bok

IDPro Body of Knowledgeの日本語訳を載せていきます

View on GitHub

アイデンティティ入門 - パート1。管理者の時間

イアン・グレイザー著、エスペン・バゴ編著

序章。アイデンティティとIAMへのアプローチ方法

デジタル ID は大きなトピックであり、企業の技術システムやサービスのあらゆる側面に触れている。この記事では、ID の分類法を提供するつもりはない。むしろ、ローカルの ID システムまたはサービスに対する固有の(しかし完全に有効な)ニーズがあるため、すべての個人や組織が異なる視点と理解レベルからデジタル ID にアプローチする可能性が高いという考えを支持するものである。 アイデンティティは、しばしば議論される用語である。長年の実務家も業界の新しいメンバーも、「アイデンティティ」が何を意味するのかで苦労している。この記事では、ID の定義には一律ではなく、決定的な定義が存在しないことを示唆している。その代わりに、読者がそれぞれの地域の文脈を考慮し、ここにある大まかな定義を自分たちの組織に合うように適応させることを奨励している。 この記事では、文脈に沿ったアプローチを取り、IAMの世界を分割するいくつかの可能性のある方法を示し、文脈での使用例をいくつか提供しています。IAMは技術だけではないことを心に留めておいてください。IAMは技術だけのものではなく、専門職そのものと、実務家としての私たちについてのものです。

選挙区 - 私たちは誰のために奉仕しているのか?

IAM の世界では、些細なこと、ニュアンス、略語、および無作為な事実が多すぎるため、森を見失ってしまうことは容易である。ID 作業が行われている最終的な利害関係者について考えることは、全体像に焦点を合わせ続けるための 1 つの方法です。 ID の専門家としてサービスを提供する構成要素はさまざまであり、それらを支援するためにはさまざまな技術が必要になります。これらのグループには、従来の従業員から、顧客、無給の従業員、請負業者、および組織の通常の範囲外の人々など、より複雑なグループが含まれる場合があります。 その構成要素が従業員、ビジネス・パートナー、市民、または学生を含むかどうかにかかわらず、ID の専門家として行うすべてのことにおい て、個人の経験を念頭に置いておく必要があります。個人を念頭に置くことで、より多くの文脈と広い視野が得られます。このアプローチは、「おい、私がこの自動プロビジョニング・プロジェクトを行っている理由は、これから 5000 人の新しい人を雇用しようとしているからであり、彼らの出勤初日に生産的な仕事をさせなければならないからだ」ということを理解するのに役立ちます。

企業間取引(B2E)。従業員の生産性向上

従業員や請負業者にとって、一番の関心事は生産性です。ビジネスは、初日にスタッフに生産性を上げてもらいたいし、離職時にはすぐにアクセスを削除してもらいたいと考えています。ここでの使命は、適切な人に適切な場所で適切な時間に適切なアクセスを提供することです。それがアイデンティティの専門家がやろうとしていることであり、人々が生産的になれるように適切なアクセスを得ることです。 多くの場合、人事部(HR)が従業員データを担当しており、人事システムが真実の情報源となっています。これには以下のような課題があります。

企業間取引(B2B)。パートナーとのつながり

次の有権者はビジネスパートナーです。どの業界においても、私たちはビジネスパートナーとのつながりを持つ必要があります。この接続とは、サプライチェーン(またはバリューチェーン)のメンバーが貴社と対話できるようにすることです。ビジネス・パートナーには、あなたと一緒に仕事をするために使用するアプリを提供していますが、これらの人々のID記録はどこから来るのでしょうか? 理想的には、パートナーは組織から提供された ID ビットを持って到着します。この場合、私たちはビジネス・パートナーの記録システム(おそらく彼らの人事システム)を扱っていますが、あなたはそのシステムから1度離れています。この距離は、多くの場合、ライフサイクル管理を行うための管理を委任していることを意味します。しかし、リスクの高いアプリケーションでは、アプリケーションの所有者は、ビジネス・パートナーを信頼するのではなく、アクセスを制御したいと思うかもしれません。 IAMの観点から見ると、B2BとB2Eは非常によく似ています。重要な違いは、真実のソースです。多くの場合、企業はビジネスパートナーの従業員である個人を特別に追跡するシステムを持っていません。その代わりに、それらの人々の管理を、自社の企業内またはパートナーの組織内の他のシステムに委任しています。多くの場合、IAMシステムは、個人のパートナーのアイデンティティのための事実上の真実のソースになります。

