コンテンツへスキップ

IAMとIGA:これらは、それぞれ異なるが相互に補完し合う機能を果たす、2つのアイデンティティセキュリティ機能群です。.

  • IAMは、認証、シングルサインオン(SSO)、および認証やアクセスに関連するその他の機能を通じて、ユーザーがデジタルリソース(アプリケーション、システム、データ)に安全にアクセスできるようにし、そのアクセスを管理することに重点を置いています。.
  • IGAは、アクセス権の付与と管理という基本機能にとどまらず、1)組織がデジタルリソースへのアクセス権をどのように付与しているかに焦点を当て、2)付与されたアクセス権が適切かつコンプライアンスに準拠していることを確認し、そうでない場合には適切な措置を講じます。.

基本的に、IAMは「誰がログインするか」「どのようにログインするか」「ログイン後にどのようなアクセス権限が与えられるか」という根本的な問題に対処する一方で、IGAは、付与されたアクセス権限が、そのユーザーの役割や割り当てられた業務に対してそもそも適切であるかどうかを検証するものです。.

IAMとは何ですか?

IAMとは、組織内のリソースへの安全なアクセスを求めるユーザー(人間またはマシン)の身元を認証するためのポリシーおよびプロセスを指します。 ユーザーの身元を認証する目的は、1)そのユーザーが自身の役割と責任に基づき、要求されたアクセス権を実際に有していることを確認すること、および2)それに応じてアクセスを許可(または許可しない)することです。.

IAMの主な機能

IAMとは、組織のセキュリティとユーザーの生産性の両方を優先しつつ、ユーザーを認証し、リソースへのアクセス権を付与することを目的としています。IAMは数十年にわたり進化を遂げ、これら2つの分野に、ますます洗練された方法で同時に対応できるようになってきました。.

  • 認証:最も基本的な意味において、認証とは、ユーザーが自身の身元を証明するために、ユーザー名やパスワードといった従来の認証情報を提出することを指します。しかし、アイデンティティ環境や脅威の状況が規模・複雑さの両面で拡大するにつれ、ユーザーが認証情報を覚えにくく、悪意のある攻撃者が盗みやすいという問題が、ますます深刻化しています。.
  • 多要素認証(MFA): 生体認証などの追加の認証要素を導入することで、認証のハードルが高まり、セキュリティが向上します。これは、追加の認証要素がユーザーにとって負担にならない場合に特に有効です。例えば、顔認証や指紋認証はユーザーにとってほとんど手間がかかりませんが、認証情報の盗難を大幅に防ぐことができます。.
  • シングルサインオン(SSO): ユーザーがアクセスする必要のあるセキュリティ保護されたリソースの数が増えるにつれ、SSO を利用することで、ユーザーは 1 回のログインで強力な認証を経て複数のアプリケーションにアクセスできるようになり、プロセスを迅速化・簡素化できます。また、SSO は、攻撃者が複数のログインに伴うログインの脆弱性を悪用する機会を減らすことで、攻撃対象領域を最小限に抑えます。.
  • パスワードレス: パスワードレス認証では、従来の認証情報を、生体認証、パスキー、認証アプリなど、容易に盗まれることのない身元確認手段に置き換えます。また、ますます増え続けるリソースにアクセスするために、ユーザーが複数の認証情報を記憶する必要がなくなるため、正当な認証がより容易になります。.

IAMの重点分野: ゼロトラスト

ゼロトラストとは、リソースへのアクセスを許可する前に信頼関係を確立するという考え方に基づくセキュリティ概念であり、決して信頼を前提としないものです。そのため、誰かまたは何かがアクセスを試みるたびに身元を確認しなければならないゼロトラスト環境の運用に取り組む組織にとって、IAMは不可欠な基盤となります。.

ゼロトラスト環境は、IAMの中核となる機能と実践によって実現されます。.

