためのベストプラクティスを紹介します。

主なベストプラクティス

確実な特権アカウント検出プロセスを確立

重要データにアクセスできるアカウントを指定するためには、オンプレミスとクラウドの両方で、すべての特権アクセスを識別する必要があります。

これには「個人アカウント」「共有アカウント」「ローカル管理者アカウント」「ドメイン管理者アカウント」などのすべてが含まれます。

システムやアカウントは常に更新されているため、継続的プロセスを確立することが重要です。

特権アカウント用パスワード保護ポリシーの導入

「不正アクセス防止」「規制準拠実証」のために、特権アカウント用パスワード保護ポリシーを導入します。

特権アカウントを使用および管理するすべての人が理解して受け入れることができる明確なポリシーを作成することが重要となります。

強力なパスワードは基本的なサイバーセキュリティ要件ですが、パスワードを定期的に変更し、パスワード管理のベストプラクティスに従う必要があります。決して共有されてはいけません。

パスワードだけではなく、生体認証を加えた多要素認証によるセキュリティ強化も必要です。

最小特権を実装

攻撃者が機密データにアクセスするリスクを減らすために、ユーザーには仕事をするために必要な最低限の特権のみを与えます。

特権アカウントは適切な担当者にのみ付与しますが、必要に応じて職務と特権を分離して割り当てる必要があります。

職務と特権を分離することで、担当者によるセキュリティ違反を防ぎ、インシデント調査ログの整合性を確保できます。

特権アクティビティの監視と監査

特権アカウントに対する脅威の1つとして「正当な特権アクセスを持つ担当者による組織内からの侵害」があります。

この脅威を防ぎ軽減するために、特権セッション監視機能を実装して、疑わしい特権アクティビティを監視する必要があります。

特権ユーザー行動分析ソリューションは、「ユーザーアクティビティ」「アカウント行動」「アクセス行動」「資格情報の機密性」「ユーザー行動を考慮した機械学習アルゴリズムに基づく行動ベースライン」などを使用して、特権アクティビティに関する洞察を得るのに役立ちます。

その結果、推奨ガイドラインからの逸脱を検出し、潜在的攻撃開始前に防げる可能性が高まります。

また、特権アクティビティの監視と記録に加えて、キーストロークとスクリーンショットをキャプチャして、すべてのアクティビティを監査する場合もあります。

適切なPAMソリューションを選択

適切なPAMソリューションを導入することで、専門的なセキュリティ評価が可能となります。

特権アカウントが保護しているものを特定し、「セキュリティポリシー」「制御」「プロセス」を客観的に詳細化することにより、一定のレベルまでセキュリティを向上できます。

特権アカウントの「包括的可視性確立」「適切なポリシー制定」「最小限特権実装」「厳格なアクティビティ監視」などが実施されることで、特権アカウントの悪用を防ぎ、組織内外のセキュリティリスクに対して効果的に取り組むことができます。

スタッフトレーニング

多くの場合、エンドユーザーのセキュリティリテラシーが、ITシステムにおいて最も弱い部分となります。

これは、迫り来る脅威を知らず、ハッカーから身を守る方法を理解していないためです。

そのため、アカウントを保護するために必要な情報を提供し、サイバーセキュリティ慣行の重要性についてスタッフと話し合うことが重要となります。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

クラウドID管理のリスクと課題「特権アカウントの概要」

アカウントの種類

①非特権アカウント

最小権限の原則により、ほとんどのユーザーは90%以上の時間、非特権アカウントで操作しています。

最小特権アカウント(LUA:Least-privileged User Account)とも呼ばれる非特権アカウントは、次の2つのタイプで構成されます。

標準ユーザーアカウント

標準ユーザーアカウントは、「インターネット接続」「オフィスアプリケーション」などの通常業務で最低限度必要なアクセスが許可されます。

ロールベースアクセスポリシーによって定義される「限られたリソースへのアクセス」など、制限された一部特権も保有します。

ゲストユーザーアカウント

ゲストユーザーアカウントは、通常、「インターネット接続」と「基本的なアプリケーションアクセス」のみに制限されているため、標準ユーザーアカウントよりも、さらに特権が少なくなります。

②特権アカウント

特権アカウントは、「スーパーユーザーアカウント」とも呼ばれる特別な種類のアカウントです。

管理用アカウントとして「非特権アカウントの制限を超えてのアクセス」と「最大級の権限」が付与されます。

「特権アカウント」とは

概要

特権アカウント(スーパーユーザーアカウント)は、主に専門のITスタッフによる管理に使用され、コマンドを実行してシステムを変更するためなどに使用されます。

実質的に無制限の権限を有しています。

OS別特権アカウント(スーパーユーザーアカウント)

UNIX(Linux)

