概要
この記事では、デジタル・アイデンティティとアイデンティティおよびアクセス管理(IAM)の概念を紹介する。また、ID 専門家がサービスを提供する対象者について議論し、企業対従業員(B2E)および企業対消費者(B2C)の ID 使用事例を比較対照し、管理または管理時間の技術の観点から IAM 技術を検討する。また、アクティブでライブなインタラクション(ランタイム)に焦点を当てたIAM技術やユースケースについても比較対象として挙げています。
キーワード
デジタル・アイデンティティ、B2E、B2C、システム
引用について
Bago (Editor) E. & Glazer I., (2021) “Introduction to Identity - Part 1: Admin-time (v2)”, IDPro Body of Knowledge 1(5).
2021年6月30日発行
査読済み
ライセンス:クリエイティブ・コモンズ 表示 - 非営利 - 改変禁止 4.0 国際
Introduction to Identity - Part 1: Admin-time (v2)
Ian Glazer著, 編集Espen Bago © 2021 IDPro, Ian Glazer
序章 アイデンティティとIAMへのアプローチ方法
デジタル・アイデンティティは大きなテーマであり、企業の技術システムやサービスのあらゆる側面に関わっています。この記事では、ID の分類法を提供するつもりはありません。その代わりに、すべての個人および組織は、ローカルの ID システムまたはサービスに対する特定の(しかしながら完全に妥当な)ニーズを考慮して、異なる視点および理解レベルからデジタル ID にアプローチする可能性が高いという考えをサポートします。
「アイデンティティ」はよく議論される言葉です。長く活動している人も、業界の新しいメンバーも、「アイデンティティ」が何を意味するかについて悩んでいます。この記事では、アイデンティティの定義には、万能なものはないことを示唆しています。むしろ、読者が自分の地域の状況を考慮し、ここでの大まかな定義を自分の組織に合わせて適用することを奨励します。
この記事では、文脈に沿ったアプローチで、IAMの世界を分類するための考えられるいくつかの方法を示し、文脈に沿った使い方の例をいくつか紹介します。IAMは単なる技術のことではないことを覚えておいてください。IAMは技術だけではなく、職業そのもの、そして実務者としての私たちに関するものです。
用語
- アクセス認証 - 認証とは、誰がどのようなアクセス権を持っているかを継続的に確認することです(すなわち、アクセス権が正しいかどうかを検証するビジネスプロセスです)。
- エンタイトルメント管理 - アカウントが持つ可能性のあるすべてのアクセスをカタログ化して管理します。これは、アクセスを提供するためのビジネスプロセスです。
- アイデンティティ・アナリティクス&インテリジェンス(IdA) - アイデンティティ・アナリティクス&インテリジェンスとは、エンタイトルメント・データを見て、その割り当てを見て、リスクがどのようなものかを把握し、定義しようとすることを意味します。IdAは、システムのアイデンティティとアクセスを管理するためのリスクベースのアプローチを提供し、アクセスベースのリスクに対するガバナンス、可視性、レポートを一元化することを目的としています。
- Identity Governance and Administration(アイデンティティガバナンスとアドミニストレーション) - 管理者の視点から、アイデンティティのライフサイクル管理とアクセスコントロールに焦点を当てた学問分野です。
- Identity Proofing(ID保証) - “この人は誰であるのか”を裏付ける証拠を集めるIdentity Proofingは、このadmin-timeセクションの最後ではあるが、最も重要な部分です。これは、アカウントまたは対応するクレデンシャルを提供する目的で、人に関する情報を収集し、検証するプロセスです。これは通常、アカウントが作成される前、クレデンシャルが発行される前、または特別な権限が付与される前に実行されます。
- 新規参加者/異動者/退職者 - 従業員IDの新規参加社/異動者/退職者ライフサイクルでは、組織への加入、組織内での移動、組織からの離脱という3つのステージを考慮しています。
- Privileged Account Management(特権アカウント管理) - リスクのあるハイレベルなアクセスを特別に管理することに焦点を当てています。Privileged Account Management(PAM)は、そのような特別なアカウントを管理するための仕組みです。
- ロール管理 - アクセスルールをグループ化して管理しやすくする方法です。
- ロールベース・アクセス・コントロール(RBAC) - 実行時にロールを使用すること、ロールを使用して誰が何にアクセスするかを管理する方法です。
- Sources of “Truth”(権威ある情報源) - 個人に関する権威あるデータが存在する場所を指します。
- ユーザープロビジョニングとライフサイクル管理 - ユーザーの記録を必要な場所に必要な期間だけ届ける方法を指します。
構成員 - 誰のためのサービスなのか?
