クラウドサービスをはじめ、業務で活用できる利便性の高いサービスやツールが次々と登場しています。業務を効率化させることはもちろん、これまでになかった機能はビジネスに新たな価値をもたらし、DXの実現に一役買うものです。
しかし、ツールの導入に伴ってユーザ認証に必要なID・パスワードも増えていけば、それだけ管理が大変になったり漏えいリスクに気を配らなければいけなかったり、かえって手間がかかってしまう部分もあるかもしれません。
本記事で扱う、IAMはこれらの認証とアクセスに関する権限を制御するための仕組みです。
AWS IAMをはじめ、多くのクラウドサービス事業者が提供するIAMについて、必要性、仕組み、主な機能や利用に関する注意点についてご紹介します。セキュリティ管理者など、セキュリティの維持と管理の手間、ユーザーの利便性の間で悩む方におすすめできるソリューションです。
また、企業の情報セキュリティご担当者様へ、LRMでは、企業でとるべきセキュリティ対策が一覧でわかるチェックシートを無料で配布しています。ぜひご活用ください。
IAMとは
IAMは「Identity and Access Management」を省略したもので、日本語に訳すと「認証とアクセスの管理」となります。読み方は日本と英語圏で違いがあり、日本国内では「アイアム」と呼ばれることが多く、英語圏では「アイエーエム」と呼ばれることが一般的です。
その名の通り、各種のサービスやツールに関する認証、複数のサービス・ツール間でのIDの一元管理、および、セキュリティの確保と情報資産へのアクセス制限を実現します。
特に、クラウドサービスでは一つのクラウドプロバイダーが扱うサービスに限っても種類は多く、別々に認証情報を管理することはなかなかの手間ですよね。
とは言え、情報セキュリティの観点からすれば、そうした管理をしないということはあり得ないので、IAMを用いて認証とアクセス管理をまとめて行うことが一般的になってきています。
IAMの種類
IAMは利用者によって大きく2種類に分かれます。
- CIAM
- EIAM
CIAMの「C」はCustmer(顧客)を意味しており、顧客向けにIDとアクセス権限の管理を行います。EIAMの「E」はEnterprise(企業)を意味しており、従業員やパートナー企業のIDとアクセス権限を管理するものです。
IAMの必要性
IAMが必要とされる理由は、主にユーザー認証によってセキュリティと生産性を確保することにあります。また、これに関連して各種クラウドサービスなどと連携し、よりスムーズな利用を実現することも目的の一つです。
セキュリティ
ユーザー認証において求められるセキュリティとは、利用者であるユーザーを確実に認識し、許可したユーザーにのみサービスやシステムを利用させることです。悪意あるユーザーによるなりすましやパスワードの解析による認証を許さない、強固な認証がまずは重要です。
ユーザー認証は、システムやサービス、データなどのリソースへのアクセス可否の判断にも利用します。業務で利用するファイルやデータについては、アクセス可能なユーザーを限定する必要があります。
顧客情報や研究情報のような機密情報はもちろん、あらゆるファイルに関して、また、SaaSなど各種のクラウドサービスの利用においても、ユーザー認証により利用範囲を限定する必要があります。
さらに、ユーザー認証によるアクセス範囲の限定は、内部不正の防止にも役立ちます。
重要な情報には必要な人にしかアクセスする権限を与えないことで、内部不正の多くを防ぐことができるでしょう。
他にも、ユーザー認証を行い、アクセス履歴などの情報を収集、蓄積することもセキュリティ面での重要な役割です。これらのデータをAIや行動分析などで分析することにより、不審な行動をするユーザーの抽出などコンプライアンスの管理にも役立ちます。
生産性向上(コスト削減)
そもそも新たなツール・サービスを導入する目的は、業務効率やプロダクト品質の向上、すなわち、生産性の向上です。
生産性を高めるため新たなツールやサービスを取り入れるのに対し、それぞれに別のユーザー認証の仕組みを用意すると、ユーザーの利便性が失われ、目的となる生産性の向上をなすことができません。
生産性を向上させるためには、ユーザーのIDを一元管理し、スムーズにツールやサービスが利用できるようにすることが重要です。ユーザーの作業におけるコスト削減もユーザー認証に必要とされているのです。
さらには、ユーザーの情報の管理者のコストを削減することにもつながっています。
クラウドサービスなどとの連携向上
クラウドサービスの利便性を享受し、セキュリティを確保する上でも、ユーザー認証とアクセス権限の管理をスムーズにする仕組みが求められています。
このため、多くのクラウドベンダーは自社サービスと連携する認証サービスを提供しています。
例えば、AWSでは「AWS IAM」というサービスを提供しており、これを活用することでAWSの各種サービスにおける認証とリソースへのアクセスを集中的に管理することが可能です。
Google Cloudではよりシンプルに「Identity and Access Management(IAM)」というサービスが提供されており、Google Cloud上でのリソースへのアクセスをエンタープライズレベルで制御することができます。
IAMの仕組み
IAMを構成する代表的な機能には、下記があげられます。
