Oktaのデモ動画を多数掲載 - コンテンツライブラリ デモを見る
無料トライアル お問い合わせ

アイデンティティとアクセス管理 ベストプラクティス for enhanced security

更新済み: 2025年01月28日 読了目安時間: ~

トピック

Security, IAM

目次

 

この記事は機械翻訳されました。

 

アイデンティティとアクセス管理 (IAM) ベストプラクティス は、ビジネスプロセス、ポリシー、テクノロジーのフレームワークを通じて組織がデジタルアイデンティティを管理および保護し、ポジティブなユーザーエクスペリエンス (UX) を確保するのに役立ちます。

重要なポイント:

  • フィッシング耐性のある 多要素認証 (MFA) を実装します。
  • ロールベースのアクセスコントロールにより、一元化されたアイデンティティガバナンスを確立します。
  • 適切な 制御を使用して、安全なシングルサインオン(Single Sign-On)()をデプロイします。SSOfederation
  • アクセス許可の継続的な監視と定期的なレビューを可能にします。
  • すべてのリソースアクセスに対してゼロトラストの原則を維持します。

Essential アイデンティティとアクセス管理 ベストプラクティス

今日の脅威情勢は、ハイブリッド環境やクラウド環境の進化に伴い、大きな課題となっています。 IAMシステムは重要なセキュリティ制御を可能にしますが、その複雑さには慎重な実装と継続的な管理が必要です。

NSAとCISAの共同インテリジェンスである 「アイデンティティとアクセス管理 ベストプラクティスガイド」によると、認証情報の盗用、フィッシング、総当たり攻撃などのアイデンティティベースの攻撃は、組織にとって大きな脅威となっています。 Verizonのデータ侵害調査レポートによると、Webアプリケーション(アプリケーション)攻撃の80%は盗まれた認証情報を利用し、侵害の40%は盗まれた認証情報を利用し、約20%はフィッシングに関与していました。

強力な認証を実装する

強力な認証は、安全なアイデンティティ管理の基盤です。 NSAとCISAは、すべての MFA ソリューションが現代の攻撃方法に対して同等の保護を提供するわけではないことを強調しています。

 

  • Deploy フィッシング耐性のある MFA: 連邦政府のガイダンスでは、FIDO 認証者と PKI 認証情報 (スマートカードなど) をフィッシング耐性のあるオプションとして推奨していますが、ワンタイムパスワードとプッシュ通知は通常、フィッシングから保護されないことに注意してください。
  • 認証情報ポリシーの確立:IT 管理者は、リスク評価のためのMFA NIST SP 800-63 ガイドライン を考慮しながら、組織の保証要件に基づいて ソリューションを選択する必要があります。
  • アダプティブ認証を有効にします。 アクセスの決定には、デバイスの正常性、場所、動作パターンなどのリスクシグナルを組み込んで、必要な認証強度を決定する必要があります。
  • 認証イベントの監視: 実装には、異常なパターンを検出するための認証試行の包括的なログ記録と分析が必要です。

Deploy シングルサインオン(Single Sign-On ) ソリューション

シングルサインオン(Single Sign-On )は、異なるシステムやアプリケーション(アプリケーション)間で複数の認証情報の必要性を排除することにより、UXを向上させながらセキュリティリスクを軽減する一元化された認証フレームワークを作成します。

 

  • 認証制御を一元化します。 標準化されたセキュリティポリシーを通じてアクセス許可を管理する認証プラットフォームをデプロイし、詳細な監査証跡を維持しながら、接続されたすべてのアプリケーション(アプリケーション)を一貫して制御します。
  • federationプロトコルを設定します。 SAMLとOIDCを実装して、信頼関係をセキュリティで保護し、証明書を管理し、federationトラフィックを監視して、組織の境界を越えてリソースへのアクセスを保護します。
  • 監視 SSO 活動: ログイン動作、地理的アクセスパターン、認証方法をリアルタイムで分析して認証パターンをレビューし、潜在的な認証情報の漏洩/侵害または攻撃の試みを特定します。
  • ユーザー ワークフローを有効にします。 自動化されたプロビジョニングワークフロー、セルフサービス機能、統合された承認プロセスにより、アクセスプロセスを合理化し、セキュリティを維持しながらUXを強化します。

