ID 管理とアクセス管理 (IAM) とは

ID 管理とアクセス管理 (IAM) とは、ユーザー ID (人、サービス、サーバーなど) の管理、アクセス制御の自動化、従来の環境とコンテナ化環境でのコンプライアンス要件への対応を、一元的かつ一貫的に行うための方法です。IAM ソリューションの活用例として、社員がリモートワークの際に VPN を利用して会社のリソースにアクセスする場合が挙げられます。

IAM は、特に複数のクラウドインスタンスにおいて、適切な人が適切なリソースにアクセスできるようにするためのソリューションです。IAM フレームワークは、ベアメタル、仮想クラウド、ハイブリッドクラウド、エッジコンピューティング環境におけるアイデンティティを一元的に管理し、セキュリティやコンプライアンス上のリスクを軽減するために不可欠なものとなっています。

IAM の手法は、ユーザー ID やアプリケーション ID、管理者が定義したポリシーに基づいて、オンプレミスやクラウドの資産、アプリケーション、データへのアクセスを制御します。IAM の手法は DevOps のライフサイクルのあらゆる段階で見られ、システムへの不正アクセスやラテラルムーブメントからの保護に役立ちます。 

IAM のコンセプトは以下のとおりです。

• 認証：ユーザー、サービス、アプリケーションのアイデンティティを照合します。

• 認可：認証されたユーザーに、特定のリソースや機能へのアクセスを許可します。 

• アイデンティティ・プロバイダー、シークレット・ボールト、ハードウェア・セキュリティ・モジュール (HSM)：DevOps チームがセキュリティ認証情報、キー、証明書、機密情報を安全に管理および保護できるようにします。 

• 出所：コードまたは画像の同一性または真正性を、通常はデジタル署名や証明記録によって検証します。

セキュリティ環境は常に進化し続けるため、IAM では人工知能 (AI)、機械学習 (ML)、生体認証などの追加機能を搭載することも可能です。

認証とは、個人の身元を確認または検証するプロセスです。ユーザー ID (またはデジタル ID) は、個人、サービス、さらには IoT デバイスを特定の企業データやネットワークに認証するために使用される情報の集合体です。パスワードを使ってシステムにログインするというのが最も一般的な例で、システムは提示された情報 (パスワード) を確認することで、提示された本人であることを確認できます。

こういった認証プロセスがあれば、ログイン情報を取得するだけでなく、IT 管理者がインフラストラクチャやサービス全体のアクティビティを監視および管理することも可能になります。 

ユーザーの操作性を維持しつつ、環境のセキュリティを高めるためのセキュリティポリシー導入アプローチは複数あります。一般的なのは、シングルサインオン (SSO) と多要素認証 (MFA) の 2 つです。

• SSO：異なるサービス、デバイス、サーバーにアクセスするためには、それぞれ個別の認証が必要になります。SSO は、設定されたサービスが認証されたユーザーを確認できる、中央 ID サービスを構成します。そのためユーザーは一度の認証で、複数のサービスにアクセスすることができます。

• MFA：これは、アクセスを許可する前に、本人確認を行うための複数のチェックを必要とするセキュリティ層です。この手法では、ハードウェアトークンやスマートカードなどの暗号デバイスの利用や、パスワード、radius、パスワード OTP、PKINIT、ハード化パスワードなどの認証タイプの設定が検討されます。

特に、クラウドや CI/CD パイプラインのような複雑な分散環境では、ユーザー認証を効果的に実装することが難しいため、インフラストラクチャ内の他のツールを使用して ID 管理を容易にすることもできます。システムの役割は、DevSecOps 環境において特に有益なものとなりえます。一貫性のある反復可能な自動設定ワークフローにより、IT 管理者は時間とリソースを節約し、導入、ID 管理、プロビジョニング/デプロビジョニングに関連する負担や手作業を長期にわたって削減することができます。

認証とは、誰がサービスにアクセスしようとしているのかを特定するプロセスです。一方で認可とは、そのユーザーがそのサービスでできること (情報の編集、作成、削除など) を定義するプロセスです。 

アクセスコントロールは、ユーザー ID にあらかじめ設定されたアクセス権を割り当てることで、ID 管理をさらに一歩進めたものです。これらのコントロールは、アカウント設定やユーザープロビジョニングの際に割り当てられることが多く、ゼロトラストモデルの基礎である「最小権限」プラクティスの下で運用されます。