IAMの世界では、非常に多くの小さな断片、ニュアンス、略語、およびランダムな事実があるため、木を見て森を見失うことがよくあります。アイデンティティの仕事が行われている最終的なステークホルダーについて考えることは、全体像に焦点を当て続けるための1つの方法です。
私たちがアイデンティティの専門家としてサービスを提供する対象者にはさまざまな種類があり、それは彼らを支援するためにさまざまな異なる技術が必要であることを意味します。これらのグループには、伝統的な従業員や、顧客、非給料日の従業員、契約者、および通常の組織の枠に収まらない人々など、より複雑なグループが含まれる場合があります。
その構成員が、従業員、ビジネスパートナー、市民、または学生のいずれであっても、アイデンティティの専門家として行うすべてのことにおいて、個人の経験を念頭に置く必要があります。個人を念頭に置くことで、より多くの文脈と広い視野を得ることができます。このアプローチにより、「私がこの自動プロビジョニングプロジェクトを行っている理由は、5000人の新入社員を雇用しようとしており、彼らが仕事の初日に生産性を上げられるようにしなければならないからだ」ということに気づくことができます。
企業内(B2E): 従業員の生産性向上
従業員や契約者にとっての最大の関心事は生産性です。企業はスタッフが初日から生産性を発揮することを望んでおり、離職時にはすぐにアクセスを解除したいと考えています。ここでの使命は、適切な人に、適切な場所で、適切な時間に、適切なアクセスを提供することです。これが、アイデンティティの専門家がやろうとしていることです。つまり、適切なアクセスを人々に与え、彼らが生産性を発揮できるようにすることです。
多くの場合、従業員のデータは人事部が管理しており、人事システムが権威ある情報源となっています。これには以下のような課題があります。
- データの整合性に問題がある可能性がある
- 組織内に複数の人事システムがある可能性がある
- 他の非従業員データが人事システムに存在する(またはしない)可能性がある
なぜなら、人事システムに登録されている人には給料が支払われるので、その人を生産的にする必要があるからです。これは非常に現実的な真実の源です。
従業員のアイデンティティについて考えるべき1つの引用があるとすれば、それは “誰が何にアクセスできるのか “ということです。それは、正しい人が正しいものにアクセスできるようにすることです。この場合の統治のライフサイクルは、「新規参加者/異動者/退職者」として知られるものです。
- 人が組織に参加する
- 組織に参加している人が組織変更に応じて役割が変わる
- 最終的には、組織を離れる
人事システムは、従業員のライフサイクルのイベントや、役割やジョブコードなどの関連データの情報源として機能します。
契約社員(注釈:派遣社員、委託業者など)についても同様のアイデンティティおよびアクセス関連のニーズがありますが、同じ権威ある情報源を 共有していない可能性があります。また、人事システムに契約社員の情報が含まれていない場合もあります。多くの企業では、契約社員の唯一の権威ある情報源を見つけることは本当に難しいことです。ある企業は調達システムを使用し、ある企業はカスタムメイドのシステムを使用し、ある企業はスプレッドシートを使用し、ある企業はユーザーアカウントプロビジョニングシステムを使用しています。派遣社員や季節労働者の場合、組織が必要なレベルの保証を得られるのであれば、このような種類の短期スタッフを入社させるために、ソーシャルメディア・アイデンティティ・プロバイダを使用することが最も効率的であるかもしれません。
企業間(B2B): パートナーとのつながり
次の関係者は、ビジネスパートナーです。どの業界でも、ビジネスパートナーとのつながりが必要です。このつながりとは、サプライチェーン(またはバリューチェーン)のメンバーがあなたと対話できるようにすることです。取引先にはアプリを提供していますが、これらの人々のID記録はどこから来るのでしょうか?
