Identity Security Fabric(ISF)は、異なるアイデンティティ機能をまとめる統合アーキテクチャ・フレームワークです。ISFを通じて、アイデンティティ・ガバナンスと管理(IGA)、アクセス管理(AM)、特権アクセス管理(PAM)、およびアイデンティティ脅威検出と対応(ITDR)がすべて、単一で一貫性のあるコントロールプレーンに統合されます。
Gartnerの「アイデンティティ・ファブリック」の定義に基づいて構築されたIdentity Security Fabricは、より予防的なアプローチを採用し、オンプレミス、ハイブリッド、マルチクラウド、および複雑なIT環境全体ですべてのアイデンティティタイプ(人間、マシン、 AIエージェント)を保護します。
いまIdentity Security Fabricが重要な理由
サイバー攻撃がより蔓延しかつ巧妙になるにつれ、サイロ化されたアイデンティティツールを特徴とする従来のアプローチでは、進化する脅威に対応できません。現在急速に拡大している攻撃対象領域は、主にサービスアカウント、APIキー、AIエージェントなどの非人間アイデンティティ(NHI)によって引き起こされています。
断片化されたポイントソリューションは、組織の全体的なセキュリティ態勢を弱めて、運用の複雑さを増大させて、構成に一貫性がなく脅威に対する可視性が限られるためリスクが高まります。この断片化により、セキュリティチームとITチームが分断したワークフローに苦労するため、効率の低下に至ります。
導入における重要な要因
セキュリティ侵害の80%は認証情報の漏洩が関係(Verizon、DBIR)
現在、企業では非人間アイデンティティが人間を50:1で上回る
2027年までに、Identity Fabric Immunityの原則により新たな攻撃の85%を阻止
Identity Security Fabricの主な利点
可視性と制御の統合:統一されたインサイトと、アイデンティティ領域全体における一貫したポリシー適用のために、一元化されたコントロールプレーンをセキュリティチームに提供
すべてのアイデンティティを大規模に保護:一貫した厳格なガバナンスにより、マシンアカウントや新たなAIエージェントも含めて人間のユーザーとNHIを保護
継続的でリスク対応するアクセスを実現:継続的なリスク評価に基づいたアダプティブなリアルタイム・アクセスコントロールを実装することで、ゼロトラストモデルをサポート
アクセスとガバナンスを効率化:セキュリティを向上させ、コンプライアンスを確保して、運用の複雑さを軽減するために、アイデンティティのライフサイクル管理を自動化・簡素化
Identity Security Fabricの基本原則
Identity Security Fabricの設計原則は、シームレスで安全なユーザーエクスペリエンスを作成し、複雑さを軽減し、コンプライアンスを確保して、アイデンティティ・ファーストのアプローチを通じて人、プロセス、テクノロジーを接続することで、AI主導の最新化を実現することです。
Tech RepublicによるGartnerのIdentity Fabric原則の要約によると、Identity Fabricアーキテクチャを導く10個の基本要素は次のとおりです。
あらゆる人間またはマシン
集中管理と分散型イネーブルメント
構成され、調整され、旅を重視したアーキテクチャ
適応性、継続性、リスク対応型、および回復力のあるセキュリティ
広範囲にわたる標準
イベントベースの統合接続
継続的かつ自動化された変更
規範的および改善的な脅威の検出と対応
すべての人のためのプライバシー
継続的な可観測性
Identity Security Fabric(ISF)の仕組み:多層アーキテクチャ
ISFは、ベンダーニュートラルな多層アーキテクチャを使用します。このアーキテクチャにより、組織は一貫性のあるアイデンティティとアクセス管理(IAM)機能、リアルタイムのリスク対応型アクセスコントロール、およびシームレスな統合に基づいて構築できます。
第1層:統合されたアイデンティティ・セキュリティ機能
この層は、基本認証だけでなく、アイデンティティのライフサイクルに重要なセキュリティ機能をすべて網羅します。
Identity Security Posture Management(ISPM):継続的な監視により、異常を検出し、AIポリシーを適用して、自律型エージェント、ワークロード、および高リスクのアイデンティティに対する監査への対応準備を維持します。
アイデンティティ・ガバナンスと管理(IGA):最小権限を適用するための権限のレビュー、アクセス認定、およびポリシー管理
特権アクセス管理(PAM):高リスクアカウントの制御、ジャストインタイム(JIT)アクセス、および管理機能の保護