企業間取引(B2C)。デジタルエンゲージ

最後にB2Cです。消費者のことです。B2Cとは、あなたの組織がやっていることや販売しているものが何であれ、それを人々に届けることです。消費者向けのサービスを構築しているビジネスの人々と話をしていると、消費者がどのように対話しているのかをこのように説明しているのをよく耳にします。”その人はこれをしようとしていて、その人はこれをしようとしている” そして、アイデンティティの専門家は「その人はどうやってそこにたどり着いたのか」というような質問をして、その答えは「ええ、そうですね、ログインしたんですよ」ということになるでしょう。そして突然、サービスを構築している人たちが、私たちがアイデンティティの専門家として何をしているのか全く分かっていないことに気づくのです。この理解不足は、あなたの組織が行っている素晴らしいことを適切な人々に届けるための素晴らしい機会です。それがあなたのミッションです。 しかし、この世界ではライフサイクルが違います。それは個人、市民、消費者についてです。いろんな意味で、ライフサイクルをコントロールしているのは彼らであって、あなたではないのです。 ビジネスの使命は、”素晴らしい体験を提供したい “ということです。人々にアカウントを与えて、それを一日と呼ぶだけのビジネスではありません。B2Cの設定では、「いいね!」とは言えません。ログインしてください。いいえ、それは関係性の始まりに過ぎません。顧客体験に焦点が当てられており、アイデンティティの専門家である私たちは、その体験を提供する手助けをしています。私たちは、そのための重要な入口となっています。 B2C の使用例は、アイデンティティの専門家である私たちが企業内で単独ではないことを示しています。セキュリティとプライバシーの専門家がいなければ、私たちの仕事はできません。このスツールには、それを機能させるための 3 本の足があります。プライバシーについては、ID は、特にデータへのアクセスという文脈で、運用上のコントロールを提供します。そして、セキュリティについては、ID は貴重なフレームワークを提供します。私たちは、「誰が私のネットワーク上にいるのか」という質問の中に「誰」を入れています。B2C (または B2B) 環境で働いていて、プライバシーやセキュリティのチームの仲間に会ったことがない場合は、彼らを探しに行ってください。彼らには、あなたが充実させることができる貴重なツールがあり、あなたにも役立つことがあります。

関係する技術 - 管理者時間と実行時間の比較

私たちがサービスを提供している地域を確立した後は、そのために私たちが使用している技術のいくつかを見てみることにしましょう。様々な技術や用語を整理するための多くの有効な方法の中の一つのアプローチは、世界を管理時間(または管理時間)と実行時間の議論に分けることです。 本質的には、物事を設定するために使用される技術や分野は管理時間側にあり、ユーザーがログインしているときやパスワードを忘れたときに使用されるものはランタイム側にあります。