理想的なのは、パートナーが組織から提供されたアイデンティティ情報の一部を持ってくることです。その場合、私たちはビジネスパートナーの記録システム(おそらく人事システム)を扱うことになり、あなたはそこから一歩離れたところにいることになります。この距離は、多くの場合、ライフサイクル管理を行うための管理を委任していることを意味します。しかし、リスクの高いアプリケーションでは、アプリケーションの所有者は、ビジネスパートナーを信頼するのではなく、アクセスをコントロールしたいと思うかもしれません。
IAMの観点から見ると、B2BとB2Eは非常によく似ています。重要な違いは、権威ある情報源です。多くの場合、企業はビジネス・パートナーの従業員である個人を特別に追跡するシステムを持っていません。その代わりに、ビジネスパートナーの従業員の管理を、自社内またはパートナーの組織内の他のシステムに委ねています。多くの場合、IAM システムがパートナー個人のアイデンティティに関する事実上の情報源となっています。
顧客(B2C): デジタルエンゲージ
最後にご紹介するのは、B2C(Business-to-Consumers:企業対消費者)です。B2Cとは、あなたの組織が行っている、あるいは販売している素晴らしい製品を、人々に届けることです。消費者向けのサービスを作っている企業の人たちと話をすると、消費者がどのように接するかについて、次のような説明を聞くことがあります。”人がこれをして、その人がこれをする。” そして、アイデンティティの専門家は、「その人はどうやってそこにたどり着いたのか」というような質問をし、その答えは「そうですね、ログインしました」となります。そして突然、サービスを構築している人たちは、私たちアイデンティティの専門家が何をしているのかまったく理解していないことに気づくのです。このように理解されていないことは、あなたの組織が行っている素晴らしいことを適切な人に届けるための素晴らしい機会なのです。それがあなたの使命です。
しかし、この世界では、ライフサイクルが異なります。それは、個人、市民、消費者のことです。いろいろな意味で、ライフサイクルをコントロールしているのは、あなたではなく、彼らなのですから、それに対応できなければなりません。
ビジネスのミッションは、”素晴らしい体験を提供したい “ということです。アカウントを作って終わり、というビジネスは誰もやっていません。B2Cでは、「ログインできました。とは言えません。それは関係の始まりに過ぎないのです。お客様の体験が重視されており、私たちアイデンティティの専門家は、その体験を提供する手助けをしています。私たちは、そのための重要な出発点です。
B2Cのユースケースは、アイデンティティの専門家である私たちが、企業の中で単独で活動するわけではないことを示しています。私たちは、セキュリティやプライバシーの専門家がいなければ仕事を進めることができません。このスツールには3つの脚があり、それによって成り立っています。プライバシーについては、アイデンティティは、特にデータへのアクセスという観点から、運用上のコントロールを提供します。また、セキュリティについては、アイデンティティが価値あるフレームワークを提供します。私たちは、「誰が私のネットワークにいるのか」という質問に、「誰が」という質問を加えます。もしあなたがB2C(またはB2B)の環境で仕事をしていて、プライバシーチームやセキュリティチームの仲間に会ったことがないのであれば、ぜひ探してみてください。彼らは貴重なツールを持っていて、それを活用することであなたの助けにもなるでしょう。
関係する技術 - 管理時と実行時の比較
私たちがサービスを提供する対象を決定した後は、そのために使用する技術のいくつかを見てみましょう。様々な技術や用語を整理する有効な方法の1つとして、世界をアドミニストレーション(またはアドミニストレーションタイム)とランタイムの議論に分けるというアプローチがあります。
基本的に、物事を設定するために使用される技術やルールは管理側にあり、ユーザーがログインするときやパスワードを忘れたときのプロセスで使用されるものは実行側にあります。
管理時の技術
管理側には、主に3つの領域があります。
- 権威ある情報源 - 個人に関する権威あるデータが存在する場所。
- Identity Governance and Administration(アイデンティティガバナンスと管理) - 管理者の観点からライフサイクル管理とアクセス制御を行うための原則。
- アイデンティティ分析とインテリジェンス - 大企業が特に関心を持つ分野で、正しいアクセスを保証するのに役立つ。
さらに以下の2つの分野は管理側でもありますが、必ずしも同じバケツに収まるものではありません。業界アナリストの中には、これらのカテゴリーを追加することを好む人もいます。