クラウドアイデンティティ アーキテクチャ

クラウドアイデンティティ アーキテクチャには、一貫したセキュリティ制御を維持しながら、分散環境全体でアイデンティティを管理するという固有の課題に対処するための特定のセキュリティに関する考慮事項が必要です。

 

  • federationサービスを確立します。 アイデンティティ プロバイダー間の信頼関係を使用してマルチクラウド認証を構成します (federation アサーションの詳細な監視や信頼構成の定期的な検証など)。
  • ハイブリッド同期を設定します。 自動化されたディレクトリ同期により、環境全体で一貫したユーザーロールを維持し、同期の正常性をリアルタイムで監視し、同期エラーの即時アラートを提供します。
  • Secure Application (アプリケーション) アクセス: 条件付きアクセス ポリシー、きめ細かい 許可管理、詳細なアクティビティ ログ記録など、クラウドサービスごとに異なる ID コントロールを実装して、Application (アプリケーション) ポートフォリオ全体のセキュリティを維持します。
  • 詳細な監視を有効にします。 クラウドサービス全体のすべてのアイデンティティ関連イベントをキャプチャし、一元化されたログ分析と相関関係を使用して、分散環境全体の潜在的なセキュリティ問題を検出します。

ロールベースのアクセスの実装

Role-based アクセスコントロール は、職務機能と責任に基づいて許可を処理するためのスケーラブルなフレームワークを構築し、セキュリティ境界を維持しながらユーザーが適切なアクセスを持つようにします。

 

  • ロール階層を作成します。 ビジネス機能、レポート機能の関係、およびセキュリティ要件に合わせた明確なロール構造を作成し、文書化された継承パターンと職務の分離制御を行います。
  • ロール定義を確認します。 ロール監査を実行して、割り当てられた許可が現在のビジネスニーズに合っていることを検証し、不要なアクセス権を特定して削除しながら、組織の変更に合わせてロールが進化するようにします。
  • ドキュメントの割り当て: 承認ワークフロー、業務上の正当な理由、および最小権限の原則をサポートする定期的なレビューのための明確なドキュメントを使用して、追跡する ロールの割り当て。

 

ABAC(Attribute-based アクセスコントロール)は、ユーザー、リソース、環境属性(ロール、場所、時間帯、デバイスのセキュリティなど)を考慮することで、よりきめ細かなアクセス決定を提供します。 ABACは、役割だけにとどまらない要因の組み合わせに基づく、柔軟でリアルタイムのオーソリゼーションを可能にします。

Privileged Access Management

特権アクセスでは、組織のセキュリティに大きな影響を与える可能性のある管理機能を保護するために、強化されたセキュリティ制御、監視、およびガバナンスが必要です。

 

  • Deploy 管理者 ワークステーション: 強化されたセキュリティ制御、制限付きネットワークアクセス、包括的なアクティビティロギングを備えた専用の強化されたワークステーションから管理タスクを実行します。
  • Enable 時間ベースのアクセス: 特権付き権限は、自動的に期限切れになる特定の時間枠に対してのみ付与し、公開を制限するために管理セッションごとに新たな承認を要求します。
  • 特権付きアクションの記録: 検索可能なメタデータ、安全なストレージ、およびリスクの高い操作に対するリアルタイムのアラートを使用して、すべての特権付きアクティビティをキャプチャします。
  • 定期的なレビューを実施します。 特権アクセス権を四半期ごとに評価して、ビジネス ニーズを検証し、使用パターンを確認し、職務の適切な分離を確保します。

DevOps のセキュリティ パターン

DevOps 環境には、セキュリティを維持しながら、サービスアカウントとシークレットの管理に特に注意を払いながら、自動化された開発およびデプロイメントプロセスを可能にする特殊なアイデンティティ制御が必要です。

 