管理時間の技術

管理時間の球内の3つの主要な領域は次のとおりです。

真実」の源

どのようにして誰かが誰であるかを知ることができますか?これは形而上学的にも実用的にも答えるには難しすぎる質問かもしれません。代わりに、次のように言い換えることができます。”人々についての合理的に良い、権威のある記録を見つけるにはどうすればいいのでしょうか?彼らの給料明細をどこかに送らなければならない。あるいは、「ビジネスパートナーの配送先住所が必要だ。このデータはどうやって探せばいいのでしょうか?1 従業員にとっては、その答えは人事部にある傾向があります。パートナーの場合は、人事システムから一歩離れたところにある委任管理者になる傾向があります。そして、消費者向けの設定では、物事はより複雑になります。リスクの低い分野では、その答えは個人にあります。個人は、あなたが使用する情報の多くの権威ある情報源です。利便性のために、例えばソーシャルメディアのプロフィールなどから得られることもあります。しかし、金融や医療のようなリスクの高い分野では、その回答には、所属する高等教育機関や地方自治体などの権威ある情報源が含まれている場合があります。教育現場では、学生情報システムが学生のための真実の情報源として機能することがあります。 ここでは、データの質が重要な要素となります。私たちは、人々が適切にアクセスできるようにするためにデータに依存しています。しかし、真実の源泉からのデータは必ずしも信頼できるとは限らないので、データの品質に問題があるかもしれないという前提で運用しなければならないかもしれません。

アイデンティティガバナンスと管理

これらは、誰が何にアクセスできるかを管理するツールです。これらのツールは、コネクタを介してターゲットシステム (何を) の権限 (アクセス) を管理するために、真実のソース (誰) に依存するツールである。 ID ガバナンスおよび管理 (IGA) ツールは、従来、従業員、請負業者、または学生に焦点を当てている。これらのツールは、ERP システムに関連するより伝統的な、企業中心のツールと考えることができる。 この領域は、管理時間領域の他の5つの領域よりもかなり大きく、ここではそのうちの以下のサブセクションに焦点を当てて説明します。

ユーザーのプロビジョニングとライフサイクル管理

ユーザープロビジョニングは、ターゲットシステムにおけるユーザーアカウントの作成、維持、最終的には削除を支援するメカニズムです。このメカニズムは、真実のソースからジョイナー/ムーバー/リーバーのイベントをリッスンすることができます。例えば、人事システムへのコネクタは、新規採用者の追加などのイベントをリッスンします。このイベントは、プロビジョニングシステムをトリガーにして、ビジネスルールを通じてユーザーを評価し、必要なアクションを実行するために、Active Directoryで新しいユーザーアカウントを作成するなどのアクションを実行します。このメカニズムはまた、新規採用者データの属性に基づいてアクセスの設定を開始するなど、これらのトリガーとなるアクションが何であるかを記述するルールを持っています。これは通常、権限を割り当てることを意味し、承認を必要とすることがあります。生得権」アクセスのような基本的な権限については、承認を必要としない場合があります。例えば、全従業員が生産性スイートや電子メールにアクセスできるようにする必要がありますが、どれも承認が必要なものではありません。一方、誰かがシスアドとしてメインフレームにアクセスしたい場合は、承認が必要になります。ほとんどの組織では、明示的な承認を必要とするアクセスとそうでないアクセスの両方のタイプが存在します。 よくある間違いは、すべてを自動化しようとすることです。これは避けてください。企業内には、何百、何千、何百ものシステムやサービスが存在します。そのすべてのプロビジョニングを自動化しようとするのは、見返りが少なくなるだけです。では、何を自動化すべきなのでしょうか?候補となるのは、ユーザー数が最も多いシステムや、システムの回転率が最も高いシステムです。自動化は、大量または高速のシステムには不可欠です。その他の候補としては、ヘルプデスクチームが管理するにはあまりにも多くのリクエストがあるシステムや、機密性が高く、誰がアクセスできるかのルールを制限したいシステムなどが挙げられます。これらのシステムは、自動化することが理にかなっています。 初日のアクセスシステムは、自動化に適しています。電子メール、生産性、従業員ポータル、VPNなど、ある程度議論の余地のないものだからだ。これらのユーザーアカウントの作成は、すべての新入社員に対して行わなければならず、自動化に適した大きな管理負担となっています。 初日のオンボーディングの後、残りの膨大な数のシステムに対して、追加のアクセスを手動で提供することになります。これは、人々がアクセスを要求したり、手動でアカウントを作成したりすることを意味します(頻繁に行う必要がない場合が多いため)。そのようなシステムでは、サポートチケットを開くことによってそれに到達することができる唯一の方法であり、ユーザーアカウントを作成または変更するために、人間が直接システムにアクセスしなければなりません。これらは通常、自動化する必要はありません。 最後に、プロビジョニングシステムはしばしばパスワードの設定に関与します。この関与は、プロビジョニングシステムがパスワードの内容を集約したルールを持つ必要があることを意味します。これは、異なるシステムが根本的に異なる内部ルールとパスワード機能を持つ可能性があるため、様々な課題に直面することになります。例えば、特殊文字を含めることを義務付けるパスワードコンテンツルールがあるかもしれません。システムの傾向から、Oracle データベースでは受け入れられない特殊文字を含むパスワードを提供することができますが、Active Directory では受け入れることができます。ユーザープロビジョニング(またはパスワード管理)システムは、これらの潜在的な問題に可能な限り潔く対処しなければなりません。