- Privileged Account Management(特権アカウント管理) - リスクを伴う高レベルのアクセスに対する特別な管理に焦点を当てています。
- ID証明 - “この人は誰である “ということを裏付ける証拠を収集する。
権威ある情報源
「誰かのことを知るにはどうしたらいいのか?」これは形而上学的にも実用的にも難しい質問です。しかし、この質問を次のように言い換えることができます。「どうすれば、人に関する合理的で権威ある記録を見つけることができますか?彼らの給料をどこかに送らなければならない」、あるいは「ビジネスパートナーの配送先住所が必要です。どうやってこのデータを見つけたらいいのか」[^1]
従業員の場合、その答えは人事部になりがちです。パートナーの場合は、人事システムから一歩離れたところにいる委任された管理者が答えを出すことが多いようです。そして、消費者向けのサービスでは、さらに複雑な状況になります。リスクの低い分野では、答えは個人にあります。あなたが使用する情報の多くは、個人が信頼できる情報源となります。利便性を追求するなら、ソーシャルメディアのプロフィールなどから得られるかもしれません。しかし、金融や医療などのリスクの高い分野では、高等教育機関や地方自治体などの権威ある情報源が答えとなるでしょう。教育現場では、学生情報システムが、学生にとっての真実の情報源となるかもしれません。
ここでは、データの質が重要な要素となります。私たちは、人々が適切にアクセスできるようにするなど、データに依存しています。しかし、権威ある情報源からのデータは必ずしも信頼できるものではないため、データ品質に問題があることを前提にして運営しなければならないこともあります。
アイデンティティガバナンスと管理
これらは、誰が何にアクセスできるかを管理するツールです。これらのツールは、権威ある情報源(who)に依存し、コネクタを介して対象システム(what)のエンタイトルメント(アクセス)を管理するツールです。
アイデンティティガバナンスおよび管理(IGA)ツールは、伝統的に従業員、契約者、または学生に焦点を当てています。これらのツールは、多くの場合、ERP システムに関連するより伝統的な企業中心のツールと考えられ る。
この領域は、管理時間領域の他の5つの領域よりもかなり大きいため、ここでは以下のサブセクションに焦点を当てて説明します。
- ユーザープロビジョニングとライフサイクル管理 - ユーザーの記録を必要な場所に必要な期間だけ届ける方法
- エンタイトルメント管理 - アクセスを提供するためのビジネスプロセス
- ロール管理 - アクセスルールをグループ化して管理しやすくする方法
- RBAC(Role-Based Access Control) - ランタイムでのロールの使用
- アクセス認証 - アクセス権が正しいかどうかを検証するビジネスプロセス
ユーザーのプロビジョニングとライフサイクル管理
ユーザー・プロビジョニングは、ターゲット・システムにおけるユーザー・アカウントの作成、維持、および最終的な削除を支援するメカニズムです。このメカニズムは、権威ある情報源からの新規参加者/異動者/退職者のイベントをリッスンすることができます(例えば、新入社員の追加などのイベントをリッスンする人事システムへのコネクタなど)。このイベントは、プロビジョニング・システムのトリガーとなり、ビジネス・ルールを通じてユーザーを評価し、Active Directoryに新しいユーザー・アカウントを作成するなど、必要なアクションを実行します。このメカニズムには、新入社員のデータからいくつかの属性に基づいてアクセスの設定を開始するなど、それらのトリガーとなるアクションを記述するルールもあります。例えば、新入社員データの属性に基づいてアクセス権の設定を開始するなどです。「初めからの権利」のような基本的な権利については、承認を必要としないかもしれません。例えば、すべての従業員は生産性スイートと電子メールへのアクセス権を持つべきであり、これらは承認を必要としません。一方で、誰かがシステム管理者としてメインフレームへのアクセス権を取得したいと考えた場合、承認が必要になります。ほとんどの組織では、明示的な承認を必要とするアクセスと、承認を必要としないアクセスの両方が存在しています。