UNIX(Linux)でのスーパーユーザーアカウントは「root」と呼ばれます。

自己システムを破壊できるほどの最大権限を有しています。

Windows

Windowsでのスーパーユーザーアカウントは「Administrator」と呼ばれます。

Windowsシステムでは、各Windowsコンピューターに少なくとも1つの管理者アカウントがあります。

ユーザーは管理者アカウントを使用することで、「ソフトウェアインストール」や「ローカル構成設定」などの操作を実行できます。

権限

・「ファイル」「ディレクトリ」「リソース」への無制限アクセス
・完全な「読み取り権限」「書き込み権限」「実行権限」
・ソフトウェアインストール
・完全なシステム変更権限
・ネットワーク全体に体系的な変更をレンダリングする権限 など

リスク

特権アカウントは、非特権アカウントよりも大幅に強力な権限による操作が許可されているため、非常に大きなリスクをもたらす危険性があります。

「操作ミス」「悪意のある操作」などが発生した場合、「システム完全停止」「機密情報流出」などにより、企業存続にまで影響を与える可能性があります。

そのため、特権アカウント管理は、ID管理の中でも最も重点的に管理しなければならない対象とされています。

「特権アカウント」の例

ローカル管理アカウント(システムアカウント)

ローカル管理アカウント(システムアカウント)は、ローカルホスト(インスタンス)のみへの管理アクセスが許可される非個人アカウントです。

主として、メンテナンスを実行するためにITスタッフによって日常的に使用されます。

ドメイン管理アカウント

ドメイン管理アカウントは、ドメイン内のすべてのサーバに対する特権的管理アクセスが許可されます。

ネットワーク全体で広範囲なアクセスを提供します。

緊急アカウント

緊急アカウントは、緊急時に、特権のないユーザーに対して安全なシステムへの管理アクセスを提供します。

「Firecall」または「Breakglass」アカウントと呼ばれることもあります。

サービスアカウント

サービスアカウントは、アプリケーション(サービス)がOSと対話するために使用する特権アカウントです。

アプリケーションアカウント

アプリケーションアカウントは、アプリケーションが「データベースアクセス」「バッチジョブ実行」「スクリプト実行」「他アプリケーションへのアクセス」などを実行するために使用するアカウントです。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

クラウドID管理における「IDライフサイクル管理」

「IDライフサイクル管理」とは

IDライフサイクル管理(ILM:Identity Lifecycle Management)とは、ユーザーIDの「作成」「更新」「削除」などの継続的かつ適切なメンテナンスアクションの実行を指します。

IDライフサイクル管理は、エンドユーザーがアクセスするすべてのアプリケーション(サービス)に直接結びついているため、IAM戦略全体の中でも非常に重要とされています。

「IDライフサイクル管理」の目標

IDライフサイクル管理の目標は「組織環境全体におけるIDプロセスの自動化」にあります。

自動化により、組織内の異種システム全体において、IDが信頼できるソースと一致する状態になります。

ILMエンジンがなく自動化できていない状態では、IDの変更を手動で処理および管理し、適切なアクションを確実に実行しなければならないため、維持管理は非常に困難となります。

「IDライフサイクル管理」の自動化レベル

「IDライフサイクル管理」の自動化レベルについては、以下のように、おおまかに5段階でレベル設定されています。

レベル0:手動

レベル0は「アカウントのプロビジョニングは完全に手動」「アドホックベースまたは事後対応ベースで完了」の段階です。

各ユーザーアカウントは個別に手動で処理されるため、アカウントデータには人為的エラーが発生しやすくなります。

新入社員入社などの時期には、大量の手動処理が発生するために、多くの時間とコストが必要となります。

レベル1:スクリプトベース

レベル1は「スクリプトベースによる一部自動化」の段階です。

この段階では、アドホックリクエストを解決するために、システム単位でスクリプトが作成され運用されるケースが多いため、システム間連携のためのスクリプトも必要となります。

また、組織内の他部門では、別スクリプトによる異なる運用が実施されているため、全社レベルの完全性は低いものとなります。

レベル2:オンボーディング自動化

レベル2は「オンボーディング自動化」の段階です。

ベンダー提供のツールなどを利用して、オンボーディング(プロビジョニング)を実施することで、新しいユーザーアカウントを作成します。

ただし、この段階では、ユーザーが組織を離れた場合の「ID削除処理」や「部門間異動処理」などの機能はありません。

レベル3:IDロジックエンジン

レベル3は「IDロジックエンジン」の段階です。

このレベルでは、すべてのILM機能を一元化し、IDオンボーディングだけではなく、多数イベントで構成されるライフサイクルプロセス全体を統合的に管理できるIDロジックエンジンを利用できます。

