ID管理とは

組織内のシステムやサービスのID情報、あるいはアクセス権限の申請・承認プロセスを一元的に管理することをID管理(ID Management : IDM)といいます。

また、アクセス管理との関わりが深いため、両者をまとめて統合ID管理(Identity&Access Management  : IAMまたはIdAM)ともいわれます。

ID管理では、各種デバイスやアプリケーションのユーザーIDやクラウドサービスのIDを、一元的に管理します。

導入のメリット

セキュリティ強化

2019年度の1,000件以上の情報が流出した事故の件数を比較すると、「不正アクセス」が全体の約5割を占めています。

不正アクセスは、一度に流出する情報量が多いことも特徴です。

2019年に発生した不正アクセスによる最大漏洩件数は480万件に上り、「不正アクセス」の防止はセキュリティ強化の重要な課題となっています。

ID管理では、アカウントや端末毎にアクセス可能な範囲を制限することで、「不正アクセス」を防止できます。

また、ID管理を行うことで「設定ミス」を減らせるほか、アクセス履歴が残るため「内部犯罪・内部不正行為」を防ぐこともできます。これら「不正アクセス」「設定ミス」「内部犯罪・内部不正行為」の合計は情報漏洩原因の約6割に及び、対策としてID管理を行うことの重要性がうかがえます。

 

シングルサインオンによるユーザーの利便性向上

シングルサインオンとは、一つのID・パスワードを認証することで、複数のシステムに自動ログインで入ることができる機能です。

これにより、多数のIDとパスワードを管理する必要がなくなり、ユーザーの利便性は大きく向上します。

 

情報の一元管理による管理者の利便性向上

ID管理により情報を一元的に管理することは、管理者にとって大きなメリットがあります。

IDは社員の異動や入退社の際に、作成・発行または停止・削除する必要があります。一人の社員につき多数のサービスのIDを管理するため、人事異動など作業が集中する時期には、管理者の大きな負担となります。

すべてのサービスのIDを一か所で管理しておけば、更新作業の手間は大きく省かれ、管理業務の効率化につながります。

ID管理システム

アクセス権の制限や利用状況の把握には、ID管理システムを利用することが一般的です。

 

Azure Active Directory

多くの企業が利用しているAzure Active Directory(Microsoft)はID管理においてどのようなことができるのでしょうか。

Azure Active Directoryの機能

Azure Active Directoryの機能は大きく分けて以下の4つです。

最も基本となるIDの管理はもちろん、アクセス権限の設定・管理や操作ログの取得も行え、セキュリティ強化にも役立つため、Azure Active DirectoryはID管理を導入するうえで必要な基本の機能を備えているといえます。

Azure Active Directory ではできないこと

統合ID管理を行う上で重要でありながら、以下の3点はAzure Active Directoryでは行うことができません。

1. プロビジョニング(自動化)

プロビジョニングとは管理業務の自動化です。

人事異動や入退社などがあった場合に、アカウントの追加・変更・削除を自動で行う機能です。また、「どのアプリケーション」を「誰に割り当てるのか」までをも自動で行うことが可能で、ID管理業務の大幅な効率化につながります。

2. 特権ID管理

特権IDとは、他ユーザーのアクセス権の管理ができる権限をもつIDを指します。

システムに対して大きな影響を与える操作が可能なことから、不正やトラブルにつながりやすいという特徴があります。

そのため複数人に割り当てられた特権IDの管理は、統合ID管理の重要な業務です。

3.多要素認証

多要素認証(Multi-Factor Authentication : MFA)は、IDとパスワードでの認証に加えて、指紋などユーザーに固有の生体情報や、SMSやQRコードなど複数の端末を利用した認証方法を組み合わせることで、セキュリティをより堅牢なものにする機能です。

シングルサインオンはユーザーの利便性を大幅に向上しますが、一つのIDとパスワードが流出した場合に漏洩する情報が増加するということでもあります。

そのためセキュリティを考える上では、多要素認証機能を備えた統合ID管理システムを導入すべきです。

すべてを兼ね備えた統合ID管理システムFreshservice

FreshserviceはID管理の基本的な機能に加えて、プロビジョニング、特権ID管理、多要素認証の全てを備えた統合ID管理システムです。

オーケストレーション機能による自動化

オーケストレーション機能により、ユーザーの人事異動や入退社があった場合に、各アプリケーションにおけるアカウントの追加・変更・削除を自動で行えます。

加えて、登録時にユーザーの役割を設定することで、割り当てるアプリケーションの選択も自動で行い、ID管理業務を大幅に効率化します。

例えば、営業職の社員が入社した場合にはZoomとカレンダーを、エンジニアが入社した場合にはそれらに加えてAWSとSlackのログイン権限を自動で付与する、といった処理が可能です。

オーケストレーション機能による自動化

特権IDの管理

「アカウント管理者」「エージェント」など複数の権限レベルを設定可能です。

IDごとに必要最低限の権限のみを付与することで、業務に必要のない操作を防ぎ、情報の漏洩や不正を防止します。

また、特権IDを用いてログインしてもすべての操作履歴が残るため、履歴の書き換えなどによる不正操作も予防されます。

特権IDの管理

シングルサインオンとQRコード認証で素早く安全なログイン

シングルサインオンに対応しているため一度の認証で、アクセス可能なすべてのシステムにログインが可能です。

また、スマートフォンでのQRコードの読取りを利用した多要素認証を設定可能で、安全なログインを素早く行うことができます。

QRコード認証による多要素認証