よくある間違いは、すべてを自動化しようとすることです。これは避けましょう。企業内には、何千とは言わないまでも、何百というシステムやサービスが存在します。そのすべてのプロビジョニングを自動化しようとしても、その効果は期待できません。では、何を自動化すべきでしょうか?候補となるのは、ユーザー数が多いシステムや、そのシステムの回転率が高いシステムです。大容量のシステムや高速度のシステムには自動化が不可欠です。その他の候補としては、ヘルプデスクチームが管理できないほどリクエストが多いシステムや、アクセスできる人のルールをロックしたいほど機密性の高いシステムなどがあります。これらのシステムは自動化することに意味があります。
初日から利用できる必要のあるシステムは、自動化の優れた候補です。電子メール、生産性、従業員ポータル、VPNなど、ある程度議論の余地がないことも理由のひとつです。これらのユーザーアカウントの作成は、すべての新入社員に対して行わなければならず、自動化に適した大きな管理負担となっています。
初日のオンボーディングの後、残りの多くのシステムでは、追加のアクセスを手動で提供することになります。つまり、アクセスを求められたり、手動でアカウントを作成したりすることになります(多くの場合、その必要はありません)。そのようなシステムでは、サポートチケットを開いて、人間が直接システムにアクセスしてユーザーアカウントを作成または変更するしかありません。これらは通常、自動化する必要はありません。
最後に、プロビジョニングシステムは、しばしばパスワードの設定に関与します。これは、プロビジョニングシステムが、集約されたパスワードコンテンツのルールを持つ必要があることを意味します。異なるシステムでは、内部ルールやパスワード機能が大きく異なるため、様々な課題が発生します。例えば、特殊文字を含めることを義務付けるパスワードコンテンツルールがあるかもしれません。システムの性質上、ある人が特殊文字を含むパスワードを提供した場合、Oracleデータベースは受け入れることはできませんが、Active Directoryでは受け入れることができます。ユーザープロビジョニング(またはパスワード管理)システムは、このような潜在的な問題に可能な限りエレガントに対処しなければなりません。
エンタイトルメント管理
権威ある情報源ができ、ユーザーがデータリポジトリに流れ込むことで、ユーザープロビジョニングシステムが起動し、対象となるアプリケーションやサービスにユーザーが作成されるようになります。しかし、単にユーザーアカウントを作成するだけでは不十分で、そのアカウントで何ができるのかを知る必要があります。この一連のアクションをエンタイトルメント管理と呼んでいます。エンタイトルメント管理は、ユーザーがシステム内でできることを管理するすべての小さな権限の合計が非常に多くなるため、すぐに詳細になります。1つのシステムに数千どころか数百もの個別の権限が存在することも珍しくありません。それらの権限は、しばしばユーザーグループやロールに集約されますが、これも非常に多くなります。浜辺の砂粒のようなもので、だからこそ、それらを集約しようとするのです。3人の社員がいて、1つのシステムがあり、そこに4つの権限があると想像してみてください。「購買発注書(PO)の作成」「POの更新」「POの閲覧」「POの削除」です。各人を正しい権限の集まりに接続することは可能ですが、すぐに管理できなくなります。
そこで、抽象化された層が必要になります。ユーザーと権限の間には、エンタイトルメントと呼ばれるものがあります。これにより、あなたは購入注文を管理することができます」と言います。プロビジョニング・システムは、詳細な権限そのものではなく、これらの権利を渡します。なぜなら、管理するにはあまりにも多くの個別の権限があるからです。私たちは詳細な情報を排除し、代わりに「これは能力です」「これはあなたの職責に関連するものです」と言います。残念ながら、組織のビジネスプロセスが必要とする粒度を可能にし、環境にコード化できるレベルの命令をシステムに提供するためには、これらの個別の詳細な権限は依然として存在する必要があります。
エンタイトルメント管理とは、一人の人間が持つことのできるすべてのアクセスをカタログ化することで、これは膨大な作業になります。例えば、中規模の銀行の場合、主要なシステムが10個(多くの場合はそれ以上)あるので、何千何万もの権限があり、それが1,000程度のエンタイトルメントに集約されることになります。そして、それをどのようにビジネス・ニーズに対応させるかを考える必要があります。エンタイトルメント管理は、このカタログ化プロセスです。
理想的には、人や組織にとって何らかの意味を持つようなセットに権限をまとめます。例えば、購買部門で働く人が必要とするすべての権限をまとめたいとします。あるいは、ビジネスパートナーで、ゴールドレベルではあるがシルバーレベルではない人がアクセスできる関連資格をまとめておきたいとしましょう。このようなレベルの効率性は、企業リソースへのアクセスを管理可能にするために、あなたとあなたのID担当者が目指しているものです。
