IDおよびアクセス管理とは?
IAMの基本概念
- デジタルリソース とは、コンピューターシステムにあるアプリケーションとデータのあらゆる組み合わせのことです。デジタルリソースの例として、Webアプリケーション、API、プラットフォーム、デバイス、データベースなどが挙げられます。
- IAMの中心となるのはID(アイデンティティ) です。誰かがリソースへのアクセスを要求しているとします。その人は顧客かもしれないし、従業員や会員、参加者、あるいはそれ以外の人かもしれません。IAMでは、ユーザー アカウントがデジタルIDとなります。ユーザーアカウントは、ソフトウェアやIoTデバイス、ロボティクスなどの人間以外のものを表すこともできます。


- 認証 は、デジタルIDを検証することです。誰か(または何か)が認証を行い、自分がユーザー本人であることを証明します。
- 認可 は、ユーザーがアクセスできるリソースを決定するプロセスです。


IAMは何をするのか?
- ユーザーはどのようにシステムに加わるか
- どのようなユーザー情報を保存するか
- ユーザーはどのようにIDを証明するか
- ユーザーがIDを証明しなければならないタイミングと頻度はどうするか
- IDの証明体験をどのようにするか
- 各リソースにアクセスできる人とできない人は誰か
- シームレスなサインアップとログイン体験: ブランドの外観と言語を使用したアプリ内で、スムーズかつプロフェッショナルなログインおよびサインアップ体験を実現します。
- ユーザーIDの複数のソース: ユーザーは、多様なソーシャル(GoogleやLinkedinなど)、エンタープライズ(Microsoft Active Directoryなど)、その他のIDプロバイダーを使用してログインできることを期待します。
- 多要素認証(): パスワードが頻繁に盗まれる現代においては、追加のID証明を要求することが新たな標準となっています。一般的な認証方法の例としては、指紋認証やワンタイムパスワードが挙げられます。詳細については、「多要素認証(MFA)」をお読みください。
- ステップアップ認証: 高度な機能や機密情報へのアクセスには、日常的なタスクやデータよりもさらに強力なIDの証明が必要です。ステップアップ認証は、選択された領域や機能に対する追加のID検証を要求します。詳細については、「ステップアップ認証を追加する」をお読みください。
- 攻撃防御: システムへの不正侵入を防ぐために、ボットや不正者を排除することはサイバーセキュリティの基本です。詳細については、「攻撃防御」お読みください。
- **Role-based Access Control(RBAC):**ユーザー数が増えるに従い、個人単位でユーザーアクセスを迅速に管理することは非現実的になります。RBACでは、同じロールのユーザーが同じリソースへのアクセスを持つようになります。詳細については、「Role-Based Access Control」をお読みください。
- (FGA): リソースや技術へのユーザーアクセスを管理するためにより豊富なオプションが必要な場合は、ロールベースだけでなく、関係ベースのアクセス制御を使用できます。個人ユーザーに特定のリソースへのアクセスを与え、特定のユースケースに最適なソリューションを決定することができます。詳細については、「Fine-Grained Authorizationとは?
IAMの仕組み
IDプロバイダー

認証要素
| 要素のタイプ | 例 |
|---|---|
| 知識(知っていること) | PIN、パスワード |
| 所持(持っているもの) | 携帯電話、暗号鍵デバイス |
| 特徴(自分自身を表すもの) | 指紋、顔認証、虹彩スキャン |
- ID管理をするようにIAMシステムを設計する
- 個人データを安全に移動する
- 誰がリソースにアクセスできるか決定する