アイデンティティとアクセス管理
アイデンティティおよびアクセス管理(IAMまたはIdAM)またはアイデンティティ管理(IdM )は、適切なユーザー(企業内または企業に接続されたエコシステムの一部)がテクノロジーリソースに適切にアクセスできるようにするためのポリシーとテクノロジーのフレームワークです。IAMシステムは、ITセキュリティとデータ管理という包括的な傘の下にあります。アイデンティティおよびアクセス管理システムは、ITリソースを使用する個人の識別、認証、アクセス制御だけでなく、従業員がアクセスする必要のあるハードウェアやアプリケーションの識別、認証、アクセス制御も行います。[ 1 ]
「アイデンティティ管理」(IdM)と「アイデンティティおよびアクセス管理」という用語は、アイデンティティアクセス管理の分野では同じ意味で使用されます。[ 2 ]
アイデンティティ管理システム、製品、アプリケーション、およびプラットフォームは、個人、コンピュータ関連のハードウェア、およびソフトウェア アプリケーションを含むエンティティに関する識別データと補助データを管理します。
IdM は、ユーザーがIDを取得する方法、役割、場合によっては ID によって付与される権限、その ID の保護、その保護をサポートするテクノロジ (ネットワーク プロトコル、デジタル証明書、パスワードなど)などの問題をカバーします。
定義
アイデンティティ管理(ID管理)またはアイデンティティおよびアクセス管理(IAM)は、構成フェーズで最初にアクセス権を登録および承認し、次に運用フェーズで、以前に承認されたアクセス権に基づいて、アプリケーション、システム、ネットワークにアクセスする個人またはグループを識別、認証、および制御するための組織的および技術的なプロセスです。アイデンティティ管理(IdM)は、コンピューター上のユーザーに関する情報を制御するタスクです。このような情報には、ユーザーのIDを認証する情報と、ユーザーがアクセスおよび/または実行することを承認されているデータとアクションを記述する情報が含まれます。また、ユーザーに関する説明情報の管理と、その情報にどのように、誰がアクセスおよび変更できるかの管理も含まれます。ユーザーに加えて、管理対象エンティティには通常、ハードウェア、ネットワークリソース、さらにはアプリケーションも含まれます。[ 3 ]次の図は、IAMの構成フェーズと運用フェーズの関係、およびアイデンティティ管理とアクセス管理の違いを示しています。
アクセス制御は、アクセス承認の一部として定義されたアクセス権の強制です。
デジタルアイデンティティとは、個人識別情報(PII)と補助情報を含む、エンティティのオンラインプレゼンスを指します。PIIの保護に関するOECD [ 4 ]およびNIST [ 5 ]のガイドラインを参照してください。[ 6 ]デジタルアイデンティティは、処理を容易にするために、物理的なインスタンスのアイデンティティ名と属性をコード化したものと解釈できます。
関数
オンライン システムをエンジニアリングする実際の状況では、アイデンティティ管理には次の 5 つの基本機能が含まれます。
- 純粋なアイデンティティ機能:アクセスや権限に関係なく、アイデンティティの作成、管理、削除
- ユーザーアクセス(ログオン)機能: たとえば、顧客がサービスにログオンするために使用するスマートカードとその関連データ(従来のビュー)
- サービス機能: ユーザーとそのデバイスに、パーソナライズされた、役割ベースの、オンライン、オンデマンド、マルチメディア(コンテンツ)、プレゼンスベースのサービスを提供するシステム
- アイデンティティフェデレーション:パスワードを知らなくてもユーザーを認証するためにフェデレーションアイデンティティを利用するシステム
- 監査機能:ボトルネック、機能不全、疑わしい動作を監視する
純粋なアイデンティティ
アイデンティティの一般的なモデルは、例えば、特定の名前空間内のすべてのアイデンティティは一意である、あるいはそのようなアイデンティティは現実世界の対応するエンティティと特定の関係性を持つ、といった少数の公理から構築できます。このような公理モデルは、特定のアプリケーションコンテキストによって制約されないという意味で「純粋なアイデンティティ」を表現します。
一般的に、実体(実在または仮想)は複数のアイデンティティを持つことができ、各アイデンティティは複数の属性を含むことができます。これらの属性の中には、特定の名前空間内で一意となるものもあります。下の図は、アイデンティティとエンティティ、およびアイデンティティとその属性の概念的な関係を示しています。