これは職務分掌[^2]の分析を行う場合には、必須の作業となります。例えば、サーベンス・オクスリー法(SOX法)[^3]や一般データ保護規則(GDPR)[^4]などのコンプライアンス要件では、危険なアクセスの組み合わせを特定しなければなりません。例えば、パートナーへの支払いを承認できる人が、不正なパートナーを作成して支払いを行うことはできないはずです。
ロール管理
しかし、これらのエンタイトルメントを、それ自体が管理可能な実体であるレベルにまで落とし込んだとしても、それらを効果的に使用することは非常に困難です。すべての組織ではありませんが、多くの組織にとって、この課題に対する答えは、「ロール管理」と呼ばれるものを行うことです。RBAC(Role-Based Access Control)という言葉を聞いたことがあるかもしれません。その本質は、次のようなものです。ある組織では、職能が非常に規則的です。規則的な職能は、階層的な組織で最も典型的に見られます。一方、マトリクス型の組織では、この方法はうまく機能しません。それは、例えば、3つのトップの職責を特定することは難しく、それらは常に変化するからです。
ロール管理は、「この種の職務にはこの種のアクセスが必要だから、これをロールと呼ぼう」という場合に便利です。さらに、技術的な役割と呼ばれるものがありますが、これは「仕事をするために必要な低レベルのビットがここにあります」というもので、人に割り当てるための便利なバンドルになっています。ロールとは、共通の方法でアクセスを提供するグループだと考えてください。ロールを作成するのは、あるグループへのアクセスを異なる方法で提供したり制御したりする場合だけにしてください。また、組織の発展に合わせて定期的にロールを見直す必要があります。
ロールベースアクセス制御(RBAC)
RBACは、ロールを使って誰が何にアクセスするかを管理する方法に過ぎません。深く考える必要はありません。通常の階層的で同質的な組織ではうまく機能します。驚くことではありませんが、米国国防総省のような場所では非常によく機能します。150人規模のスタートアップ企業ではうまくいきません。
RBACを考えすぎると、あるいは一般的に時間が経つと、私たちが「ロールの爆発」と呼んでいるものが発生し、人の数よりも役割の数が多くなってしまいます。辛口のベテランは、「ああ、私はそれを乗り越えた。あれはいいアイデアだと言われたが、とんでもないアイデアだった。しかし、それは最悪のアイデアでした。」と言うでしょう。そうならないようにしましょう、いい結果になることはまずありませんから。
アクセス認証
この時点で、人々はアクセスできます。初日から生産性があります。2日目には生産的になります。3日目には、アクセスが多すぎて特権的な脅威になり始めます。企業内でより多くの能力を得るための最良の方法は、単に仕事を変えることです。ビジネス・ルールがアクセスの継続を明示的に防止していなかった場合、経験上、古いアクセスは失われず、新しいアクセスの上に維持されるだけです。
アクセス権が蓄積されるもう一つの例は、新しい人を入社させたときに、「誰のアクセス権をモデルにするべきか」という恐ろしい状況に陥ることです。ITセキュリティ監査を受けたことがある人なら、監査がどれほど恐ろしいものかを知っています。新入社員に付与する新しいアクセス権のモデルを誰にするかという質問に対する一般的な答えは、その上司です。上司は、長年にわたってアクセス権を蓄積してきたため、アクセス権侵害の最大の原因となる可能性があります。リスク管理の観点からも、この目的のために上司を模範とするのは恐ろしいことです。
認証とは、誰がどのアクセス権を持っているかを継続的に確認することで、米国のサーベンス・オックスレイ法(SOX法)の導入をきっかけに普及したプロセスです。これは、不要になったアクセス権を保持することを防ぐための素晴らしいツールです。監査役は、これを四半期ごとに行うべきだと言うかもしれませんが、これではすぐに疲れてしまいます。より良い方法は、権限の変更、ユーザー全体のリスクの変更、または誰かが規範から逸脱したことを検出することに基づいてレビューを開始することです。言い換えれば、ある仲間と比較したときに、その人が異常値であるかどうかを証明したいのです。それがなぜなのかを解明したいのです。これは、自動化されていない方法で割り当てられたアクセスや権限に問題がないことを確認するための強力な方法です。
これらの要素が重なると、大量のデータが流れます。すべてのユーザー、すべてのシステム、すべての権限、すべての役割、すべての特権、これらを合計すると、膨大な量になります。どうすればそのすべてを理解することができるでしょうか?
