はじめに:見過ごされがちなID管理の重要性
IDアクセス管理(IAM)は、デジタルの世界において、人々やエンティティが企業リソースへ適切なレベルでアクセスすることを保証する上で不可欠です。しかし、多くの組織では、このIAMのセキュリティがインフラ計画において後回しにされがちです。Cisco Duoの2025年版State of Identity Securityレポートによると、ITリーダーの74%が、インフラ計画においてIDセキュリティが「後から考えること」になっていると認めています。その結果、多くの企業は自社のアーキテクチャ、コンプライアンス、スケーラビリティの目標に合致するかどうかを十分に評価することなく、急いでIDソリューションを導入することになります。適切なIAMツールを選択することは、組織固有の複雑性と要件に左右されます。ここでは、IAMソリューションをビジネスニーズに合わせ、セキュリティを優先するための重要な考慮事項を3つの要素としてご紹介します。
要素1:セキュリティファーストの機能と性能
CiscoのID担当VPであるマット・コールフィールド氏は、セキュリティが基本パッケージの一部として含まれているIAMソリューションの重要性を強調しています。既存の多くのベンダーは、セキュリティ機能を追加費用で提供している現状があります。しかし、クラウド、オンプレミス、カスタムといった各企業のアーキテクチャに合わせた組み込み型セキュリティを備えたIAMプラットフォームを選択することで、ニーズに合わせた統合された保護をすぐに利用できます。現在、セキュリティリーダーの3分の1しか、自社のIDプロバイダーがIDベースの攻撃から保護できると確信していません。そのため、以下の機能を含む認証、アクセス制御、監視機能を備えたプラットフォームを選ぶことが不可欠です。
- フィッシング耐性のある多要素認証(MFA):2つ以上のID検証要素を必要とし、NIS2(欧州)やOMB覚書22-09(米国)の要件に合致。
- リスクベース認証:高リスクが検出された特定のアプリケーションやユーザーグループにポリシーを適用。認証要求を分析し、攻撃と一致する活動パターンを特定します。
- 真のシングルサインオン(SSO):複数のOS、ブラウザ、ウェブ、デスクトップアプリケーションへのログインを、1回のインタラクティブ認証で簡単かつ安全に行えます。
- パスワードレス認証:生体認証、セキュリティキー、専用モバイルアプリケーションを使用してIDを検証し、摩擦のないユーザーログイン体験を提供します。
- IDインテリジェンス機能:一元的な可視化を実現し、ID脅威検出&対応(ITDR)およびIDセキュリティポスチャ管理(ISPM)のベストプラクティスを保証します。
要素2:組織の規模とインフラ
「IDは常に変化するターゲットです。なぜなら、IDの種類や数が常に進化しているからです」とコールフィールド氏は語ります。組織のIDニーズは時間とともに変化するため、現在の規模とインフラ、そして将来の成長をサポートするIAMプラットフォームを事前に選定することが重要です。ビジネスが成長し、ユーザー、アプリケーション、システムが追加されるにつれてセキュリティリスクも増加するため、プラットフォームは適応可能である必要があります。ユーザープロビジョニングを拡張・自動化できる組み込みディレクトリを備えたIAMプロバイダーを探しましょう。適切なIAMプラットフォームは、組織の規模によって異なります。中小企業は使いやすさとベンダーサポートを優先するソリューションが有益である一方、大規模で複雑な環境で運用する企業は、より高度なソリューションまたはシステムとツールの組み合わせが必要となる場合があります。
要素3:業界のコンプライアンス、規制、ガバナンス
各業界は、独自のコンプライアンス、規制、および運用上の要件に直面しています。FIDO2のような標準の採用率は依然として低く、わずか19%の組織がFIDO2トークンを完全に実装しているにすぎません。IAMソリューションを評価する際には、地域の連邦ガバナンスフレームワークを最もよくサポートし、FIDO2やその他の標準への準拠を可能にするプラットフォームを調査しましょう。規制の厳しい業界では、ツールがアクセスプロビジョニングとプロビジョニング解除をどのように処理するかを評価し、詳細なアクセスログ、監査証跡、自動レポート機能が含まれていることを確認する必要があります。業界固有の基準としては以下のような例が挙げられます。
- 金融業界:NIST、FFIEC、NYDFS、NAIC、PCI-DSS、FTCセーフガードをサポートするMFA。
- 医療業界:医療保険の相互運用性と説明責任に関する法律(HIPAA)および処方薬電子処方箋システム(EPCS)準拠のためのユーザー認証。
- 高等教育:FERPA、SOC2、GDPR標準に沿って学生データとプライバシーを保護。
- 法執行機関:刑事司法情報サービスセキュリティ(CJIS)ポリシーに準拠し、地方、州、連邦レベルでのデータを保護。
- 法務業界:米国弁護士会モデル倫理規定規則1.6(a)に準拠し、機密性の高いクライアント情報を保護。
- 小売業界:PCI DSS、GDPR、その他の規制標準を満たすため、ハイブリッドワークフォース、POSシステム、顧客データを保護。
まとめ:セキュリティを優先するアプローチ
コールフィールド氏は「セキュリティは本当に第一であるべきであり、後回しにすることはできません」と述べています。「IDアクセス管理システムを設計する際には、デフォルトでセキュリティについて考える必要があります。」Cisco DuoのようなIAMプラットフォームは、使いやすいフィッシング耐性のある多要素認証により、このセキュリティファーストのアプローチを採用し、ユーザーIDの検証、デバイス信頼の確立、企業ネットワークやアプリケーションへの安全な接続を提供することで、組織のセキュリティを強化しています。この包括的なプラットフォームはすべての組織向けに設計されており、様々なインフラや業界向けの複数のエディションがあり、ビジネス固有の保護ニーズに合わせて調整できます。