エンタイトルメント管理

これで真実のソースが得られ、ユーザーはデータリポジトリに流入し、それがユーザープロビジョニングシステムのトリガーとなり、ターゲットアプリケーションやサービスでユーザーの作成を開始します。しかし、ユーザーアカウントを作成するだけでは十分ではありません。この一連のアクションをエンタイトルメント管理と呼んでいます。エンタイトルメント管理は、ユーザーがシステムで何ができるかを支配するすべての小さな特権の合計が非常に多くなるため、非常に速く詳細な情報を得ることができます。システム内に何百、何千もの個別の特権があることは前代未聞ではありません。これらの特権は、多くの場合、ユーザグループやロールに集約されますが、これもまた非常に多くの数になる可能性があります。これは、浜辺の砂粒のようなものであり、だからこそ、それらをまとめて集約しようとするのです。3人の従業員、1つのシステム、そして4つの権限があると想像してください。発注書(PO)の作成、POの更新、POの読み取り、POの削除です。各人を適切な権限の集合体につなげることは可能ですが、すぐに管理しきれなくなります。 そこで抽象化のレイヤーの出番です。ユーザーと権限の間に、エンタイトルメントと呼ばれるものを配置します。私たちは、「これで発注書を管理することができます」と言います。そして、プロビジョニングシステムは、詳細な権限の代わりに、これらの権限を提供します。私たちは詳細を抽象化して、代わりに「これは能力です」とか「これはあなたの仕事の責任に関連したものです」と言っています。残念ながら、組織のビジネスプロセスが必要とする粒度のレベルを可能にし、環境にコード化できるシステムへの指示のレベルを提供するためには、それらの離散的で詳細な権限がまだ存在する必要があります。 エンタイトルメント管理とは、人が持つことができるすべてのアクセス権をカタログ化することを意味し、これは大規模な事業である可能性があります。例えば、中規模の銀行では、10の主要なシステムを持っているかもしれません(しかし、多くの場合はもっと多くのシステムを持っています)。そして、それをどのようにビジネスニーズにマッピングするかを考え出す必要があります。エンタイトルメント管理は、このカタログ化プロセスです。 理想的には、人々や組織にとって意味のあるセットに特権を束ねます。例えば、購買で働く人が必要とするすべての権限を一緒に集めたいと想像してみてください。または、ビジネスパートナーである人(ゴールド層ではあるがシルバー層ではない)がアクセスできる関連する権限をまとめたことを確認したいとします。このレベルの効率性は、あなたとあなたの ID の同僚が、企業リソースへのアクセスを管理しやすいものにするために取り組んでいるものです。 また、サーベンス・オクスリー(SOX)コンプライアンスや一般データ保護規則(GDPR)コンプライアンス要件のように、 義務の分離分析を行う場合には必須の作業となる傾向があり、ここでは一緒に危険なアクセスの組み合わせを特定する必要がある。例えば、パートナーへの支払いをオーソライズできる人は、不正なパートナーを作って支払いをすることができないようにすべきではありません。