  • 認証情報のローテーションを自動化: 安全な配布メカニズムを使用して、定義されたスケジュールでサービス アカウント 認証情報 をプログラム的にローテーションし、成功したローテーションを検証し、ローテーション エラーの即時アラートを設定します。
  • シークレット管理を一元化します。 安全なストレージ、アクセスコントロール、詳細な監査ログ、および承認されたシステムとサービスへの自動認証情報配布を提供する専用ソリューションを実装します。
  • Secure deployment パイプライン: パイプライン固有のサービス アカウント、一時的に昇格された許可、およびすべての認証と認可の判断の包括的なログ記録に対する特定のアイデンティティ コントロールを使用して構築およびデプロイします。
  • 監視設定の変更:DevOps環境での検証、変更追跡、コンプライアンスチェックを自動化して、アイデンティティコントロールの不正な変更を防止します。

アイデンティティライフサイクル管理

アイデンティティ ライフサイクル管理は、最初のオンボーディングからロールの移行、最終的な離脱まで、ユーザーと組織との関係全体でアクセス権の作成、変更、削除を自動化します。

 

  • 自動化されたワークフローをデプロイします。 従業員が退職したり、他の部門に異動したり、役割を変更したりするときに適切なアクセス変更をトリガーする自動化プロセスを実装して、接続されているすべてのシステムとアプリケーション(アプリケーション)がすぐに更新されるようにします。
  • アクセス レビューのスケジュール: 機密性の高いシステムについては少なくとも四半期ごとに、標準アクセスについては年に一度、ユーザーの権限を認定し、マネージャーが各許可に対する継続的なビジネスニーズを検証します。
  • 追跡する ステータスの変更: システム間での自動化された ID の移行 (変更内容、変更理由、セキュリティとコンプライアンスの維持を承認したユーザーなど) を文書化します。
  • 一時的なアクセスを制御します。 有効期限、自動失効プロセス、継続的なビジネスニーズの定期的な検証を契約社員と臨時従業員の許可に組み込みます。

ゼロトラスト アイデンティティ コントロール

ゼロトラスト 実装は、既定では信頼されていないユーザーやシステムを確立し、リソースへのアクセスを許可するときに ID とセキュリティの状態を継続的に検証する必要があります。

 

  • Enable constant validation:アクセス要求が場所やネットワークに関係なくリアルタイムの認証と承認を受けることを確認し、各リソース要求が正当で適切であることを確認します。
  • Deploy リスクベース ポリシー: ユーザー アイデンティティ、デバイスの正常性、場所、行動パターンなど、複数の要因を組み込んで、認証の強度とリソースのアクセシビリティを決定します。
  • デバイスの統合ステータス: デバイスのセキュリティ状態、パッチレベル、コンプライアンスの状態を継続的に監視し、企業リソースへのアクセスを許可または維持する際の重要な要素として監視します。
  • マイクロセグメンテーションを実装します。 ID 検証と現在のセキュリティ コンテキストを使用するネットワーク アクセスコントロールを活用して、動的なポリシー エンフォースメントを通じてリソースを分離および保護します。

セキュリティの監視と監査

セキュリティ監視は、すべてのアイデンティティ関連アクションを継続的に可視化するため、組織はコンプライアンス要件を維持しながら、潜在的なセキュリティインシデントを検出して対応できます。

 

  • 追跡する access イベント: タイムスタンプ、場所、デバイスの種類、認証方法などのコンテキスト情報を使用して、標準パターンを確立し、異常を特定するためのログ認証試行。
  • 管理活動の監視: 強化されたロギングとリアルタイムアラートを使用して、コマンドの実行、システムの変更、データアクセスパターンをキャプチャし、昇格された許可の誤用を防ぎます。
  • レビュー許可の変更: セキュリティ態勢を維持し、監査要件をサポートするために、アクセス許可に対するすべての変更 (変更を行ったユーザー、変更された内容、および業務上の正当な理由) を追跡します。
  • Analyze ユーザー パターン: 行動アナリティクスを使用して、すべてのユーザー集団の一般的なアクセスパターン、リソースの使用状況、アクティビティのタイミングを評価し、潜在的なアカウント漏洩/侵害またはインサイダーの脅威を特定します。

