クラウド セキュリティの門番 I A M とは? ～ I T 担当者に必要な知識をオールインワンで解説～

I A M の Identity は「本人」です。この本人は、クラウド サービスを利用する 1 人 1 人に与えられるユーザー ID にて管理されます。ここでは、ユーザー ID の概念としくみについて説明します。

2-1. ユーザー ID の概念

システムにおける ID とは、ユーザーやサービス、デバイスなどに付与される識別子のことです。この中でユーザー ID は、クラウド サービスを利用する 1 人 1 人のユーザー、すなわち企業においては各従業員に割り当てられます。従業員コードと呼ばれるユニークな番号が、ユーザー ID として利用されるケースが多いです。

2-2. ユーザー ID のしくみ

ユーザー ID はユーザーを管理するユーザー認証データベースにて保管されます。ユーザー ID を階層的に管理するディレクトリ型構造であることが多く、ユーザーに関するさまざまな属性情報 (所属、役職、氏名など) の保持が可能です。ユーザー認証データベースへのユーザー ID や属性情報の登録および更新などは、システム管理者が実施します。

I A M の Access Management は「本人であることを検証し、その本人に関するアクセス制御を行う」ことです。アクセス制御には「認証」と「認可」の 2 つがあります。アクセス管理を理解するうえでは、これら 2 つの違いを正しく理解することが重要です。ここでは、アクセス制御の「認証」と「認可」について説明します。

3-1. アクセス管理における認証とは

「認証」とは、クラウド サービスへのログイン時に、間違いなく本人であるかを検証することです。従来は、ユーザー ID に加えて、本人しか知り得ないパスワードを用いて検証する方法が多く採用されていました。
しかし、パスワードは情報漏洩するリスクがあるため、近年では認証の 3 要素といわれる「知識情報」「所持情報」「生体情報」を組み合わせて本人であることを確認する、多要素認証が主流となりつつあります。

3-2. アクセス管理における認可とは

「認可」とは、クラウド サービスの機能やデータなど、リソースへのアクセスを制御することです。情報セキュリティで重要視される、機密性、可用性、完全性の中で、最も重要である機密性に関するしくみです。
ユーザー ID とリソースが関連付けられたアクセス権限データベースをシステム管理者が事前に設定し、機能がそれを参照することで、「最小権限の原則」を実現しています。リソースへのアクセス権限を持つ人や機能のみが、必要なリソースへアクセスできるようになります。

クラウド サービスの利用において、企業はさまざまなリソース (情報資産) を適切に管理しなければなりません。悪意のある外部からのサイバー攻撃だけではなく、内部からの意図的または偶発的な情報漏洩リスクからも重要なデータを守る必要があります。

I A M は、自社が利用しているクラウド サービスへの外部からのアクセスや、従業員によるリソースへのアクセス制御が可能です。人や機能に対して最低限のアクセス権限を与える「最小権限の原則」を実現すると共に、法規制やガイドラインなどのアクセス管理にかかわる要件もクリアできるでしょう。

サービスにより名称は異なりますが、クラウド サービスでは I A M に相当する機能が必ず提供されています。そのため、I A M を導入する際は、クラウド サービスのリソースに関するアクセス制御の要件を決定して、それを I A M の機能に設定しなければなりません。
具体的には、ユーザー認証のポリシーやアクセス管理のグループ ロール (役割) の定義などを行います。
I A M を導入する際の留意点を 3 つ紹介します。

• 留意点 1：クラウド サービスを利用する際に、最初に作成したユーザー アカウントは全サービスの管理者権限となります。そのため、通常は利用せず I A M にて適切な権限を付与したユーザー アカウントを使用します。
• 留意点 2：I A M 構築後の「認証」や「認可」に関わる要件の見直しは、クラウド サービスを利用しているユーザーへの影響が大きいため、要件の定義はユーザーの代表者などを巻き込み慎重に行います。
• 留意点 3：I A M の設定誤りや不備は、情報漏洩などのインシデントを引き起こすおそれがあります。そのため、クラウド サービスの I A M を理解した複数人の担当者にて相互チェックできる体制で構築かつ運用します。

クラウド サービスの I A M には、サービスへのログイン時の「認証」に関して、多様なセキュリティ対策が備わっています。クラウド ベンダーはサイバー攻撃などの動向を踏まえて、これらのセキュリティ対策を常に進化させています。

I A M が提供している主な機能は、シングル サインオン、多要素認証、条件付きアクセスの 3 つです。

• シングル サインオン
  シングル サインオンとは、1 つのユーザー ID で複数のクラウド サービスをシームレスに利用できる機能です。ユーザー ID などの入力を省略して利便性を向上させると同時に、ユーザーは 1 つの認証情報を覚えるだけで良く、セキュリティ向上にも役立ちます
• 多要素認証
  多要素認証とは、ユーザー認証において「知識情報」「所持情報」「生体情報」を組み合わせて検証することです。I A M のユーザー ID に紐づけて、ユーザーに関する属性情報として 3 要素のチェックに必要な情報を保持します
• 条件付きアクセス
  条件付きアクセスとは、ユーザー認証において、ユーザーの所在地や利用デバイスの情報などで追加の認証を要求する機能です。多要素認証と同様に、ユーザーに関する属性情報として条件のチェックに必要な情報を保持します。

クラウド サービスを提供する主要なクラウド ベンダーは、I A M として次のようなソリューションを提供しています。

• Microsoft Azure → Azure AD と Azure ロールベースのアクセス制御
• Amazon AWS → Identity and Access Management
• Google GCP → Google Cloud Identity and Access Management

既存のオンプレミス環境におけるユーザー認証データベースとして Microsoft の Active Directory を利用している場合は、Microsoft の Azure Active Directory (Azure AD) と連携させることが可能です。Azure ロールベースのアクセス制御を容易かつシームレスに利用できます。

Microsoft の Azure AD と Azure ロールベースのアクセス制御は I A M に必要とされる機能を幅広く提供しているため、詳しく解説していきます。

7-1. Azure Active Directory (Azure AD)