アイデンティティおよびアクセス管理 (IAM)

アイデンティティおよびアクセス管理（IAM）は、企業におけるアイデンティティとアクセス権を一元管理するための仕組みです。認証と認可は、アイデンティティを管理し、連携するソリューション、システム、アプリケーション、リソースへのアクセス権を制御するために不可欠な要素です。複雑に聞こえるかもしれませんが、実践的な例を使えば簡単に説明できます。

午前7時15分。アレックスにとって今日は特別な日です。MyUnifiedIT社でアカウントマネージャーとして新しい仕事を始める初日だからです。アレックスのワークステーションには、モニター、ドッキングステーション付きノートPC、電話が用意されています。新しい上司のブリアンヌは、初期パスワードが入った封筒を手にしています。新入社員を迎える準備はすべて整っているようです。アレックスは早めに到着し、意欲にあふれ、新しい仕事が始まることを楽しみにしています。ブリアンヌは彼を出迎え、社内を案内し、同僚に紹介します。そして初期パスワードが入った封筒を渡します。彼はノートPCの電源を入れます。ログインすると、データ保護規定を読み、理解した場合は承諾するよう求める画面が開きます。この時点で、彼は業務上最も重要と思われるアプリケーションすべて（個人データを扱うものを含む）にアクセスできるようになります。これを完了して間もなく、アプリケーションのアイコンが画面に表示されます。彼はまずOutlookを起動します。すべてがすでに構成されており、最初の会議リマインダーのポップアップが表示されます。

アレックスは新しい職場にスムーズに加わり、初めての昼休みよりずっと前から業務を始めることができました。ブリアンヌも満足しています。新入社員が初日から必要な環境を整え、生産的に働けているからです。彼女は、新入社員が必要なすべてのリソースにアクセスできるようになるまで数日、場合によっては数週間かかっていた頃の大変さを思い返します。新入社員に関する情報がきちんと引き継がれたのかどうかさえ、分からないこともありました。

アイデンティティおよびアクセス管理とは

アレックスとブリアンヌの架空の例で示した、新入社員を受け入れる「オンボーディング」のプロセスは、世界中の企業で毎月何千回も行われています。例のようにスムーズに進む場合、それは適切に整備されたアイデンティティおよびアクセス管理ソリューションがあるからです。アイデンティティおよびアクセス管理により、企業は、適切なユーザーが、適切なタイミングで、適切な理由に基づいて、適切なリソースにアクセスできるようにし、セキュアかつコンプライアンスに準拠した形でユーザーの生産性を確保できます。

アイデンティティガバナンスおよび管理を活用する

アイデンティティおよびアクセス管理の概念は非常に幅広く、多くの側面があります。主なものは次のとおりです。

• シングルサインオン
• 特権アクセス管理（PAM）
• 多要素認証（MFA）
• クラウドアクセスセキュリティブローカー（CASB）
• 特権情報管理
• アイデンティティガバナンスおよび管理

アイデンティティガバナンスおよび管理（IGA）は、ユーザーアカウントのライフサイクルを管理します。対象は、プロビジョニングから削除までに及び、権限の管理、ワークプロセスのオーケストレーション、アクセス権の認証なども含まれます。その目的は、組織が常に安全に、かつ自社のガイドラインに準拠して業務を行えるようにすることです。

IGAソリューションは、複数のシステムにまたがってデジタルアイデンティティとアクセス権を管理します。そのために、IT環境全体に分散しているさまざまなアイデンティティおよびアクセス権データを集約し、相関付けることで、ユーザーアクセスの制御を強化します。

今日では、職務の変更が以前よりはるかに頻繁に行われています。また、従業員には一時雇用者、請負業者、コンサルタント、インターンが占める割合も増えています。従業員のアクセス権とユーザーアカウントの管理は、これまで以上に複雑になっています。いくつか例を見てみましょう。

• 新入社員： 管理者であれば、新入社員（請負業者、コンサルタント、インターンを含む）が初日から生産的に働けることを望むでしょう。そのためには通常、社内およびチーム内での役割と職務に基づいて、各種ITリソース（プログラム、サービス、ドライブなど）へのアクセスが必要になります。Ivantiを利用した、安全で生産的な初日がどのようなものになるかをご覧ください。
• 異動：よくあるもう1つのケースは、長年会社で働いてきたユーザーが、責任範囲や役割を変更する場合です。その場合、社内またはクラウド上の他のリソースやアプリケーション、別の共有ドライブなどへのアクセスが必要になる可能性があります。同時に、不要になったリソースへのアクセスは取り消す必要があります。これにより、企業は安全性とコンプライアンスを維持できます。
• 退職：ユーザーが会社を退職する場合、そのユーザーおよびユーザーアカウントから会社リソースへのアクセスをただちに取り消すことが非常に重要です。これは、インターネット経由であらゆるデバイスからアクセスできるクラウドアプリケーションやサービスにも当てはまります。アクセス権が取り消されない場合、元従業員は会社データを引き続き閲覧できてしまいます。たとえば、これは欧州一般データ保護規則（GDPR）に違反する可能性があるだけでなく、企業に直接的な経済的損害をもたらすこともあります。

アイデンティティガバナンスおよび管理を確実にコントロールする

Ivanti Identity Directorは、企業リソースに対するロールおよび属性ベースのアクセス（ロールベースアクセス制御（RBAC）および属性ベースアクセス制御（ABAC））を企業が効果的に適用できるようにするIGAソリューションです。これには、安全なオンボーディングとオフボーディングも含まれます。

さらに、ユーザーはセルフサービスを通じて追加のITサービスや権限を申請できます。Identity Directorは、オンプレミスかクラウドかを問わずサードパーティアプリケーションと連携し、これらのリソースへの円滑なアクセス管理を実現することで、既存の投資も保護します。

冒頭の短いストーリーに戻りましょう。必要な従業員情報は、社内の人事システムから読み出し、または照会され、その後Identity Directorでさらに処理されました。従業員に関するあらゆる変更が識別され、それに応じて有効化されます（つまり、権限が付与または取り消されます）。連携システムに影響がある場合、そのシステム内でアクションが自動的に実行されます。最終的に、すべての従業員が、適切なタイミングで、適切な理由に基づいて、適切なリソースにアクセスできるようになります。企業および規制上のガイドラインに完全に準拠し、監査にも対応できる形で実現します。