認証
ユーザーを識別し、認証する仕組みです。最もイメージしやすい方式は、ユーザーにアカウントIDを発行し、パスワードと組み合わせて認証するものです。
しかしながら、一つの要素だけでのユーザー認証はセキュリティ強度が弱いため、IAMでは多要素の認証(MFA:Multi-Factor Authentication)を組み合わせて利用することが重要です。
多要素認証では、ユーザーIDとパスワードの組み合わせ以外の多用な情報を活用します。
例えば、接続している端末の位置情報やマシン固有番号、OSやデバイスのバージョンなどです。
SSO
一度行ったユーザー認証の結果を、他のサービスやツールでも利用できるようにする機能です。
ユーザーの利便性を高めるとともに、複数のパスワードを生み出さないため簡易なパスワードの設定を控えさせ、セキュリティの向上にも貢献します。
ロールによる権限管理
サービスやデータへのアクセスを制御する際、ユーザごとにひとつひとつアクセス権限を設定するのは管理者にとって大きな手間です。そこで、グループやロール(役割)でユーザをまとめ、このまとまりに対してアクセス制御のルールを作って適用することで、効率的な権限管理が可能になります。
もちろん、個別のユーザーごとの設定も行える場合が多いため、グループやロールでアクセス制御を設定した上で、さらにユーザーごとに詳細に設定を行うこともできます。
IAMの機能
IAMに持つ機能について、Google Cloudを例に紹介します。
なお、この機能は一般的な例ではありますが、すべてのIAMが持つわけではないため注意ください。
- 単一のアクセス制御インターフェース(様々なGoogle Cloudで共通)
- きめ細かい管理
- 自動化されたアクセス制御の提案
- コンテキストアウェア アクセス(コンテキスト属性による多要素認証)
- フレキシブルなロール
- ウェブ、プログラム、コマンドラインからのアクセス
- 組み込みの監査証跡
- Cloud Identity のサポート
- 無料(Google Cloudを利用している場合)
IAMをクラウドサービスで使用するケース
具体的に、IAMを利用するユースケースについて、AWSの公式サイトより紹介します。
なお、AWSを例としていますが、他のIAMを利用した場合については各製品のサイトなどによりご確認ください。
ユーザ属性に基づく厳密なアクセス制御
ユーザーの所属部門や職務、チーム単位でアクセス制御を定めることで、効率的に最小限のアクセスのみを許可できます。
アカウント単位でのアクセス管理及びAWSアカウント/サービス全体のアクセス管理
AWSによりIDを振り出して管理したり、Microsoft Active Directory、Google WorkSpaceなどのIDを利用してユーザー認証を行うことが可能です。
データにおけるアクセス制御の境界を明確に
信頼できるIDに対し、アクセス可能な範囲を定め、明確な境界をつくることができます。
セキュリティとコンプライアンスの向上などに期待でき、機密情報の保護などでも役立てることが可能です。
アクセス権限の最小化・合理化
ユーザーにアクセスを許可した後も、継続的にアクセス権限の見直しを行い、最小限のアクセス許可のみ残すための仕組みを提供します。
アクセス認証の結果を分析し、未使用の許可を取り消したり、アクセス許可の変更の監視をすることができます。
IAMを導入する際の注意点
ユーザー認証のための仕組みとして、利便性の高いIAMですが、導入に際しては下記の点に注意ください。
用意されたセキュリティ対策の積極的活用
当然ですが、IAMを導入しただけでセキュリティ対策が万全になるわけではありません。しっかりIAMを使いこなし、備わっているセキュリティ機能を活用することが肝要です。
下記にその一例を紹介します。
- 不要な認証情報を削除する
- ルートユーザーの利用を制限する
- 特権ユーザーに対して MFA を有効化する
- 強力なパスワードポリシーを設定
- 認証情報を定期的にローテーションする
- IAM ユーザーへのアクセス権限を割り当てるためにグループを使用する
アクセス権限は最小限にとどめる
情報セキュリティ分野で押さえておきたい原則として、「最小権限の原則」があります。
ユーザに与える権限は最小限にとどめて、リスクを抑えることを重要視するものです。
IAMでは細やかな権限設定が可能ですので、ユーザの属性ごとにしっかり適切な権限のみを付与するようにしましょう。
よく利用するサービス、ツールとあったIAMを選定
IAMはクラウドベンダーをはじめとする様々なベンダーから提供されています。
これはIAMに限らずツールの導入に一般的に言えることですが、自社で既に使っているツールや自社業務に合ったIAMの選択が重要です。
利用するクラウドベンダーが決まっている場合にはそのベンダーが提供するIAMを利用することが無難ですし、そうでない場合には、自社の環境で使いこなすことができるIAMであるかを見極めて選定しましょう。
まとめ
IAMは、サービス・ツールに跨ってユーザの認証情報とアクセス権限を管理できる仕組みです。
IAMによる統合的な管理によって、ツールやサービスによる業務効率化をよりスムーズにしましょう。
また、企業が取るべきセキュリティ対策をまとめたチェックシートを無料で配布しています。
ぜひご活用ください。