アクセス管理:プロビジョニング、シングルサインオン(SSO)、フェデレーション、およびすべてのアプリケーションでの強力な認証
アイデンティティ脅威からの保護:行動アナリティクス、異常検出、自動応答、およびリアルタイムのリスク評価
アイデンティティのライフサイクル全体を通じた保護
効果的なIdentity Security Fabricは、認証前、認証時、認証後に次のような保護を行います。
保護フェーズ | 能力 | 目的 |
認証前 | IGA、ISPM、PAM、ライフサイクル管理 | 適切な最小権限を持った認可済みアイデンティティのみが存在することを確認する |
認証中 | アダプティブ認証、多要素認証(MFA)、アクセスコントロール | アイデンティティを検証し、リアルタイムでリスクベースのアクセス決定を行う |
認証後 | ITDR、継続的な監視、行動アナリティクス | 異常を検知し、セッションコントロールを実施して、リアルタイムで脅威に対応する |
第2層:アイデンティティ・オーケストレーション
オーケストレーションは重要な層であり、分断したIAMツールを真の基盤へと変換して、リアルタイムで脅威の予防と対応を可能にします。
KuppingColeは、オーケストレーションをIdentity Fabricの中核的なコンポーネントと定義して、既存の投資を専門的な新機能と結び付けて、技術的負債を段階的に削減させる役割を強調しています。
主要なオーケストレーション機能:
シームレスなデータ交換:IAMのコンポーネント間でのアイデンティティ・データ、アクセス決定、リスクシグナルの自動リアルタイム共有
ワークフローの自動化:手動によるハンドオフなしで、複数のシステムにわたってアイデンティティ主導のプロセス(ユーザーのオンボーディング、セキュリティ・インシデント対応など)を調整して実行
ポリシーの連携:あらゆる環境とアプリケーションにおいてセキュリティポリシーを一貫して適用
イベント主導の対応:脅威が検出された場合の組織全体での自動対応(認証情報が漏洩している場合にすべてのシステムでセッションの即時取り消しなど)
第3層:包括的な統合
Identity Security Fabricは、技術スタック全体に拡張させる必要があります。緊密な双方向の統合により、あらゆるアイデンティティがすべてのリソースに接続され、セキュリティ上のギャップを生み出すサイロが排除されて、どこにでも一貫したポリシーの適用が可能になります。
オープンプロトコル(SAML、OAuth、OIDC、SCIM、LDAP)に基づいて構築された標準統合により、Identity Security Fabricはマルチベンダーの現実に対応して、組織が必要に応じて最適なツールを導入できるようにします。
統合の範囲:組織全体を網羅する基盤
Identity Fabricの有効性は、次の4つの主要ドメインにおいてポリシーを適用する能力によって決まります。
統合ドメイン | 技術的な価値と連携 |
インフラストラクチャ | クラウド・インフラストラクチャ・プラットフォーム(IaaS)およびオンプレミス・サービスに接続することで、ワークロードがパブリッククラウド、プライベート・データセンター、またはハイブリッド環境で実行されるかどうかに関係なく、一貫したアイデンティティ・ガバナンスが可能になります。これにより、仮想化プラットフォーム、コンテナ環境、従来のサーバー・インフラストラクチャ全体で統合アクセスが確保され、CIEM(Cloud Infrastructure Entitlement Management)の原則を直接サポートします。 |
アプリケーション | 標準プロトコル(SAML、OAuth、OIDC、SCIM)およびカスタムコネクターを通じて、クラウドネイティブ・アプリケーションとオンプレミス・ソフトウェアをサポートします。ISFは、アプリケーションの書き換えを必要とせずに、SaaSプラットフォーム、社内開発されたアプリケーション、パッケージ化されたエンタープライズ・ソフトウェア、およびレガシーシステムと統合します。 |
API | 公開APIと内部APIとの双方向統合により、プログラムによるアイデンティティ管理、自動化されたワークフロー、安全なマシン-to-マシン認証が可能になります。標準APIプロトコルは、DevOpsパイプラインに不可欠なセキュリティ制御を維持しながら、サービスがプログラム的に認証・認可できるようにします。 |
アイデンティティ | エンタープライズ・ディレクトリ、アイデンティティプロバイダー、およびアイデンティティソースプロバイダーとの統合により、すべてのアイデンティティタイプに対して完全な可視性が実現されます。これには、人間のユーザー(ディレクトリー・サービスで管理)に加え、人間のアカウントと同等の厳格なガバナンスを必要とするマシンのアイデンティティ、ワークロードのアイデンティティ、およびAIエージェントが含まれます。 |