役割管理

しかし、これらのエンタイトルメントをそれ自体が管理可能なエンティティであるレベルまで作業したとしても、それらを効果的に使用することは非常に困難です。すべてではありませんが、多くの組織にとってのこの課題への答えは、役割管理と呼ばれるものを行うことです。役割ベースのアクセス制御(RBAC)という名前を聞いたことがあるかもしれません。その本質は以下の通りです:ある組織では、職務機能は非常に規則的なものです。規則的な職務機能は階層的な組織で最も典型的に見つけられる。スケールの他の端では、これはマトリクス化された組織で非常に悪く働く; それはピンポイントで、例えば、3つの上の仕事の責任に困難であるので、常に移っているのでである。 役割管理は、「この種の職務責任にはこの種のアクセスが必要なので、これを役割と呼びましょう」と言うのに役立ちます。さらに、技術的な役割と呼ばれるものがある場合もありますが、これは「あなたが仕事をするために必要な低レベルのビットがここにあります」と言っているもので、人々に割り当てるための便利なバンドルになります。ロールは、共通の方法でアクセスを提供するグループ化されたものだと想像してください。ロールを作成すべきなのは、グループへのアクセスを別の方法で提供したり制御したりする場合だけです。最高レベルでは、一握りのロールしか持てないかもしれませんが、組織の進化に合わせて定期的に見直す必要があります。

ロールベースアクセス制御

RBACは、ロールを使用して誰が何にアクセスできるかを管理するための方法にすぎません。深く考える必要はありません。それは規則的な、階層的な、同質な組織で大いに働く。驚くことではないが、それは米国国防総省のような場所のために本当によく働く。それは150人のスタートアップのために大きくは働かない; それをすることを試みてはいけない。 RBACを考えすぎると、あるいは一般的に時間をかけて考えると、私たちが「役割の爆発」と呼ぶものを得ることができる。塩漬けのベテランの中には、「ああ、そうだ、俺はそれで生き残ったんだ。と言われました。それは恐ろしい考えだった」と言う人もいます。このような状況を避けるようにしてください。

アクセス認証

この時点で、人々はアクセスを持っています。初日には生産的になります。2日目には生産的になります。3日目には、アクセスが多すぎるため、特権的な脅威になり始めます。そして、企業でより多くの能力を得るための最良の方法は、単純に転職することです。この仕事をしているところから別の仕事に移るわけですが、ビジネスルールでアクセスの継続を明示的に禁止していなかった場合、経験上、古いアクセスを失うことはなく、新しいアクセスの上にアクセスを蓄積していくだけです。 アクセスを蓄積するもう一つの例は、新しい人を入社させるときに、「誰のアクセスをモデルにしたらいいのか」という恐ろしい状況に陥ることです。ITセキュリティ監査を受けたことがある人なら誰でも、監査がいかに恐ろしいものであるかを知っているはずです。新入社員に与える一連の新しいアクセスのモデルとなるのは誰かという質問に対する一般的な答えは、その上司です。上司は、何年にもわたってアクセスを蓄積してきたため、アクセス違反の最大の原因となる可能性が高い。リスク管理の観点からすると、このような上司は、この目的のために模範とするには恐ろしい人物です。 認証とは、誰がどのアクセス権を持っているかを継続的に見直すことであり、米国のサーベンス・オックスレー法(SOX)の導入で流行したプロセスである。不要になったアクセスを持ち続けることを防ぐための優れたツールです。監査人は、これを四半期ごとに行うべきだと言うかもしれませんが、これはすぐに非常に疲れることになります。より良い方法は、エンタイトルメントの変更、全体的なユーザーリスクの変更、または誰かが規範から逸脱しているかどうかを検出しようとすることに基づいてレビューをトリガーすることかもしれません。言い換えれば、同業他社と比較した場合に、あなたが異常者であるかどうかを証明したいのです。その理由を突き止めたいのです。これは、自動化されていない方法で割り当てたアクセスや資格に問題がないことを確認するための強力な方法です。 上述した要素はすべて、多くのデータが流れていることになります。すべてのユーザー、すべてのシステム、すべての権限、すべてのロール、すべての特権、合計は驚異的です。どのようにして、そのすべてを理解することができるでしょうか?

アイデンティティ分析

その方法の1つは、アイデンティティ分析(IdA)とインテリジェンスであり、「誰が何にアクセスできるか」というレポート以上のものです。 アイデンティティ分析とインテリジェンスとは、エンタイトルメントデータを見て、その割り当てを見て、リスクがどのように見えるかを把握して定義しようとすることを意味します。通常のユーザーはどのように見えますか?それと比較して、重度の特権を持つユーザーはどのように見えるでしょうか?システム管理者のモデルは、開発者や金融関係の仕事をしている人、現場の営業組織で働いている人と比較して、どのように見えるでしょうか? IdA の目的は、ユーザー間の共通点を見つけ、組織内のアクセス関連のリスクを理解することです。IdA の他の目的としては、一般的に割り当てられた権限を候補のロールとしてグループ化したり、 過剰特権ユーザを特定したり、通常の非特権アカウントに割り当てられた文書化されていない高特権アクセス権を発見したりすることが挙げられます。IdA は、ユーザ、アカウント、権限、アプリケーション、部門、組織のリスク状況を正確に測定し、報告することができます。 IdA は、システムのアイデンティティとアクセスを管理するためのリスクベースのアプローチを提供し、アクセスベースのリスクに対す るガバナンス、可視性、レポートの一元化を目指しています。 IdA は、動的なリスクスコアと高度な分析機能を利用して、関連するリスクレベルを判断し、アカウントのプロビジョニング、デプロビジョニング、認証、特権アクセス管理を自動化するための主要な指標を導き出します。このアプローチでは、不要なアクセス、未使用のアクセス、および外れたアクセスを(修復のために)特定することで、アイデンティティ攻撃の対象となる領域を減らすことができます。 このリスク判定の管理時間機能のもう一つの特徴は、この機能が生成する指標やデータをランタイムシステムと統合して使用できることです。例えば、ログインプロセス中に ある人が特にリスクが高いわけではないことがわかっている場合、追加の認証要素にチャレンジする必要はないかもしれません。しかし、一方で、その人がシステム内で多くの特権と権力を持っていて、職務上の規範から逸脱している可能性がある場合、追加の検証を提供する必要があるかもしれません。このような実行時のリスク判定分析は、指標データの品質や、それらを使用する組織の成熟度に応じて、一部または全自動化されることがあります。

特権アカウント管理

そこにあるユーザーアカウントの中には特別なものもあります。システム管理者アカウント、ルートアカウントなどです。これらのアカウントは必ずしも人に縛られているわけではありません。しかし、それらは超特権ユーザーアカウントです。ルート管理者のように振る舞わなければならないチームがあるかもしれません。特権アカウント管理 (PAM) は、これらの特別なアカウントを管理するためのメカニズムです。必要に応じて、基本的に出入りをチェックすることができます。”この場合、システムはユーザが誰であるかを確認した後、その目的のために関連するアクセスを許可します。また、画面を記録することもできますので、ユーザーがアクションを実行しているときに何が起こっているかを記録することができます。このような使用例としては、特殊な機器のメンテナンスを行うサードパーティのサービスベンダーが来て、彼らが行ったアクションの監査ログが必要な場合などが考えられます。このログは、特権アカウント管理のレコード機能のようなものです。もう一つの重要な機能は、これらの特別なアカウントのパスワードをスクランブルすることで、上の例のパッチジョブのように、ジョブが完了した後にrootやsysadminアカウントのパスワードを誰も保持しないようにすることです。

身分証明

本人確認は、この管理時間セクションの最後の重要な部分です。これは、アカウントまたは対応するクレデンシャルを提供する目的で、個人に関する情報を収集し、検証するプロセスである。これは通常、アカウントが作成されたり、クレデンシャルが発行されたり、特別な特権が付与される前に実行されます。また、アカウント回復の目的で必要とされる二次的な証明とは対照的に、特定の個人に初めて遭遇したときには、より長いプロセスになる傾向がある。 このプロセスは、Know Your Customer (KYC)やアンチマネーロンダリングを行うための要件を持つ銀行などの規制された業界でよく見られます。これらは、政府の文書を何らかの形で提示し、正確かつ有効であることを証明し、個人と関連付ける必要があります。これが証明プロセスです。 発行されるアカウントまたはクレデンシャルに応じて、証明を行うさまざまな方法があり、その多くは政府が発行した ID に結び付けられている。対照的に、その他の方法は、いわゆる自己主張に基づくものである。 企業の設定、B2E(従業員に関連する)では、プルーフィングは非常に一般的なプロセスであり、バックグラウンドチェックや、仕事を得るためにパスポートや運転免許証などの書類を提示することが含まれます。従業員にとっては、新しい仕事に就くためにはこうしたいものです。しかし、B2Bの設定の場合は、状況が大きく異なります。新しいビジネスパートナーをオンボードするにはどうすればいいのでしょうか?その人が誰なのかを確認するだけでなく、その人が一緒に仕事をしたい組織であり、その組織の中で働きたい人であることを証明する必要があります。このような異なる基準により、証明プロセスは非常に異なるものになります。 B2C のユースケースでの身元証明についてはどうでしょうか。自分自身について主張する新規顧客をどのように知り、信頼するのでしょうか?ここでは、それをどの程度気にする必要があるのかという問題があります。B2C の世界では、速度と信頼性の間にはトレードオフがあります。一部の組織やアプリでは、優先順位はベロシティ - 人々を素早く登録させ、できるだけ早くアプリに入れること - になります。ユーザーージャーニーはこのために最適化されています。ユーザーのアクセスは非常に限られており、ユーザー登録のしきい値は非常に低くなっています。 他の企業では、ブランド体験のため、ビジネスのため、価値の面で提供したいもののため、または不正行為の可能性に関連しているため、信頼性が優先されます。この場合、企業は、その人物に関するより多くの検証可能なデータを求めています。企業は、新しい顧客が本当に彼らが主張する人物であることをより高いレベルの保証を持つことが重要であると判断します。

結論

冒頭で述べたように、デジタル ID は大きなトピックです。IAM が提供する構成要素、関係する技術、ガバナンス、分析、特権アカウント、および ID 証明について触れてきた。これらのトピックのそれぞれは、それだけで章全体を埋めることができます(そして、うまくいけば、IDPro知識体系の将来のバージョンでは、それだけで章全体を埋めることができます)。 この記事は、IAMの実務者に、自社のシステムやサービスに影響を与える主要な考慮事項のいくつかを理解する機会を提供しました。今後の記事では、ランタイム技術の概念を掘り下げていく予定です。

    1. 組織は、人が「誰」であるかをどのようなレベルでも具体的に知る必要はありません。組織は、”これは毎回同じ人なのか “とか “このアカウントはこのアクションを実行する権限を与えられているのか “といったことを知る必要があるだけです。
  1. AICPA「Segregation of Duties」、2020 年 1 月 11 日アクセス https://www.aicpa.org/interestareas/informationtechnology/resources/value-strategy-through-segregation-of-duties.html。
  2. アメリカ 2002. 2002 年サーベンス・オクスリー法(Sarbanes-Oxley Act of 2002)、[ワシントン D.C.] U.S. G.P.O.], https://www.govinfo.gov/content/pkg/PLAW-107publ204/pdf/PLAW-107publ204.pdf .
  3. EU一般データ保護規則(GDPR)。個人データの処理に関する自然人の保護とそのようなデータの自由な移動に関する2016年4月27日の欧州議会および理事会の規則(EU)2016/679、および指令95/46/EC(一般データ保護規則)の廃止、OJ 2016 L 119/1、https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_en .