デジタルアイデンティティの理論モデルおよびあらゆる実用モデルにおいて、特定のアイデンティティオブジェクトは有限のプロパティ(属性値)の集合から構成されます。これらのプロパティは、モデル外部の目的のため、あるいは分類や検索といったモデルを操作するために、オブジェクトに関する情報を記録します。「純粋アイデンティティ」モデルは、これらのプロパティの外部的な意味論にはまったく関与しません。
実務上、「純粋な同一性」から逸脱する最も一般的な事例は、同一性のある側面を保証することを意図したプロパティにおいて発生します。例えば、モデルが外部目的を満たすために、内部的に同一性のある側面を検証するために使用するデジタル署名やソフトウェアトークンなどが挙げられます。モデルがそのようなセマンティクスを内部的に表現する限り、それは純粋モデルではありません。
これに対し、アクセスや権限管理といった情報セキュリティの目的で外部から利用される可能性のあるプロパティは、モデルによって特別な処理が行われることなく、単に保存、維持、取得されるだけである。モデル内に外部的なセマンティクスが存在しないことから、このモデルは「純粋なアイデンティティ」モデルとみなされる。
したがって、アイデンティティ管理は、特定のアイデンティティ モデルに対する一連の操作として定義できます。または、より一般的には、そのモデルを参照する一連の機能として定義できます。
実際には、アイデンティティ管理は、モデルコンテンツが複数のアイデンティティモデル間でどのようにプロビジョニングされ、調整されるかを表現するまで拡張されることが多い。アカウントの調整プロセスは、デプロビジョニングとも呼ばれる。[ 7 ]
ユーザーアクセス
ユーザーアクセスにより、ユーザーはアプリケーション間で特定のデジタルIDを使用できるようになり、このIDに基づいてアクセス制御を割り当て、評価できるようになります。複数のシステムで特定のユーザーに単一のIDを使用することで、管理者とユーザーの作業が軽減されます。アクセスの監視と検証が簡素化され、組織は1人のユーザーに過剰な権限を付与することを最小限に抑えることができます。このプロセスでは、ユーザー認証情報の整合性と機密性を保護し、不正アクセスを防止する必要があるため、ユーザーアクセスのセキュリティ確保が不可欠です。多要素認証(MFA)、定期的なセキュリティ監査、厳格なアクセス制御などの堅牢な認証メカニズムを実装することで、ユーザーIDと機密データを保護できます。ユーザーアクセスは、アクセスの開始から終了まで追跡できます。
組織がアイデンティティ管理プロセスやシステムを導入する際の動機は、通常、アイデンティティセットを管理することではなく、むしろ、それらのエンティティにアイデンティティを介して適切なアクセス権を付与することです。言い換えれば、アクセス管理は通常、アイデンティティ管理の動機であり、結果として、これら2つのプロセスセットは密接に関連しています。[ 8 ]
サービス
組織は、社内ユーザー向けと顧客向けの両方でサービスを追加し続けています。こうしたサービスの多くは、適切にサービスを提供するためにアイデンティティ管理を必要とします。アイデンティティ管理はアプリケーション機能から分離されつつあり、単一のアイデンティティで組織の活動の多く、あるいはすべてをカバーできるようになっています。[ 8 ]
社内使用向けのアイデンティティ管理は、デバイス、ネットワーク機器、サーバー、ポータル、コンテンツ、アプリケーション、製品など、すべてのデジタル資産へのアクセスを制御するように進化しています。
サービスは、アドレス帳、設定、権限、連絡先情報など、ユーザーに関する広範な情報へのアクセスを必要とすることがよくあります。これらの情報の多くはプライバシーや機密保持の要件の対象となるため、アクセス制御は不可欠です。[ 9 ]
アイデンティティ連携
アイデンティティ・フェデレーションは、ユーザーアクセスを共有し、フェデレーションに参加しているシステムのいずれかに対する認証に基づいてユーザーがログインできるようにする1つ以上のシステムで構成されます。複数のシステム間のこの信頼関係は、「信頼の輪」と呼ばれることがよくあります。この設定では、1つのシステムがアイデンティティ・プロバイダー(IdP)として機能し、他のシステムがサービス・プロバイダー(SP)として機能します。ユーザーがSPによって管理されているサービスにアクセスする必要がある場合、まずIdPに対して認証を行います。認証が成功すると、IdPはSPに安全な「アサーション」を送信します。「SAMLアサーションは、セキュリティ・アサーションを記述するためのマークアップ言語を使用して指定され、検証者が証明書利用者に対して要求者のアイデンティティに関するステートメントを作成するために使用できます。SAMLアサーションは、オプションでデジタル署名できます。」[ 10 ]