アイデンティティ分析
その方法の1つが、アイデンティティ分析(IdA)とインテリジェンスです。
アイデンティティ分析とインテリジェンスとは、エンタイトルメントデータを見て、その割り当てを見て、リスクがどのようなものかを把握し、定義しようとすることを意味します。通常のユーザーとはどのようなものでしょうか。それに比べて、大きな権限を持つユーザーはどのように見えるのでしょうか。システム管理者のモデルは、開発者、財務担当者、フィールドセールス担当者と比べてどのようなものでしょうか。
その目的は、ユーザ集団の間にある外れ値の共通点を見つけ、組織におけるアクセス関連のリスクがどのようなものかを理解することです。IdA のその他の目的は、共通して割り当てられているエンタイトルメントを候補ロールとしてグループ化すること、過剰な特権を持つユーザを特定すること、通常の非特権アカウントに割り当てられた文書化されていない高い特権のアクセス権を発見することです。また、IdAは、ユーザー、アカウント、エンタイトルメント、アプリケーション、部門、組織のリスク状況を正確に測定し、報告することができます。
IdA は、システムのアイデンティティとアクセスを管理するためのリスクベースのアプローチを提供し、アクセスベースのリスクに対するガバナンス、可視性、およびレポートを一元化することを目的としています。
また、ダイナミックなリスクスコアと高度な分析機能を用いて、関連するリスクレベルを判断し、アカウントのプロビジョニング、デプロビジョニング、認証、特権アクセス管理を自動化するための重要な指標を導き出します。このアプローチは、不要なアクセス、使用されていないアクセス、異常なアクセスを特定(修復のため)することで、アイデンティティの攻撃対象を減らします。
この管理者によるリスク判定機能のもう一つの特徴は、生成された指標やデータをランタイムシステムに統合して利用できることです。例えば、ログインプロセスの時。ある人が特に危険ではないことがわかっていれば、追加の認証要素を要求する必要はないかもしれません。しかし一方で、その人がシステムにおいて多くの特権や権力を持ち、職務上の役割において標準から逸脱しているかもしれない場合は、追加の認証を行う必要があるかもしれません。このようなランタイムのリスク判定分析は、指標データの品質とそれを使用する組織の成熟度に応じて、部分的または完全に自動化することができます。
特権アカウント管理
世の中には、特別なユーザーアカウントがあります。システム管理者のアカウントや、rootアカウントなどです。これらのアカウントは、必ずしも人と結びついているわけではありません。しかし、これらは超特権的なユーザーアカウントです。ルート管理者のように行動しなければならない人たちがチーム全体にいるかもしれません。PAM(Privileged Account Management)は、これらの特別なアカウントを管理するための仕組みです。基本的には、必要に応じてアカウントを出し入れすることができます。「ゼロデイ・パッチを適用するためには、ルート管理者のように行動する必要があります」というように、必要に応じてチェックすることができます。システムは、ユーザーが誰であるかを確認した上で、その目的に合ったアクセス権を与えます。また、画面を録画することで、ユーザーが操作を行っている間、何が起こっているのかが記録されます。例えば、サードパーティのサービスベンダーが来て、特殊な機器のメンテナンスを行う際に、彼らが行ったアクションの監査ログが必要になる場合があります。このログは、特権アカウント管理における記録機能のようなものです。もう1つの重要な機能は、これらの特別なアカウントのパスワードをスクランブルすることで、上の例のパッチジョブのような作業が終わった後、誰もrootやsysadminアカウントのパスワードを保持しないようにすることです。
ID証明
ID証明は、この管理側のセクションの最後の、しかし最も重要な部分です。これは、アカウントまたは対応するクレデンシャルを提供する目的で、人に関する情報を収集し、検証するプロセスである。これは通常、アカウントの作成やクレデンシャルの発行、特別な権限の付与などの前に行われます。また、アカウント回復の目的で必要とされる二次的な証明とは異なり、特定の個人に初めて遭遇したときのプロセスは長くなる傾向があります。
このプロセスは、銀行などの規制された業界でよく見られるもので、KYC(Know Your Customer)やアンチマネーロンダリングを行うための要件があります。これらのプロセスでは、政府の文書を何らかの形で提示し、それが正確で有効であることを証明した上で、個人に関連付ける必要があります。これがプルーフィングプロセスです。
発行されるアカウントまたはクレデンシャルに応じて、証明の方法はさまざまであり、その多くは政府が発行したIDと関連しています。対照的に、自己証明と呼ばれるものに基づくものもあります。
企業の設定、B2E、従業員に関するものでは、証明は非常に一般的なプロセスであり、身元確認や仕事を得るための書類(例えば、パスポートや運転免許証)の提示などが含まれます。従業員の場合は、こうして新しい仕事を得ることになるので、これを行いたいと思います。しかし、B2Bの現場では、まったく異なる状況になります。新しいビジネスパートナーをどうやって乗せるか。その人が誰であるかを確認するだけでなく、その人が私たちが一緒に働きたいと思う組織であること、その組織の中で働きたい人であることを証明する必要があるかもしれません。このような基準の違いにより、証明プロセスの種類も大きく異なります。