  • 認証:MFAおよびパスワードレス認証による本人確認
  • アクセス:アクセス許可のためのコンテキストに応じた条件付きポリシーの採用
  • 一元化:アプリケーションやアクセス環境を横断したSSOの活用
IGAとは何ですか?

IAMは主に、ユーザーにアクセス権を付与する前にその身元を認証することに重点を置いているのに対し、IGAはガバナンスに重点を置いている どのように アクセス権限が誰に付与されるかを明確にし、それが常にユーザーや状況に応じて適切であることを確認することです。IGAの全体的な目的は、アクセス権限がビジネスポリシーに準拠し、コンプライアンス要件を満たし、セキュリティのベストプラクティスと整合していることを保証することです。.

IGAの主な機能

IAMは「誰が何にアクセスできるか」を扱うのに対し、IGAは、組織内でのユーザーの役割や、組織のセキュリティおよびコンプライアンスに関するポリシーや慣行といった要素に基づき、そのアクセス権が適切に付与されているかどうかに焦点を当てています。.

  • アクセス要求と承認:IGA環境におけるワークフローベースのアクセスプロビジョニングでは、自動化と人的関与を組み合わせることで、アクセス要求を迅速かつ正確に審査し、ユーザーへのアクセス権限を付与します。.
  • アクセス認証:ユーザーの役割や責任は絶えず変化しているため、アイデンティティ・ガバナンスでは、アクセス権限の適切性を検証するために定期的なアクセス認証が必要となります。手作業ではこうした変化に追いつくことは不可能であるため、自動化が鍵となります。.
  • ロール管理:ユーザーに必要な業務を行うためのセキュアなリソースへのアクセス権を容易に確保するには、ユーザー向けのロールを作成することが不可欠です。また、セキュリティリスクを引き起こすような過剰な権限がユーザーに付与されないようにするためには、堅固なロール管理も同様に重要です。.
  • IDライフサイクル管理:アクセス権限の変更は、組織への加入、さまざまな役割の経験、そして最終的には離職に至るというIDライフサイクルの過程の一部です。IDライフサイクル管理は、アクセス権限を現在の役割にふさわしい状態に保つために不可欠です。.
  • 監査と報告:誰がどのリソースにアクセスできるかを把握することは、規制要件を遵守し、アクセスリスクを可視化するために極めて重要です。監査と報告は、これら両方を達成するための基礎となります。.

IGAの重点項目: ゼロトラスト

ゼロトラストは、信頼はデフォルトでは決して存在し得ず、誰かまたは何かがアクセスを試みるたびに、その都度確立されなければならないという前提に基づいて機能します。IGAは、ユーザーに対する信頼度に基づいてアクセスが適切かどうかを継続的に評価するために、組織が必要とする管理機能とガバナンスを提供します。.

ゼロトラスト環境は、IGAのいくつかの主要な機能と実践によって具体的に実現されています。.

  • ワークフローベースのプロビジョニング:自動化を活用してアクセス権限の適切な管理を確保する
  • アクセス認証:アクセスを継続的に検証し、必要に応じて調整を行う
  • 役割の管理:アクセス権の有害な組み合わせを認識し、回避する
  • IDライフサイクル管理:役割の変更や終了時に、アクセス権限を即座に更新する
  • 監査と報告:信頼の判断を立証するというゼロトラストの原則を支援する

IGAの重点分野:規制遵守

SOX、HIPAA、GDPR、PCI-DSS、ISO 27001IGA、およびその他の規制では、厳格なアクセス制御が求められているほか、アクセス制御が各規制で定められた基準を満たしていることを実証できる能力も求められています。こうした説明責任と監査可能性こそが、IGAが提供するものです。.