マルチベンダーの現実
オープンプロトコルを利用する構成可能なアーキテクチャを導入することで、Identity Security Fabricでは、コンポーネントがマルチベンダーから提供される場合でも、組織がIAMインフラストラクチャの統合を実現できるようになります。このアプローチにより、リスクが軽減され、ベンダーロックインが回避されて、統合されたセキュリティ・アーキテクチャを損なうことなく、専門的なセキュリティ機能(IGAやPAMなど)を統合するための戦略的な柔軟性が確保されます。このベンダーに依存しない拡張性は、Identity Fabricのコンセプト全体で中核となる要件です。
Identity Security Fabricの利点
Identity Security Fabricを導入すると、セキュリティとビジネス上の利点が得られ、組織のレジリエンスとデジタルトランスフォーメーションおよびAI導入の目標が一致します。
セキュリティ上の利点
認証情報の窃取、特権の悪用、ラテラル・ムーブメントに対する保護を強化:組織は、アイデンティティを主要なコントロールプレーンにすることで、人間、マシン、AIエージェントに対する根本的なリスクを封じ込める
すべてのアイデンティティで完全な可視性:人間のユーザー、サービスアカウント、ワークロード、APIキー、自律型エージェントの一元管理により、盲点が減り、脅威検知が強化される
AIおよび人間以外のエンティティに対する自動化された脅威検知と対応:継続的な監視により、動作、アクセスパターン、または自律的なワークフローの異常を特定し、迅速な対策を可能にする
AIガバナンスと監査への対応:自律システムによるアクションはすべて、追跡可能で、ポリシーに準拠して、監査可能であり、規制フレームワークと組織の信頼をサポートする
脅威を防止、検出、阻止するための包括的なオーケストレーション:アイデンティティ攻撃対象領域全体で統合された対応機能
ビジネス上の利点
運用の俊敏性を強化:コンプライアンスや生産性を損なうことなく、クラウドサービスを安全に導入し、SaaSの使用を拡大して、AI主導のワークフローを統合する
ユーザーと開発者のエクスペリエンスを向上:シームレスなアダプティブ認証、パスワードレス・アクセス、一貫したアイデンティティ・ポリシーにより、人間とマシンのワークフローでの摩擦を軽減する
法規制とコンプライアンスへの対応:一元化されたガバナンスとレポート機能により、NIST、ISO 27001、SOC 2、GDPR、およびAI固有の新しい標準などのフレームワークの監査を簡素化する
アイデンティティに焦点を当てたAIアナリティクスとインサイト:可観測性とアナリティクス機能により、自律システムに対する実用的なインサイトが提供され、AIの導入とリスク管理の最適化を支援する
Identity Security Fabric(ISF)のユースケース
ISFは、エンドツーエンドであらゆるアイデンティティにセキュリティを組み込みます。
AIエージェントのセキュリティ保護:AIエージェントが従業員の一部となるにつれて、アイデンティティとアクセスに関して新しい課題が生じています。ISFは、リスクのあるエージェントを検出して評価するための可視性、アクセスを管理・制限するための一元化制御、セキュリティポリシーを適用し各エージェントのライフサイクルを監視するための自動化されたガバナンスを実現します。
非人間アイデンティティを保護:最新アプリケーションと自動化では、サービスアカウントと同様に、非人間アイデンティティの活用が増えています。強力なIdentity Security Fabricは、人間のユーザーと同じように、これらのアイデンティティが適切に管理、保護、統制されるようにして、見逃されがちな重大なセキュリティギャップを解消します。
ハイブリッド環境とオンプレミス環境をセキュリティ保護:多くの組織は、レガシーシステムとオンプレミスシステムを利用し続けています。ISFは、アイデンティティ・ガバナンス、脅威からの保護、アクセス管理をハイブリッド環境とオンプレミス環境全体に拡張します。このアプローチは、ディレクトリの脆弱性を事前に特定して緩和し、オフライン時でもレジリエンスのあるアクセスを維持して、脅威対策の自動化を推進します。
セキュリティ主導のガバナンスを実現:アイデンティティ・ガバナンスは、多くの場合、セキュリティ機能ではなく、コンプライアンス要件として扱われます。Identity Security Fabric内では、ガバナンスが有効な防御層となり、最小権限の適用とリスクベースのアクセス認定を可能にし、リスクが低減して、レジリエンスが向上します。