モバイルセキュリティ制御

モバイルアクセス セキュリティには、堅牢なアイデンティティ検証を維持しながら、企業リソースの保護とリモートワークの柔軟性のバランスを取る特定の制御が必要です。

 

  • モバイル MFAのデプロイ: デバイスの正常性とコンプライアンスの状態に基づいて、デバイス証明書、生体認証オプション、条件付きアクセス ポリシーなど、追加のセキュリティをモバイル デバイスに装備します。
  • 生体認証を設定します。 生体認証データプライバシーを保護しながら、生体認証の検出、適切な誤受け入れ率、バックアップ認証方法を備えた生体認証を実装します
  • アプリケーションの保護 (アプリケーション): 証明書ベース認証、安全なデータ ストレージ、自動化されたセキュリティポリシー エンフォースメントを備えたエンタープライズ モバイル アプリをデプロイして、不正アクセスを防止します。
  • 管理対象デバイス ポリシー: リソースへのアクセスを許可する前に、デバイスのセキュリティ状態 (暗号化状態、パッチレベル、モバイルデバイス管理の存在) を評価するアクセスコントロールを活用します。

コンプライアンスの基盤

アイデンティティ システムの規制コンプライアンスには、業界標準と法的要件を満たすために、構造化された制御、文書化、および継続的な監視が必要です。

 

  • ドキュメントの維持: 規制要件への準拠を実証するアイデンティティ アーキテクチャ、アクセス ポリシー、セキュリティ制御、運用手順を文書化します。
  • レポートの生成: アクセス レビュー、認証イベント、ポリシーの例外、セキュリティ インシデントなどのコンプライアンス レポート機能を自動化します。
  • 監査証跡の保持: 規制要件を満たし、インシデント調査を可能にする、セキュリティで保護されたストレージ、改ざん検出、および保持ポリシーを使用して、すべてのアイデンティティ関連のアクティビティをログに記録します。
  • 有効性の評価: 継続的な制御テストを実施して、アイデンティティ・セキュリティ対策を検証し、コンプライアンス要件を満たし、制御の有効性の証拠を文書化します。

技術インフラ

アイデンティティ・システムの技術フレームワークでは、認証メカニズム、ディレクトリー・サービス、およびすべてのサポート・コンポーネントを保護しながら、高可用性を確保するための包括的なセキュリティー・アーキテクチャーを使用する必要があります。

 

  • ネットワークをセグメント化: アイデンティティインフラストラクチャは、厳密なアクセスコントロール、監視統合ポイント、およびアイデンティティコンポーネントとビジネスシステム間の保護された通信チャネルを備えた専用ネットワークゾーン内に展開します。
  • 暗号化を実装します。 適切なキー管理プロセス、定期的な暗号化アルゴリズムのレビュー、認証認証情報の安全な保存により、すべてのアイデンティティ関連データの移行および停止を暗号化します。
  • 監視インフラストラクチャ: すべてのアイデンティティ サービス コンポーネントを監視し、可用性の問題、パフォーマンスの低下、および認証サービスに影響を与える可能性のあるセキュリティ イベントに対する自動アラートを使用して、システムの正常性を追跡します。
  • 冗長性を維持します。 地理的な冗長性、自動フェイルオーバー機能、障害回復手順の定期的なテストを使用して、重要なアイデンティティ サービスを保護し、継続的な運用を確保します。

ユーザー教育と意識向上

セキュリティ意識プログラムは、ユーザーが組織のリソースを保護する役割を理解するのを支援しながら、安全な行動のための実践的なガイダンスを提供することで、アイデンティティ セキュリティの文化を創造する必要があります。

 