規制遵守については、IGAのいくつかの中核的な機能や実践によって具体的に支援されています:

  • アクセス認証:アクセス状況の確認とアクセス権限の検証結果の提示
  • 監査および報告:コンプライアンスの証拠に関する特定の規制要件への対応
  • IDライフサイクル管理:現在の役割に応じた適切なアクセス権限の維持
IGAとIAMの違い

IGAもIAMも、リソースへの安全なアクセスを扱っています。しかし、IAMはユーザーがアクセス権限を持つリソースに安全かつ便利にアクセスできるようにするのに対し、IGAは、そのユーザーにそのアクセス権限を与えるべきかどうかを検討するものです。その観点から、主な違いは以下の通りです:

IAM:アクセスを有効にする
IGA:アクセス管理
目標・目的
ユーザーがアクセス権限を持つリソースへの、安全かつ便利なアクセスを可能にする
リソースへのユーザーのアクセス権限が、その役割と責任に見合ったものであることを確保する
主な懸念事項
あなたはどなたですか?また、どのような情報にアクセス権をお持ちですか、あるいはアクセス権が必要ですか?
あなたは誰で、何をしているのですか べきである 利用できますか?
主な能力
  • 認証
  • 多要素認証(MFA)
  • 連合アイデンティティ
  • パスワードレス
  • ワークフローベースのプロビジョニング
  • アクセス認定
  • 役割管理
  • IDライフサイクル管理
  • 監査および報告
成功指標の例
  • 認証の成功率/失敗率
  • MFA/パスワードレス認証の導入率
  • アカウントのプロビジョニングにかかる平均時間
  • 認証に関する問題の解決にかかる平均時間
  • システムの可用性および稼働時間の水準
  • アクセス要求の承認にかかる平均時間
  • アクセス審査の完了率
  • 職務分掌違反が検出されました
  • 最小権限の原則が適用されているアカウントの数
  • 問題に関する監査指摘事項の数

目標・目的

IAM:アクセスを有効にする

ユーザーがアクセス権限を持つリソースへの、安全かつ便利なアクセスを可能にする

IGA:アクセス管理

リソースへのユーザーのアクセス権限が、その役割と責任に見合ったものであることを確保する

主な懸念事項

IAM:アクセスを有効にする

あなたはどなたですか?また、どのような情報にアクセス権をお持ちですか、あるいはアクセス権が必要ですか?

IGA:アクセス管理

あなたは誰で、何をしているのですか べきである 利用できますか?

主な能力

IAM:アクセスを有効にする

  • 認証
  • 多要素認証(MFA)
  • 連合アイデンティティ
  • パスワードレス

IGA:アクセス管理

  • ワークフローベースのプロビジョニング
  • アクセス認定
  • 役割管理
  • IDライフサイクル管理
  • 監査および報告

成功指標の例

IAM:アクセスを有効にする

  • 認証の成功率/失敗率
  • MFA/パスワードレス認証の導入率
  • アカウントのプロビジョニングにかかる平均時間
  • 認証に関する問題の解決にかかる平均時間
  • システムの可用性および稼働時間の水準

IGA:アクセス管理

  • アクセス要求の承認にかかる平均時間
  • アクセス審査の完了率
  • 職務分掌違反が検出されました
  • 最小権限の原則が適用されているアカウントの数
  • 問題に関する監査指摘事項の数
IAMとIGAの連携:アイデンティティ管理の包括的なカバー

アイデンティティセキュリティのあらゆる側面に対処するためには、組織としては、IAM(ユーザーがリソースに安全かつ便利にアクセスできるようにするもの)とIGA(ユーザーによるリソースへのアクセスが適切であり、セキュリティリスクを生じさせないことを保証・実証するもの)を組み合わせて導入することが理想的です。 しかし、組織ごとに要件やリソースの規模が異なるため、その状況に応じて進め方が決まります。これについては、以下のシナリオで説明します。.

シナリオ:IAMとIGAを同時に導入すべきか? はい、可能な限りそうすべきです。.