従業員のオンボーディングをセキュリティ保護:オンボーディングの処理は、従業員のセキュリティにとって基盤となります。ISFは、フィッシング耐性のある認証とアダプティブ・アクセスコントロールを利用して、新しいアイデンティティが作成された瞬間からオンボーディングを自動化および保護し、すべてのユーザーが最初から適切な権限で開始できるようにします。
AI時代における法規制の遵守
統合されたIdentity Security Fabricは、新旧の規制フレームワークの両方に必要な基本的な証跡を提供します。
従来の遵守
一元化されたポリシー管理と一貫したログ管理により、NIST 、ISO 27001、SOC 2、GDPRなどのフレームワークの監査が簡素化されます。IGAのコンポーネントは、最小権限の原則への証明可能な遵守を確保し、人間および非人間アイデンティティに関する包括的なアクセス認定記録を提供します。
AI固有の要件
Identity Security Fabricは、EU AI法やNIST AI RMF(AIリスクマネジメントフレームワーク)などの新しいグローバル標準に備える上で不可欠です。これらの規制では、自動化システムに対して厳格な説明責任、説明可能性、および監査可能性が求められます。
ISFによる解決方法は以下のとおりです。
すべてのAIエージェントに検証可能なアイデンティティ(「第一級市民」)を割り当てる
Cross App Access(XAA)プロトコルなどの標準を使用して、エージェントからアプリへのすべてのアクションを一元的に制御して記録する
一元化されたアイデンティティ・グラフに、誰(または何)が、いつ、なぜアクションを実行したかの完全なコンテキストが含まれるようにする。これは、規制当局の信頼を維持し、高リスクのAIシステムに関する課題を管理するために重要である
アイデンティティの未来:自己修復アーキテクチャ
AIシステムが急増するにつれ、NHIは人間のユーザーをはるかに上回っています。Identity Security Fabricは、AI主導のアナリティクスが異常を検出し、ポリシーを適用して、新しいリスクにリアルタイムで適応する自己修復アーキテクチャに進化する必要があります。
新たな機能
エージェント型AIのガバナンス:自律型AIシステムのための高度な委任と監視
Identity-as-a-mesh:組織を囲むスケーラブルで独立したアイデンティティ・アーキテクチャ
ポリシーの自動適応:機械学習 (ML)を利用して、新しい脅威ベクトルに合わせてセキュリティ制御を自動的に調整
現在、Identity Security Fabricを実装している組織は、AIネイティブで規制が多く、絶えず進化するデジタル環境で成功するための有利な位置に立っています。
FAQ
Identity Security Fabricは、従来のIAMとどのように違うのですか?
IAMは、多くの場合、アクセスを縦割りで管理します。Identity Security Fabricでは、IAM、ガバナンス、アダプティブ認証を、人間とAIエージェントの両方を含めて、ハイブリッド環境にまたがる継続的かつ統合されたアイデンティティ中心のコントロールプレーンに統合します。
Identity Security Fabricは、ゼロトラストと同じですか?
いいえ、違います。ゼロトラストはセキュリティモデル(決して信頼せず、常に検証)です。Identity Security Fabricは、アーキテクチャ上の基盤、かつアイデンティティ主導のポリシーを適用する一連の実現技術であり、すべてのアクセス決定においてゼロトラストを可能にします。
Identity Security Fabricでは、非人間アイデンティティ(NHI)は管理対象ですか?
はい。サービスアカウント、ワークロード、API、AIエージェントを管理して、NHIが人間のユーザーと同じ最小権限とコンプライアンス要件に従うことを確実にします。
Identity Security Fabricは、サイバーセキュリティ・メッシュ・アーキテクチャ(CSMA)とどのように関連していますか?
サイバーセキュリティ・メッシュ(Gartnerによる造語)は、分散された組織を保護するために設計されたツールとコントロールの共同作業環境です。Identity Security Fabricは、ゼロトラストの有効化に不可欠であるメッシュ全体におけるすべてのアイデンティティ(人間とマシン)に対して一貫したアダプティブポリシーを適用する、特化されたアイデンティティ中心のコントロールプレーンです。
アイデンティティを最強の防御に変える
組織がOkta Platformを利用して、アクセスコントロール、脅威の検知と応答、そしてガバナンスをシームレスに統合する包括的なIdentity Security Fabricを構築して、単一の防御層を実現する方法をご覧ください。
詳細を見る
