コラム

SmartCloud コラム

クラウドにおけるIAM(Identity and Access Management)の変化

2021.01.26IAM

著者：Vasco Gomes

(Atos社サイバーセキュリティ製品のグローバルCTO)

ITセキュリティの柱であるIAM

Identity and Access Management (IAM) は、実は最も古くから普及しているセキュリティコントロールのひとつである。IAMは、だれ(ユーザ) または何 (エンティティ_[1]) が通信しようとしているのか、何の目的(読み取り、書き込み、もしくは変更なのかなど)なのか、権利を有するのかどうかを制御するために必要である。
今後、数十年間のITの進化にかかわらず、ID管理と企業データへのアクセス管理は常に必須となる。

まだ充実していないハイブリッドクラウドIAM

しかし、Atos社の EvidianソリューションのChief Technology OfficerであるThierry Winter氏がブログで、「ハイブリッドクラウド_[2]におけるID管理はまだ遅れている。Atos社はID管理のプロバイダとして、入口を防御することに注力している。IAMのIdentity Governance&Administration (IGA) 領域において、クラウド型のIAMは、従来のオンプレミス型の IAMシステムと比較すると、まだ充実していない。」と述べている。

まず、IDガバナンスとID管理は何に対応すべきなのかを明確にして、必要な利用シーンを設定していく必要がある。以下3つの簡単な質問に答えてみる。

•だれ(アクセスを必要とする人)が、
•何(リソース、データ、アプリケーション...)を
•いつ(開始し、終了し、周期性は...)

IDガバナンスとID管理は、アクセス・ワークフローとアカウントのプロビジョニングを自動化し、権限を管理し、コンプライアンスのレポートを作成することにより実現する。

今日、すべてのクラウドサービスプロバイダは独自のID管理モデルを持っており、複数のパブリッククラウド環境(IaaS (Infrastructure as a Service) 、PaaS (Platform as a Service) 、SaaS (Software as a Service))に跨り、ユーザの役割と権限を個別に調整しようとすれば、顧客のIT部門の担当者の作業は悲惨なものになる。実際、IT部門はこれらのすべてのアプリケーションと環境に対する認証を単一のアイデンティティプロバイダ (IdP) に依存することも可能であるが、企業が使用する何百ものクラウドサービス、ひとつひとつに対し、各アプリケーションのログイン時にユーザ、グループ、およびアクセス権を構成、設定、管理する必要があるからだ。

企業の平均的な組織が1,935個ものクラウドサービスを使用する場合、このようなタスクは実行不可能であると、2019年発行のMcAfee Cloud Adoption and Risk Reportに明記されている。

ハイブリッドクラウドIGA

そこで必要なのは、Webアクセス管理とIDのガバナンス・管理を統合した、サービスとしてのID管理ソリューション(IDaaS)である。ここでは、顧客の最高情報セキュリティ責任者 (CISO) が、複数のクラウドサービス(IaaS、PaaS、SaaS)利用時に、ビジネスを推進する社員とITを推進する社員を監督する。そして、現在の役割と社員に与えられた既存の権限の不一致を定期的に確認、報告し、一元的にワークフローを管理するようになる。

さらにシステムでは、新しいユーザのアカウントとアクセス権を自動的に提供し、利用しているすべてのクラウドサービスから、最近離職したユーザを一度に削除するようになる。

コンプライアンスの観点から見ると、CISOのレビューのために、アクセス権で発生するすべての変更をIGAが実行する。レビュー実施後に、変更は承認可能になる。レビューの結果として、ビジネスの推進要因を理解するように要求されたり、アクセス権の変更が有害になる可能性がある場合は、セキュリティインシデントを引き起こす可能性がある。

IAMに関するその他の課題

ユーザ環境の継続的な評価とリアルタイムに近い認証はまた別の課題であり、フォローアップブログで取り上げる。
ITは進化を続けており、様々なIAMソリューションはハイブリッドクラウド環境の導入を促進している。

[1]エンティティとは、究極的には人間や人間の集団ではない、あらゆる種類のコミュニケーション源を意味する。アプリケーション、ボット、システム・デーモン/エージェント、あるいはあらゆる種類のマシン/オブジェクト/物(サーバ、ワークステーション、スマートフォン、タブレット、 IP電話、ゲートウェイ、プリンタ、カメラ、ネットワークデバイス、ファイアウォール、冷蔵庫、テレビ、 ...)など。

[2]«ハイブリッドクラウド»用語には多くの異なる使い方がある。ここでは、パブリック・クラウド、オンプレミス(プライベート・クラウド)、エッジ環境にまたがるエンタープライズ情報システムを簡潔に意味している。どのような環境であっても、アプリケーションを同様の方法で提供できる。「マルチクラウド」という表現は、 GCPやAWS, Azure, Alibaba, OVH, VMWare, Openstackといった、共通の一貫したフレームワークを持たない、様々なCloud (パブリック/プライベート)システムを単純に組み合わせたものと認識している。

　著者：Vasco Gomes
　Atos社サイバーセキュリティ製品のグローバルCTO。
　シニア・エキスパート。Scientific Communityメンバー。
　ITエンジニアリングの経歴を持ち、情報セキュリティ分野で17年の経験を持つVascoは、多くの顧客が運用上の制約と許容可能なビジネスリスクのバランスを取ることについて支援してきた。最近では、この経験をいかし、顧客が今後5年間の情報セキュリティの状況と、それを管理する最適な方法を調査支援。イノベーション・ワークショップでは、サイバーセキュリティの将来の姿を予測し、最も重要なデータに対する主権を最大化するためのキーポイントを共有。これらの顧客とのやりとりをいかし、主要な技術動向を継続的に監視することで、VascoはAtos社のサイバーセキュリティサービスや製品ロードマップ、提携、合併、買収に影響を与えている。

出典元：Atos社グローバルサイトブログ（Atos社に許可を得て、弊社にて和訳しております。）

NTTコムウェアは、Atos社と戦略的協業契約を締結しております。