システム機能
支援付きまたはセルフサービスによるユーザー ID データの作成、削除、変更に加えて、ID 管理では、連絡先情報や場所など、アプリケーションで使用される補助的なエンティティ データを制御します。
- 認証: パスワード、指紋などの生体認証、またはタッチスクリーン上のジェスチャパターンなどの特徴的な動作を使用して、エンティティが本人であるかどうかを検証します。
- 承認:特定のアプリケーションのコンテキストにおいて、エンティティが実行できる操作を定義する承認情報を管理します。例えば、あるユーザーには販売注文の入力権限が付与され、別のユーザーにはその注文に対するクレジット申請の承認権限が付与される場合があります。
- ロール:ロールとは、操作や他のロールのグループです。ユーザーには、多くの場合、特定の職務または職務機能に関連するロールが付与されます。ロールには権限が付与され、実質的に、そのロールを付与されたすべてのユーザーに権限が付与されます。例えば、ユーザー管理者ロールにはユーザーのパスワードをリセットする権限が付与され、システム管理者ロールにはユーザーを特定のサーバーに割り当てる権限が付与されることがあります。
- 委任:委任により、ローカル管理者またはスーパーバイザーがグローバル管理者を介さずにシステムの変更を実行したり、あるユーザーが別のユーザーに代理で操作を実行させたりすることが可能になります。例えば、ユーザーはオフィス関連情報の管理権限を委任できます。
- 交換:SAMLプロトコルは、2つのアイデンティティドメイン間でアイデンティティ情報を交換するために使用される主要な手段です。[ 11 ] OpenID Connectもそのようなプロトコルの1つです。
プライバシー
個人情報をコンピュータネットワーク上に公開することは、必然的にプライバシーに関する懸念を引き起こします。適切な保護がなければ、データは監視社会の実現に利用される可能性があります。[ 12 ]
ソーシャルウェブやオンラインソーシャルネットワーキングサービスでは、アイデンティティ管理が多用されています。ユーザーが自身の個人情報へのアクセスをどのように管理するかを決定できるように支援することは、広く関心を集めている課題となっています。[ 13 ] [ 14 ]
研究
アイデンティティ管理に関する研究は、技術、社会科学、人文科学、法学などの分野にわたります。[ 15 ]
分散型アイデンティティ管理とは、分散型識別子(DID)に基づいたアイデンティティ管理である。[ 16 ]
ヨーロッパの研究
2007 年から 2013 年にかけての欧州連合の 第7 次研究フレームワーク プログラムにおいて、アイデンティティ管理に関連するいくつかの新しいプロジェクトが開始されました。
PICOSプロジェクトは、モバイルコミュニティにおける信頼、プライバシー、アイデンティティ管理を提供するための最先端のプラットフォームを調査・開発しています。[ 17 ]
SWIFTは、ユーザビリティとプライバシーの問題に対処しながら、ネットワークへのアイデンティティ機能とフェデレーションの拡張に重点を置いており、ユーザーとプロバイダーの利益のためにサービスとトランスポートインフラストラクチャを統合するための鍵としてアイデンティティ技術を活用しています。[ 18 ]
進行中のプロジェクト
進行中のプロジェクトには、情報社会におけるアイデンティティの未来(FIDIS)[ 19 ] 、 GUIDE [ 20 ]、PRIME [ 21 ]などがあります。
出版物
アイデンティティ管理に関連する記事を掲載する 学術雑誌には次のようなものがあります。
- 倫理と情報技術
- 情報社会におけるアイデンティティ
- 監視と社会
あまり専門的ではないジャーナルでもこのトピックに関する出版物があり、たとえば、次のようなアイデンティティに関する特集号があります。
標準化
ISO(より具体的にはISO/IEC JTC 1、SC27 ITセキュリティ技術 WG5 アイデンティティ・アクセス管理およびプライバシー技術)は、アイデンティティ管理(ISO 2009)に関する標準化作業を実施しており、アイデンティティ管理フレームワークの策定(アイデンティティ関連用語の定義を含む)などが進められています。公開されている標準規格および現在の作業項目には、以下のものがあります。