IAMとIGAを同時に導入することは、組織が両方のシステムを新たに導入する場合でも、既存のIAM環境を置き換えてIGAを追加する場合でも、ほぼ常に理想的な選択肢となります。 同じベンダーのIGAおよびIAM機能を同時に導入することで、組織は、2つの相互に補完し合う重要な領域にわたって完全なIDセキュリティを確実に確保でき、段階的な導入に伴う不必要なセキュリティ上のギャップ、統合上の問題、その他のリスクを回避できます。.

H3 シナリオ:既存のIAM導入環境にIGAを追加する? 可能性はある。.

アクセス権の付与や管理に必要な機能をすべて備えたIAMシステムをすでに導入している組織の場合、初期のID管理への投資を無駄にしないためにも、そのシステムを維持しつつIGAを追加することを検討する価値があるでしょう。これは、IGAソリューションが同じベンダーのものである場合に特に有効です。 そうでない場合、IDセキュリティの全体的な管理ははるかに複雑になる可能性が高く、両者の統合は困難を伴う可能性があり、また、異なるシステムを運用することに伴うトラブルシューティングの問題が継続的に発生する恐れがあります。.

シナリオ:IAMのみを使用し続ける? 推奨されません。.

予算や運用上の制約から、IGAを導入せずにIAMのみを導入することも可能です。しかし、必ずしもそれが望ましいとは限りません。 確かに、IAMを導入してユーザーを認証しておけば、アクセス権限のない者が何らかの形でアクセス権を取得してしまうリスクは低くなります。しかし、それだけでは、ユーザーが持つアクセス権が アクセス権限。このため、IAMのみを利用している組織では、ユーザーが過度なアクセス権限を蓄積してしまうことで、セキュリティ上の問題が生じるリスクがあります。また、IGAを導入していない組織では、規制当局の監査を受けた際にコンプライアンスを証明するための監査証跡やその他の証拠が不足してしまいます。.

シナリオ:IGAのみを使用する? それは現実的な選択肢とは言えない。.

IAMなしにIGAを導入するのは意味がありません。なぜなら、IGAによるセキュリティポリシーの適用は、IAMが提供する基盤となる認証および認可の仕組みに依存しているからです。つまり、IAMがなければ、IGAが機能するための基盤がまったく存在しないことになります。選択すべきは、「IAMのみ」か「IAMとIGAの併用」かのどちらかだけです。.

IGA 対 IAM よくある質問
アイデンティティ・セキュリティにはどのような役割があるのでしょうか?

アイデンティティ・セキュリティとは、不正アクセスを防止することを目的として、身元を確認し、アクセス制御を適用することで、デジタルアイデンティティを保護する取り組みのことです。.

IAMはアイデンティティセキュリティの一部ですか?

はい。IAMは、ID管理とアクセス管理を統合し、デジタルIDのセキュリティを確保するとともに、デジタル環境におけるリソースへの不正アクセスから保護します。.

アイデンティティおよびアクセス管理とは何ですか?

アイデンティティおよびアクセス管理(IAM)により、機密性の高いリソースを安全に保管し、SSO、MFAなどの手法を用いてそれらに安全にアクセスすることが可能になります。 パスワードレス.

アイデンティティ管理の目的は何ですか?

ID管理の目的は、適切な人物、かつその人物のみがセキュリティ保護されたリソースにアクセスできるようにすることで、セキュリティ侵害のリスクを低減することにあります。.

ID管理にはどのようなメリットがありますか?

ID管理は、リソースへの安全なアクセスを可能にし、規制順守を支援するとともに、アクセスを便利かつ安全なものにすることで、ユーザー体験を最適化します。.

IGAとIAMの違いは何ですか?

IAMは、誰がアクセス権を持っているか、すなわちユーザーの認証やリソースへのアクセス管理に重点を置いているのに対し、IGAは、ユーザーのアクセスがその役割や責任に見合っているかどうかに重点を置いています。.

デモをリクエスト

デモのお問い合わせ