IdM および IAM システムは、通常は企業内の IT セキュリティおよび IT データ管理の一部であり、ユーザーはビジネス機能を実行するために使用する広範囲のデバイスで IAM ツールを使用できます。デバイスとしては、Windows、Linux、iOS、または Android で動作するスマートフォン、タブレット、デスクトップ コンピューターが含まれます。 

IdM と IAM は同じ意味で用いられることもありますが、IdM は主に、ユーザーの ID（またはユーザー名）と、ユーザーが属するロール、権限、グループを対象とします。また、パスワード、生体認証、多要素認証、およびその他のデジタル ID といったさまざまなテクノロジーを通じて ID を保護することも、IdM の対象です。これは、IdM アプリケーションおよびプラットフォームの導入を通じて実現されるのが普通です。

ID 管理のしくみ

アクセス管理と ID 管理を含む総合的な IAM フレームワークの一部として、企業では通常、ユーザー管理コンポーネントと、統合ディレクトリ コンポーネント（Windows の Active Directory、Linux の Apache Directory Studio または Open LDAP など）が用いられます。

ユーザー管理コンポーネントは、管理者権限の委任、各ユーザーとグループのロールと責任の追跡、ユーザー アカウントのプロビジョニングとプロビジョニング解除、パスワードの管理を処理します。これらの機能の一部または全部（パスワードのリセットなど）は、IT スタッフの負担を軽減するため、通常はセルフサービスになっています。

統合ディレクトリは、企業のすべてのユーザーとグループのデータのリポジトリです。このコンポーネントの主な役割は、企業全体でのディレクトリやリポジトリの同期です。これには、オンプレミスとパブリックまたはプライベートクラウドのコンポーネントが含まれることがあります。これにより、ハイブリッドクラウドまたはマルチクラウド インフラストラクチャで、いつどこでもユーザーとその権限を 1 か所から管理できます。

IAM フレームワークには、2 つのアクセス コンポーネントも含まれます。認証は、サインオン（およびシングル サインオン）、アクティブ セッションの管理、トークンまたは生体認証デバイスによる強力な認証の提供といった問題に対処します。認可は、ユーザー レコード内のロール、属性、ルールを使用して、特定のユーザー、デバイス、またはアプリケーションにリソースへのアクセスを許可するかどうかを判断します。

ID 管理とアクセス管理の違い

ID 管理

デジタル ID はアクセスのための鍵です。ID に含まれる情報と属性は、ロールを定義し、特定のリソースへのアクセスを個別に許可または拒否し、その ID がだれにあるいはなにに属するか、人の場合はどのように連絡を取ればよいか、企業の階層全体のどこに位置するかを組織内のほかの人々に伝える役割を果たします。ID の作成は組織全体に波及する場合があります。たとえば、E メール アカウントの作成、従業員レコードの作成、組織図内のエントリの生成などです。ID は生き物であり、時間とともに変化します。たとえば、従業員が新しい役職に就いたり、新しい職場に異動したりした場合です。

ID 管理の役割は、企業リポジトリ内で ID を構成するすべての属性とエントリの変更を追跡し、管理することです。このような変更は通常、組織内の一部の人だけが実行できます。たとえば、人事担当者が調整後の給与等級を記録する場合や、アプリケーション責任者が、カスタマー サービス担当者などの従業員のグループに、新しい CRM システム機能へのアクセスを許可する場合などです。

アクセス管理

アクセス管理は、特定のリソースへのアクセスを求めている ID の認証であり、アクセスの決定は、そのアクセスを許可するかしないかの単純な判定です。

このプロセスは階層的に行われる場合もあります。すなわち、ユーザーがそもそもネットワーク上のアクセスを許可されているかどうかがアクセス サービスで判定され、その ID に特定のサーバ、ドライブ、フォルダ、ファイル、アプリケーションのどの部分へのアクセスを許可するかどうかが下位層で認証されます。

認証と認可は違うことに注意してください。ある ID（ユーザー）が企業ネットワークに入ることを認可され、ディレクトリにアカウントを持っていたとしても、企業全体のすべてのアプリケーションへのアクセスが自動的に認められるわけではありません。特定のアプリケーションやリソースに対する認可は、ID が属するグループ、組織内でのレベル、あらかじめ割り当てられた特定のロールといった ID の属性によって決定されます。

認証と同様、認可の付与も組織内の複数の階層で行われる場合があります。たとえば、中央のサービスと、特定のアプリケーションまたはリソースに対するローカルなサービスです。ただし、リソースまたはサービス レベルでの認証は推奨されません。一元化された認証のほうが一貫性のあるコントロールが得られるからです。

ID 管理とアクセス管理の違い

ID 管理とアクセス管理の違いを簡単に言えば、次のようになります。

ID 管理の役割は、アクセスを必要とする可能性があるユーザー、ユーザーのグループ、またはその他の ID の属性を管理することです。

アクセス管理の役割は、既存のポリシーに基づいてこれらの属性を評価し、それらの属性に基づいてアクセスの可否を決定することです。

ID 管理の必要性

最近の（ISC による）調査によれば、侵害の 80% は ID アクセスの問題、すなわち認証情報の弱さや不適切な管理が原因です。適切なコントロールが存在しない場合、あるいは IAM の手順やプロセスが適切に実施されない場合、パスワードが漏洩したり、フィッシング攻撃が成立したり、侵害やランサムウェア攻撃が現実になったりする可能性があります。幸い、最新の IAM プラットフォームには、コントロールを正しく使用するためのさまざまな機能の自動化が備わっています。たとえば、従業員が退職したことが人事システムに記録された場合、ユーザーがディレクトリから削除されます。

プライバシーやデータの秘密に関する新しい法律が次々に制定されるなかで、IAM にはもう 1 つの重要な役割があります。すなわち、適用されるさまざまな規制およびガバナンス要件の順守を支援し、許可されたユーザーだけがデータにアクセスできることと、データ自体があるべき場所に存在することを保証する役割です。結局、IT セキュリティの多くの部分はアクセス権限に関連しているので、適切な IAM 戦略は IT セキュリティ全体の不可欠な要素であり、ファイアウォールの内外両方からのあらゆる脅威に対する最前線の保護を実現します。

ID 管理のビジネス上のメリット

デジタル資産を含む資産の保護は、組織の財務的価値に直接の影響を及ぼします。IAM を使用することで、仕事に必要なリソースへのアクセスにかかる時間が短縮されます。たとえば、新しい従業員のオンボーディングから、システム リソースにアクセスできるようになるまでの時間を、数日から数分に短縮できます。

セキュリティの強化に伴うビジネス価値の向上以外にも、具体的なビジネス上のメリットが存在します。IAM タスクの自動化により、IT 部門は利益に直結するプロジェクトに集中でき、セルフサービス型の ID 管理ツールを使用することで、会社のリソースにアクセスする従業員、契約社員、およびその他のユーザーの全体的な生産性が向上します。

全体的な IAM フレームワークを実装することで、新規ユーザーのオンボーディングに必要なサービスのスケーラビリティが向上し、成長の機会が得られます。また、必要な IT マンパワーが減ることで、IT 組織全体の ROI が向上します。

ID およびアクセス管理は、こういったすべてのビジネス上のメリットの基盤であり、データの盗難、悪意のある攻撃、あるいは顧客、患者、法務関連の秘密情報の漏洩につながる脅威から企業を保護する役割を果たします。