- ISO/IEC 24760-1 アイデンティティ管理のフレームワーク – パート1:用語と概念
- ISO/IEC 24760-2 アイデンティティ管理フレームワーク – パート2:参照アーキテクチャと要件
- ISO/IEC DIS 24760-3 アイデンティティ管理のフレームワーク – パート3:実践
- ISO/IEC 29115 エンティティ認証保証
- ISO/IEC 29146 アクセス管理のフレームワーク
- ISO/IEC CD 29003 本人確認と検証
- ISO/IEC 29100 プライバシーフレームワーク
- ISO/IEC 29101 プライバシーアーキテクチャ
- ISO/IEC 29134 プライバシー影響評価方法論
組織への影響
各組織には通常、職員のデジタルアイデンティティと、オブジェクトアイデンティティまたはオブジェクト識別子(OID)で表される自身のオブジェクトのスキーマを管理する役割または部門が存在します。 [ 23 ]アイデンティティ管理の監督に関連する組織のポリシー、プロセス、および手順は、アイデンティティガバナンスと管理(IGA) と呼ばれることがあります。これらのツールがいかに効果的かつ適切に使用されるかは、より広範なガバナンス、リスク管理、およびコンプライアンス体制の範囲内にあります。
管理システム
アイデンティティ管理システムとは、情報システム、または企業またはネットワーク間のアイデンティティ管理に使用できる一連のテクノロジを指します。
「アイデンティティ管理システム」に関連して、以下の用語が使用される: [ 24 ]
- アクセスガバナンスシステム
- アイデンティティおよびアクセス管理システム
- 権限管理システム
- ユーザープロビジョニングシステム
アイデンティティ管理(IAM)は、アプリケーション、データ、システム、クラウドプラットフォームなどのリソースへのユーザーアクセスを認証および承認するためのアイデンティティセキュリティフレームワークです。適切なユーザーのみが適切なツールに、適切な理由でプロビジョニングされることを保証します。デジタルエコシステムが進化し続けるにつれ、アイデンティティ管理の世界も進化しています。
「アイデンティティ管理」と「アクセスとアイデンティティ管理」(またはAIM)は、アイデンティティ管理というタイトルの下で互換的に使用される用語ですが、アイデンティティ管理自体はITセキュリティ[ 25 ]、情報プライバシー[ 26 ] [ 27 ]、プライバシーリスク[ 28 ]、およびユーザビリティと電子インクルージョン研究の傘下にあります。[ 29 ] [ 30 ]
標準
- SAML 2.0
- OAuth
- オープンID
- リバティアライアンス– フェデレーションID管理を推進するコンソーシアム
- Shibboleth (Internet2) – 教育環境を対象としたアイデンティティ標準
- グローバルトラストセンター
- 中央認証サービス
- NIST SP 800-63
参照
参考文献
- ^ Silva, Edelberto Franco; Muchaluat-Saade, Débora Christina; Fernandes, Natalia Castro (2018年1月1日). 「ACROSS: 仮想組織向けの分散ポリシーを備えた属性ベースアクセス制御の汎用フレームワーク」 . Future Generation Computer Systems . 78 : 1– 17. doi : 10.1016/j.future.2017.07.049 . ISSN 0167-739X . 2019年4月13日時点のオリジナルよりアーカイブ。 2020年6月23日閲覧。
- ^ 「アイデンティティ管理(ID管理)」 SearchSecurity. 2013年10月1日. 2017年2月22日時点のオリジナルよりアーカイブ。 2017年3月2日閲覧。
- ^ 「アイデンティティ管理(ID管理)とは? – WhatIs.comによる定義」SearchSecurity . 2018年10月26日時点のオリジナルよりアーカイブ。2019年12月20日閲覧。
- ^プライバシー強化システムの機能要件Archived 24 December 2010 at the Wayback Machine Fred Carter, OECD Workshop on Digital Identity Management, Trondheim, Norway, 9 May 2007 (PPT presentation)