最小権限では、プロジェクトやタスクなど特定の目的のために必要なリソースへのアクセスなど、必要なアクション (権限) しか許可しません。また、アクセスポリシーによって、特定のリソースの利用時間を制限することもできます。 

たとえば自社の従業員には、請負業者、パートナー、サプライヤー、顧客などのサードパーティよりも広範囲のリソースにアクセスする権限を与えることができます。ユーザーが異なるレベルのアクセスを承認された場合、IT 管理者は ID データベースにアクセスし、必要に応じてユーザーの調整を行うことができます。

最小権限に従ったアクセス管理のシステムには、特権アクセス管理 (PAM) やロールベースアクセス制御 (RBAC) などがあります。 

PAM はアクセス制御の中で最も重要な種類です。これらの任務を受けた管理者や DevOps 担当者は、通常、機密データに最も自由にアクセスでき、企業のアプリケーション、データベース、システム、またはサーバーを変更することができます。 

RBAC は、ロール (ユーザーの集合体) を定義し、そのロールに対して、職責に応じたリソースや機能への権限を付与します。RBAC はアクセス権の適用を一貫して明確にすることで、管理や導入を単純化し、特権侵害を減らすことができます。RBAC は組織内のユーザーのロールに応じたアクセス権の割り当てを自動化することで、時間とリソースを節約することができます。

IAM は、アプリの開発パイプラインを通じて組み込みのセキュリティレベルを提供するため、組織で DevSecOps を実施するための重要な要素となっています。IAM はベアメタル、仮想、コンテナ、クラウドなどの環境で、セキュリティの多層防御を実現するための構成要素の一つです。 

IAM システムが、複数の環境とワークロードにまたがるソリューションに対応できるようにすることが重要です。これには、アプリケーションの開発、テスト、運用、監視を通じた IAM の実装が含まれます。

IAM ソリューションの種類は多岐にわたるため、企業は以下のような方法で選択肢を絞り込むことができます。

• 新しいシステムとレガシーシステムの監査を実施 (オンプレミスとクラウドの両方にアプリケーションがある場合は特に)

• 社内外のステークホルダーに対するセキュリティギャップを特定

• ユーザーの種類とそれぞれのアクセス権を定義

組織のセキュリティニーズを定義したら、いよいよ IAM ソリューションの導入です。スタンドアローンのソリューション、マネージド ID サービス、またはサードパーティによる IDaaS (Identity as a Service) のようなクラウド・サブスクリプション・サービスを選択することができます。

Red Hat® Enterprise Linux® は、オープン・ハイブリッドクラウド環境において、シンプルで信頼性が高く、一貫性のある認証体験を提供します。また、一元化された ID 管理 (IdM) 機能を備えており、データセンター全体にまたがる単一の拡張可能なインターフェイスを使用して、ユーザー認証と RBAC の実装を行うことができます。

Red Hat Enterprise Linux の ID 管理では次のことが可能です。

• ID 管理インフラストラクチャを大幅に単純化

• PCI DSS、USGCB、STIG などの最新のコンプライアンス要件に対応 

• 不正なアクセスやアクセス権限の昇格のリスクを低減

• 動的で拡張性の高い、クラウドとコンテナに対応した運用環境の基盤を構築

• 新しいシステム、仮想マシン (VM)、コンテナに対するアクセス制御を事前に設定

• 日々の運用コストと、IT 部門のセキュリティ負担を軽減

Red Hat Enterprise Linux のアイデンティティ管理は、標準のアプリケーション・プログラミング・インタフェース (API) を通じて Microsoft Active Directory、軽量ディレクトリ・アクセス・プロトコル (LDAP)、およびその他のサードパーティ IAM ソリューションと統合できます。また、証明書ベースの認証および認可技術を使用したサービスの認証と認可を一元的に管理することも可能です。

Red Hat Enterprise Linux が提供する基礎的な自動化、セキュリティ、およびライフサイクル管理により、システム上で実行される Red Hat OpenShift® などのレイヤード製品は、同じセキュリティ技術を継承し、コンテナベースのアプリケーション開発に組み込みのサイバーセキュリティを供給します。