B2CのユースケースにおけるID証明はどうでしょうか。自分のことを主張する新規顧客をどうやって知り、信頼することができるでしょうか。ここでは、そのことをどの程度気にする必要があるかが問題となります。B2Cの世界では、スピードと信頼性の間にトレードオフがあります。組織やアプリによっては、スピードが優先されます。つまり、できるだけ早く登録してもらい、できるだけ早くアプリに入ってもらうことです。ユーザージャーニーはこのために最適化されています。ユーザーのアクセスは非常に限られており、ユーザー登録の敷居は非常に低いものになっています。
他の企業では、ブランド体験、ビジネス、提供したい価値、または不正行為の可能性に関連して、真実性が優先されます。このケースでは、企業は個人に関するより多くの検証可能なデータを求めています。企業は、新規顧客が本当に本人であることをより高いレベルで保証することが重要であると判断します。
結論
冒頭で述べたように、デジタル・アイデンティティは大きなテーマです。これまでに、IAM が提供する構成要素、関連する技術、ガバナンス、分析、特権アカウント、およびアイデンティティの証明について触れてきました。これらのトピックはそれぞれ、それ自体で1つの章を埋めることができます(IDPro知識体系の将来のバージョンでは、そうなることを期待しています)。
この記事は、IAM実務者に、彼らのシステムやサービスに影響を与える主要な検討事項のいくつかを理解する機会を提供しました。読者は、自分のローカルな文脈を考慮し、ここで提供された大まかな定義を自分のユニークな組織に適合させる必要があります。今後の記事では、ランタイム技術の概念について紹介する予定です。
著者略歴
Ian Glazer氏
Ian Glazer氏は、Salesforceのアイデンティティ製品管理担当バイスプレジデントです。それ以前は、Gartner社のIdentity and Privacy Strategiesチームのリサーチバイスプレジデント兼アジェンダマネージャーとして、チームを統括していました。それ以前は、Gartner社のIdentity and Privacy Strategiesチームのリサーチバイスプレジデント兼アジェンダマネージャーとして、同チームのリサーチを統括していました。また、デジタルID管理の専門組織であるIDProの創設者兼社長でもあります。また、米国アイデンティティ・エコシステム・ステアリング・グループ(IDESG)のマネジメント・カウンシルおよびボード・オブ・ディレクターの創設メンバーでもあります。ID業界での10年以上の経験の中で、フェデレートされたユーザープロビジョニングに関する特許の共著、SPML(Service Provisioning Markup Language)バージョン2仕様の共著、SCIM(System for Cross-Domain Identity Management)バージョン2仕様への貢献、そして著名なブロガー、講演者、靴下の写真家として活躍しています。
Espen Bago氏
Espen Bago氏は、2002年にシステム管理者として、すでにしばらくアイデンティティの仕事をしていたことに気づき、そこからこのアイデンティティというものが何であるかを完全に探求することを決めました。彼はここ数年、独立してアイデンティティ・アドバイザーや大企業のコーディネーターを務めていましたが、2021年にノルウェー労働福祉局のアイデンティティ・マネージャーに就任しました。彼の目標は、政府が必然的にすべてのデジタル化を進めていく中で、アイデンティティとそれを表す実在の人物が忘れられないようにすることです。また、彼はIDProの創設メンバーであり、IDPro Body of Knowledge CommitteeとIDPro Certification Committeeのメンバーでもあります。
変更履歴
| 日付 | 変更 | | — | — | | 2021-06-30 | 編集上の修正、用語集セクションの追加、B2Eセクションの更新 |
[^1] 組織は、人が「誰」であるかをどのようなレベルでも具体的に知る必要はありません。組織は、”これは毎回同じ人なのか “とか “このアカウントはこのアクションを実行する権限を与えられているのか “といったことを知る必要があるだけです。
[^2] AICPA「Segregation of Duties」、2020 年 1 月 11 日アクセス https://www.aicpa.org/interestareas/informationtechnology/resources/value-strategy-through-segregation-of-duties.html。
[^3] アメリカ 2002. 2002 年サーベンス・オクスリー法(Sarbanes-Oxley Act of 2002)、[ワシントン D.C.] U.S. G.P.O.], https://www.govinfo.gov/content/pkg/PLAW-107publ204/pdf/PLAW-107publ204.pdf .
[^4] EU一般データ保護規則(GDPR)。個人データの処理に関する自然人の保護とそのようなデータの自由な移動に関する2016年4月27日の欧州議会および理事会の規則(EU)2016/679、および指令95/46/EC(一般データ保護規則)の廃止、OJ 2016 L 119/1、https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_en .