- ^個人識別情報(PII)の機密性を保護するためのガイド、Wayback Machineで2009年8月13日にアーカイブ、米国国立標準技術研究所の勧告、2009年1月
- ^ PII (個人識別情報)アーカイブ2009年4月28日Wayback Machine、The Center For Democracy & Technology、2007年9月14日
- ^ 「IAMとは? アイデンティティとアクセス管理の説明」CSO Online。2024年4月24日時点のオリジナルよりアーカイブ。2024年4月24日閲覧。
- ^ a b「アイデンティティ管理(ID管理)とは? – WhatIs.comからの定義」SearchSecurity . 2018年10月26日時点のオリジナルよりアーカイブ。2018年12月3日閲覧。
- ^ Networks、米国医学研究所地域保健データ委員会;Molla S. Donaldson;Kathleen N. Lohr (1994).個人データの機密性とプライバシー. 米国科学アカデミー出版局(米国). 2020年10月21日時点のオリジナルよりアーカイブ。 2018年12月3日閲覧。
- ^ Burr, William E.; Dodson, Donna F.; Polk, W. Timothy (2006). 「情報セキュリティ」(PDF) . NIST特別出版. CiteSeerX 10.1.1.153.2795 . doi : 10.6028/NIST.SP.800-63v1.0.2 . OCLC 655513066. 2015年10月10日閲覧.
- ^ “Working Groups | Identity Commons” . Idcommons.org. 2015年9月24日時点のオリジナルよりアーカイブ。2013年1月12日閲覧。
- ^テイラー、リップス&オルガン 2009 .
- ^グロス、アクイスティ、ハインツ、2005 年。
- ^テイラー 2008 .
- ^ハルペリン&バックハウス 2008 .
- ^ 「分散識別子(DID)」。ワールド・ワイド・ウェブ・コンソーシアム。2020年6月8日。2020年7月30日時点のオリジナルよりアーカイブ。2020年6月22日閲覧。
- ^ピコス
- ^ “ist-swift.org” . 2016年3月11日時点のオリジナルよりアーカイブ。2008年3月27日閲覧。
- ^ FIDISCoord (DR). 「ホーム:情報社会におけるIDentityの未来」 2009年1月5日時点のオリジナルよりアーカイブ。 2008年9月29日閲覧。
- ^ 「電子政府のための欧州アイデンティティ管理アーキテクチャの構築」 istrg.som.surrey.ac.uk 。 2009年5月8日時点のオリジナルよりアーカイブ。
- ^ 「PRIME – 欧州のプライバシーとアイデンティティ管理」PRIMEプロジェクトポータル。 2006年9月28日。2007年10月10日時点のオリジナルよりアーカイブ。
- ^ 「特集:デジタルアイデンティティ管理特集」 . Online Information Review . 33 (3). ブラッドフォード:MCB University Press. 2009年6月19日. ISSN 1468-4527 . OCLC 807197565 , 676858452 . 2021年2月2日時点のオリジナルよりアーカイブ。 2021年1月29日閲覧。
- ^オブジェクトID(OID)は2008年10月17日にWayback Machineにアーカイブされています。PostgreSQL:概要と概念、Bruce Momjian著、1999年11月21日
- ^ 「アイデンティティ管理(ID管理)とは? SearchSecurityによる定義」 .セキュリティ. 2023年4月16日時点のオリジナルよりアーカイブ。 2023年4月16日閲覧。
- ^ 「ITセキュリティの構成要素としてのアイデンティティ管理」。2017年5月2日時点のオリジナルよりアーカイブ。2012年1月26日閲覧。
- ^ランネンベルク, カイ; ロイヤー, デニス; デューカー, アンドレ編 (2009). 『情報社会におけるアイデンティティの未来』ベルリン, ハイデルベルク: Springer Berlin Heidelberg. doi : 10.1007/978-3-642-01820-6 . ISBN 978-3-540-88480-4. S2CID 153140099 .