  • Schedule トレーニング: セキュリティ教育では、強力なパスワードの実践、 MFA の使用、フィッシングへの耐性、認証情報の安全な取り扱いを網羅し、管理者やパワーユーザー向けの役割別トレーニングを実施しています。
  • 評価の実施: シミュレートされたフィッシングの試み、セキュリティポリシーの理解度チェック、安全なアイデンティティの実践に関する実践的な演習など、セキュリティ意識テストを実施します。
  • 更新ガイダンス: さまざまなユーザーロールとアクセスレベルに関する実用的な例と具体的なガイダンスを使用して、複数のチャネルを通じてセキュリティポリシーの変更を伝達します。
  • サプライ リソース: 最新のセキュリティ ドキュメント、セルフサービス パスワード管理ツール、およびレポート機能のセキュリティに関する懸念事項の手順にユーザーがアクセスできるようにします。

インフラストラクチャの強化

アイデンティティ システムのインフラストラクチャ強化により、コア認証サービス、ディレクトリ インフラストラクチャ、およびアクセス管理 コンポーネントを保護するセキュリティ制御が複数積み重ねられます。

 

  • Protect ディレクトリ: リアルタイム監視、特権アクセス制限、定期的なセキュリティ評価、およびアイデンティティデータの可用性とセキュリティを確保する保護されたバックアップメカニズムにより、セキュリティ対策を強化します。
  • セキュア認証: MFAシステムに定期的にパッチを適用し、適切に構成し、ネットワークセグメンテーションや暗号化通信などの追加のセキュリティ制御によって保護していることを確認します。
  • API アクセスの制御: 強力な認証、レート制限、入力検証、およびすべてのAPI操作の包括的なログ記録を要求して、不正アクセスを防止し、潜在的な不正使用パターンを検出します。
  • 監視の可用性: すべてのアイデンティティコンポーネントの自動テスト、パフォーマンス測定基準の追跡、潜在的なセキュリティまたは運用上の問題に対するプロアクティブなアラートにより、サービスの正常性を向上させます。

障害回復 and ビジネス継続性

アイデンティティ サービス レジリエンスの包括的な計画を作成して、セキュリティ制御を維持しながら、中断時に認証および承認サービスを利用できるようにします。

 

  • 冗長性を有効にします。 フェイルオーバー手順の定期的なテストとバックアップ環境のセキュリティ制御の検証により、重要なアイデンティティサービスを保護するために、さまざまな地理的な場所に自動フェイルオーバー機能を実装します。
  • 書類作成手続き: アイデンティティ サービスを復元するための詳細なステップバイステップの手順を作成します (構成要件、セキュリティ検証手順、復旧操作中の特定の役割と責任など)。
  • 復旧計画をテストします。 サイバー攻撃、インフラストラクチャエラー、主要人員の喪失などのシナリオを想定して、技術的な復旧能力とチームの対応手順を検証するために、定期的な障害回復演習を実践します。
  • 緊急アクセスの維持: Confirmの非常用手順には、マルチパーティ認証、時間制限されたアクセス、すべての緊急アクセス使用の包括的なログ記録など、厳格な管理が含まれています。

よくある質問 about アイデンティティとアクセス管理 ベストプラクティス

Q: SSOの利点は何ですか?
A: SSO は、認証を一元化すると同時に、より優れた UX を提供し、IT 部門がセキュリティポリシーを適用しやすくします。

 

Q: 組織 は特権付き アカウントをどのように保護できますか?
ある: 堅牢な認証を備えた特権付き アクセス管理 を実装し、管理アカウントの使用状況を定期的に監視することで、特権付きアカウントを保護することができます。

 

Q:ゼロトラストネットワークアクセス(ZTNA)モデルを採用するメリットは何ですか?
ある: ZTNAは、アクセスパターンの可視性を向上させ、リソースの使用をより適切に制御し、認証情報が漏洩/侵害された場合の影響を軽減します。

 

Q: クラウドとオンプレミスの ID はどのように管理する必要がありますか?
ある: federation、一貫性のあるポリシー、および一元化された監視を使用して、環境全体で統一されたIDガバナンスを実装します。

Oktaでアイデンティティの力を活用する

組織を保護し、従業員を能力を高め、アイデンティティファーストのセキュリティアプローチでビジネスの成長を加速します。

詳細を見る

アイデンティティ施策を推進

今すぐ無料トライアルをご利用いただけます。個別のご要望については、お気軽にお問い合わせください。

今すぐ始める
見積もりなどのお問い合わせ