そのため、ユーザーが組織を離れた場合には、IDは簡単に削除できます。

また、どのユーザーがどのアプリケーションやリソースにアクセスできるかを示せるため、監査プロセスが簡素化されます。

レベル4:API駆動型ILM

レベル4は「API駆動型ILM」の段階です。

これは、既存システムが新しいシステムにID情報をプッシュする方法を設計する必要がなく、新しいシステムがAPIでID情報を取得します。

RESTfulAPIを提供することは、システム間の統合またはデータ同期を可能にするための事実上の標準になりつつあります。

ILM実装の複雑さを軽減するために、業界がAPI主導の方向に向かっていることを示す多くの標準が公開されています。

「IDライフサイクル管理」における主な課題

①IDデータ設計

IDデータ設計の課題としては以下のようなものがあります。

・ユーザー情報について信頼できるソースは何か?
・複数ソースがある場合、それらの間でデータを同期するにはどうすればよいか?
・どのようにして一意の「ユーザー名」と「メールアドレス」を作成するか? など

②アドホック手動ID処理タスク

ITチームは、以下の理由で、手動IDタスクによって頻繁に圧迫されます。

・アプリ所有者やビジネスユニット管理者が「誰からのアクセスを許可するか?」を決定する
・各部門で高度にカスタマイズされたビジネスロジックを実装している など

③アクセス許可管理

リモート作業環境の大幅増加が、新しいデジタルコラボレーションリソースの需要を押し上げていることにより、従来にはなかったアクセス許可に関するタスクが増大しています。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

クラウドID管理のセキュリティ「ゼロトラストセキュリティ」

「ゼロトラストセキュリティ」とは

「絶対に信頼しない」セキュリティアプローチ

ゼロトラストセキュリティとは「絶対に信頼しない」というセキュリティアプローチです。

すべてのアクセス試行を、信頼できない「ネットワーク」「デバイス」「ユーザーアカウント」から発信されているものとして扱い、信頼が実証されるまでアクセスは許可されません。

そのため、ゼロトラストセキュリティでは、エンタープライズネットワーク内のユーザーを含むすべてのユーザーアカウントに対して、セキュリティ状態の常時継続的検証が要求されます。

ゼロトラストセキュリティアプローチは、組織が「ネットワーク」「アプリケーション」「データ」へのアクセスを制御するための効果的な方法の1つとして注目されています。

従来型アプローチとの違い

従来型セキュリティアプローチ

従来の「境界ネットワークセキュリティアプローチ」では、ファイアウォールなどの設置により攻撃者をネットワークから遠ざけることに重点を置いており、『エンタープライズネットワーク内のリソースは信頼できる』ことを前提としています。

しかし、リモートワークの普及などにより、この仮定はもはや当てはまらない状況になっています。

ゼロトラストセキュリティアプローチ

ゼロトラストセキュリティでは「ネットワークは侵害されている状態である」と想定し、ユーザー(デバイス)に対して「攻撃者ではない」ことを証明するように要求し、厳密なID検証を実施します。

ユーザー(デバイス)が適切な権限と属性を有していた場合のみアクセスを許可しますが、ユーザー属性や脅威は変更される可能性があるため、最初の1回限りのID検証では不十分です。

常時継続的なID検証が実施され、正当性がなくなるとアクセス拒否となります。

ゼロトラストセキュリティモデルの原則

①信頼できるソースは存在しない

ゼロトラストセキュリティモデルでは「信頼できるソースは存在しない」「攻撃者となりうるユーザーアカウントが潜んでいる」という前提となります。

②各種セキュリティ技術の統合活用

ゼロトラストセキュリティモデルでは、さまざまなセキュリティ技術を統合的に組み合わせて活用することで、ユーザーアカウントを検証し、システムのセキュリティを維持します。

・ID管理
・最小特権制御アプローチ
・多要素認証
・エンドポイントセキュリティ
・マイクロセグメンテーション
・クラウド統合 など

③リアルタイム監視

ゼロトラストセキュリティモデルは本質的に大部分が予防的アプローチですが、ブレイクアウトタイムを最小化するために、リアルタイム監視機能も組み込む必要があります。

ブレイクアウトタイムとは、「侵入者が最初のマシンを侵害してから他システムに侵攻している時間」であり、1秒でも早く発見して対処しなければなりません。

主なリアルタイム監視対象

・ユーザーID
・エンドポイントハードウェアタイプ
・ファームウェアバージョン
・OSバージョン
・パッチレベル
・アプリケーション
・ユーザーログイン状況
・セキュリティステータス
・インシデント検出 など

④包括的セキュリティ戦略との統合

ゼロトラストセキュリティモデルは「包括的セキュリティ戦略における一部」にすぎません。

デジタルセキュリティ技術は企業を保護するために重要な役割を果たしますが、デジタルだけでは侵害を防ぐことはできません。

企業は、ネットワークセキュリティを確保し、潜在的な攻撃を封じ込め、侵害が発生した場合の影響を最小限に抑えるために、「すべてのエンドポイントに対する常時監視」「ネットワーク構造評価」「アクセス権限評価」などを含む包括的なセキュリティ戦略を採用する必要があります。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト