目次
IDMとは
IDMのIDとは、大きく言うと、組織内の人やモノに関する識別可能な情報全てを指します。企業で言うと、従業員の氏名、部署、生年月日、性別などの人事情報から、ITシステムにおけるメールアドレスやアカウント、またITサービスへのアクセス権限情報など多岐に渡ります。このような組織内の様々なシステムやサービスのID情報を全てまとめて一元的に管理することをIDM(ID Management : ID管理)といいます。
また、ITサービスへのユーザーのアクセス権限を申請・承認するプロセスであるアクセス管理との関わりが深いため、両者をまとめて統合ID管理(Identity&Access Management : IAMまたはIdAM)とも言います。統合ID管理は、組織内の複数の業務システムやサービスに対するIDを一括で管理し、各種デバイスやアプリケーションのユーザーIDやクラウドサービスのID、特権ID、アクセス権限など、全てのID管理・アクセス管理を統合的に行うID管理システムです。
ID管理ツールを業務に投入することにより、システム管理者の業務が自動化され負担が軽減し、運用コストも削減され、更に情報漏洩リスクへの対応を含め、セキュリティも向上し、大きな効率化を図ることができます。
導入のメリット
セキュリティ強化
2019年度の1,000件以上の情報が流出した事故の件数を比較すると、「不正アクセス」が全体の約5割を占めております。
(参照:ID管理とは? メリットと活用方法について解説| idearu)
2019年に発生した不正アクセスによる最大漏洩件数は480万件に上り、「不正アクセス」の防止はセキュリティ強化の重要な課題となっています。また、不正アクセスは、一度に流出する情報量が多いことも特徴です。最近ではテレワークの増加とともに、クラウドサービスの利用率が高まることで 、ID情報の漏えいや、パスワード等アクセス情報の使い回しによる不正アクセスが急増しています。テレワークでは自宅などのリモート環境のネットワークからのアクセスを許可する必要があり、IPアドレスを利用したアクセス制限が困難になります。これがシステムのセキュリティを大きく脅かすものであり、そのため、IPアドレス制限以外の方法でアクセスを制限することが必要になります。
このような状況下でID管理システムは不可欠なもので、アカウントや端末毎にアクセス可能な範囲を制限することで、不正アクセスによるデータ漏洩を防止することができます。
また、ID管理を行うことで「設定ミス」を減らせるほか、アクセス履歴が残るため「内部犯罪・内部不正行為」を防ぐこともできます。これら「不正アクセス」「設定ミス」「内部犯罪・内部不正行為」の合計は情報漏洩原因の約6割に及び、対策としてID管理を行うことの重要性がうかがえます。
シングルサインオンによるユーザーの利便性向上
シングルサインオンとは、一つのID・パスワードを認証することで、複数のシステムに自動ログインで入ることができる機能です。
これにより、ユーザーは多数のIDとパスワードを覚える必要がなくなり、また、システムごとにIDとパスワード入力するという煩雑なログイン操作からも解放されます。これにより、ユーザーの負担が軽減され利便性が大きく向上します。
更に、システム管理者が複数の認証情報を管理したり、増加するID管理をシステムごとに個別対応したりする負担もなくなり、運用コストも軽減することができます。
情報の一元管理による管理者の利便性向上
ID管理により情報を一元的に管理することは、管理者にとって大きなメリットがあります。
IDは社員の異動や入退社の際に、作成・発行または停止・削除する必要があります。一人の社員につき多数のサービスのIDを管理するため、人事異動など作業が集中する時期には、システム管理者の大きな負担となります。これをID管理システムにより、すべてのサービスのIDを一か所で管理しておけば、更新作業の手間は大きく省かれ、システム管理者の業務の効率化につながります。また、定期的なIDメンテナンス業務も自動化でき、システムの運用コストも削減できます。
一方、利用者も、各システムごとにログインIDやパスワードを使い分ける必要がなくなり、ログイン時の利便性を向上でき、業務効率の低下を防ぐことができます。また複数のアカウントのログイン情報を紙に書いて保管するなどの事態が少なくなり、セキュリティの向上にもつながります。
ID管理システム
アクセス権の制限や利用状況の把握には、ID管理システムを利用することが一般的です。
Azure Active Directory
多くの企業が利用しているAzure Active Directory(Microsoft)はID管理においてどのようなことができるのでしょうか。
Azure Active Directoryの機能
Azure Active Directoryの機能は大きく分けて以下の4つです。
- IDの管理
- アクセス権限の設定・管理
- アプリケーション管理
- 操作ログの取得
最も基本となるIDの管理はもちろん、アクセス権限の設定・管理や操作ログの取得も行え、セキュリティ強化にも役立つため、Azure Active DirectoryはID管理を導入するうえで必要な基本の機能を備えているといえます。
Azure Active Directory ではできないこと
統合ID管理を行う上で重要なものですが、以下の3点はAzure Active Directoryでは行うことができません。
- プロビジョニング(自動化)
- 特権ID管理
- 多要素認証
1. プロビジョニング
ユーザーの自動プロビジョニングは、組織内で人事異動や入退社などがあった場合に、アカウントの追加・変更・削除を自動で行う機能です。統合ID管理システムを人事システムと直接統合することによって、アカウントの新規作成、更新、削除の工程を人事のデータ管理のプロセスとリンクすることができます。また、「どのアプリケーション」を「誰に割り当てるのか」までをも自動で行うことが可能で、ID管理業務の大幅な効率化につながります。
2. 特権ID管理
特権IDとは、他ユーザーのアクセス権の管理ができ、システムを維持また管理するためのハイレベルの権限を与えられたIDを指します。
特権IDは非常に大きな権限を持ち、システムに対して多大な影響を与えることが可能なことから、不正やトラブルにつながりやすいという特徴があります。付随するリスクも非常に大きく、悪用された特権IDから個人情報が漏えいしたようなケースも多々あります。また、センシティブなデータの改ざんなども可能なため、この特権IDをいかに細かく管理をしてるかが企業のリスク管理の鍵になります。
そのため複数人に割り当てられた特権IDの管理は、統合ID管理の重要な業務です。
3.多要素認証
多要素認証(Multi-Factor Authentication : MFA)は、IDとパスワードでの認証に加えて、指紋などユーザーに固有の生体情報や、SMSやQRコードなど複数の端末を利用した認証方法を組み合わせることで、セキュリティをより堅牢なものにする機能です。
シングルサインオンはユーザーの利便性を大幅に向上しますが、一つのIDとパスワードが流出した場合に漏洩する情報が増加するということでもあります。
そのためセキュリティを考える上では、多要素認証機能を備えた統合ID管理システムを導入すべきです。
すべてを兼ね備えた統合ID管理システムFreshservice
FreshserviceはID管理の基本的な機能に加えて、プロビジョニング、特権ID管理、多要素認証の全てを備えた統合ID管理システムです。
オーケストレーション機能による自動化
オーケストレーション機能により、ユーザーの人事異動や入退社があった場合に、各アプリケーションにおけるアカウントの追加・変更・削除のアクセス管理を自動で行えます。
加えて、登録時にユーザーの役割を設定することで、割り当てるアプリケーションの選択も自動で行い、ID管理業務を大幅に効率化します。
例えば、営業職の社員が入社した場合にはZoomとカレンダーを、エンジニアが入社した場合にはそれらに加えてAWSとSlackのログイン権限を自動で付与する、といった処理が可能です。
特権IDの管理
「アカウント管理者」「エージェント」など複数の権限レベルを設定可能です。
IDごとに必要最低限の権限のみを付与することで、業務に必要のない操作を防ぎ、情報の漏洩や不正を防止します。
また、特権IDを用いてログインしてもすべての操作履歴が残るため、履歴の書き換えなどによる不正操作も予防されます。
シングルサインオンとQRコード認証で素早く安全なログイン
シングルサインオンに対応しているため一度の認証で、アクセス可能なすべてのシステムにログインが可能です。
また、スマートフォンでのQRコードの読取りを利用した多要素認証を設定可能で、安全なログインを素早く行うことができます。
最短1日で導入!ITIL準拠サービスデスクをかんたんに行えます!