- ^ Fritsch, Lothar (2013年3月). 「未来のインターネットのクリーンなプライバシーエコシステム」 . Future Internet . 5 (1): 34– 45. doi : 10.3390/fi5010034 .
- ^ペイントシル、エベネザー、フリッチュ、ローター(2013年)、「アイデンティティ管理システムのための実行可能モデルベースのリスク分析手法:階層的カラーペトリネットの使用」、デジタルビジネスにおける信頼、プライバシー、セキュリティ、シュプリンガーベルリンハイデルベルク、pp. 48– 61、doi:10.1007 / 978-3-642-40343-9_5、ISBN 978-3-642-40342-2
{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク) - ^ Fritsch, Lothar; Fuglerud, Kristin Skeide; Solheim, Ivar (2010年12月1日). 「包括的なアイデンティティ管理に向けて」 .情報社会におけるアイデンティティ. 3 (3): 515– 538. doi : 10.1007/s12394-010-0075-6 . ISSN 1876-0678 .
- ^ Røssvoll, Till Halbach; Fritsch, Lothar (2013). 「ソーシャルメディアアプリケーションのための信頼性と包括性を備えたアイデンティティ管理」. 黒須正明編著.ヒューマンコンピュータインタラクション:ユーザーと利用コンテキスト. コンピュータサイエンス講義ノート. 第8006巻. Springer Berlin Heidelberg. pp. 68– 77. doi : 10.1007/978-3-642-39265-8_8 . ISBN 978-3-642-39265-8。
出典
- ベルナル・ベルナベ、ホルヘ;ヘルナンデス=ラモス、ホセ・L;スカルメタ、アントニオ (2017). 「モノのインターネットのための包括的プライバシー保護アイデンティティ管理システム」モバイル情報システム. 2017 (6384186): 1– 20. doi : 10.1155/2017/6384186 .
- グロス、ラルフ、アクイスティ、アレッサンドロ、ハインツ、JH (2005). 「オンラインソーシャルネットワークにおける情報開示とプライバシー」。電子社会におけるプライバシーに関するワークショップ;2005年ACM電子社会におけるプライバシーに関するワークショップ議事録。pp. 71– 80. doi : 10.1145/1102199.1102214 . ISBN 978-1595932280. S2CID 9923609 .
- ハルペリン、ルース;バックハウス、ジェームズ(2008)「情報社会におけるアイデンティティ研究のためのロードマップ」『情報社会におけるアイデンティティ』 1 (1)(2009年出版):71. doi:10.1007/s12394-008-0004-0。
- ISO、IEC (2009). 「情報技術 - セキュリティ技術 - アイデンティティ管理のフレームワーク」 ISO/IEC WD 24760 (ワーキングドラフト).
- ルソリ、ウェイナー、ミルトゲン、キャロライン(2009年)「若者と新興デジタルサービス:リスクに対する動機、認識、受容に関する探索的調査」JRC科学技術報告書(EUR 23765 EN)(2009年3月発行)。doi : 10.2791 / 68925。ISBN 9789279113307. 2017年3月16日時点のオリジナルよりアーカイブ。2009年3月17日閲覧。
- Pohlman, MB (2008). Oracle Identity Management: ガバナンス、リスク、コンプライアンスアーキテクチャ. Auerbach Publications. ISBN 978-1-4200-7247-1。
- テイラー、ジョン・A.;リップス、ミリアム;オーガン、ジョー(2009年)「政府における身元確認の実践:市民監視と公共サービス改善の探求」『情報社会におけるアイデンティティ』1 :135. doi : 10.1007/s12394-009-0007-5 .
- パウンダー、CNM (2008). 「監視社会におけるプライバシー保護を評価するための9つの原則」 .情報社会におけるアイデンティティ. 1 (2009年出版): 1. doi : 10.1007/s12394-008-0002-2 .
- テイラー、ジョン・A. (2008). 「ゼロプライバシー」. IEEE Spectrum . 45 (7): 20. Bibcode : 2008IEEES..45g..20L . doi : 10.1109/MSPEC.2008.4547499 .
- ウィリアムソン、グラハム。そう、デビッド。イラン、シャルニ。ケント州スポルディング(2009 年 9 月 1 日)。アイデンティティ管理: 入門書。 MCプレス。ISBN 978-1-58347-093-0。
外部リンク
