アイデンティティガバナンス：統合型 vs. 分離型モデル

このブログはこちらの英語ブログ（2025年5月2日公開）の機械翻訳です。

2024年、Verizonは、ある年に発生したデータ侵害の45%が盗まれた認証情報の使用に関連していたと報告しました。同時に、90%のアイデンティティ関係者が、インシデントが自社のビジネスに直接的な影響を与えたと述べています。セキュリティ侵害のコストは最新の推定で480万ドルを超えており、アイデンティティを安全に管理する必要性はかつてないほど高まっています。

分離型のアイデンティティガバナンスと管理（IGA）ソリューションの課題

分離型のアイデンティティガバナンスと管理（IGA）ソリューションは、いくつかの問題を引き起こします：

• 運用の非効率性：アクセス管理がソリューションに含まれていないため、手動での統合が必要になります。
   
• ポリシーの不整合：IGAとアクセス管理ソリューションが異なるモデルを使用しており、セキュリティチームが調整・管理する必要があります。
   
• 可視性の欠如：アクセス管理との分離により、アイデンティティとアクセスの間に盲点が生じます。
   
• ユーザー体験の低下：IGAとアクセス管理の同期が遅延やエラーを引き起こし、ユーザーのアクセスに影響を及ぼします。
   
• 監査性の低さ：イベントログが分離されているため、照合が困難です。
   
• セキュリティの脆弱性：システム間でアイデンティティやポリシーが重複すると、攻撃対象領域が拡大し、セキュリティが低下します。
   

その結果、分離型のIGAソリューションは、本来達成すべきセキュリティと生産性の目標を満たせていません。

アイデンティティとアクセス管理（IAM）とは？

IAM（アイデンティティとアクセス管理）は、デジタルリソースへのユーザーアクセスを制御するサイバーセキュリティのフレームワークです。IAMシステムはポリシー、プロセス、テクノロジーを活用して以下を実現します：

• ユーザーが業務に必要な正しい権限を持っていることの保証
   
• 機密データとシステムへの不正アクセスの防止
   
• ユーザー管理の効率化と自動化
   
• セキュリティとユーザー体験の向上
   
• より良いビジネス成果の実現

アクセス管理はどのように機能するか？

アクセス管理ソリューションは、ユーザーを認証し、SSO（シングルサインオン）によって認可されたアプリケーションへのアクセスを提供します。ユーザーのアプリケーションへのアクセスはまずIGAソリューションによってプロビジョニングされ、管理されます。アクセス管理ソリューションは、ユーザーとそのアプリケーションIDを保持するディレクトリやデータベース、アクセスを制御するポリシー、アプリケーションへのコネクタを必要とします。

IGAとは？

IGAは、アイデンティティのライフサイクル管理や、コンピューティング環境（アプリケーションやシステム）全体にわたるユーザーのアイデンティティと権限を管理・証明するためのソリューションです。

IGAはどのように機能するか？

これを実現するために、IGAソリューションには以下のような機能が含まれるのが一般的です：

• ユーザープロビジョニング（入社・異動・退職などのJMLイベントに対応）
   
• 人事システムなどの信頼できるソースからユーザーを照合してデジタルIDにリンク
   
• セルフサービスによるアクセス要求
   
• 権限管理
   
• アクセス認証（ユーザーアクセスレビュー）
   

上図は、IGAの機能スタックを示しています。

IGAスタックの構成要素：

• ディレクトリ：人事システムからのユーザー情報、各システム・アプリケーションにおけるID、その他情報
   
• ポリシー：ユーザーとアプリケーションIDのマッピング、アクセスの許可
   
• コネクタ：ユーザーソースおよびIDストアと通信するプログラム
   

IGAが実行する主要な操作：

• ユーザーソースから発生したJMLイベントに基づくユーザープロビジョニング
   
• 承認されたアクセス要求に基づくユーザープロビジョニング
   
• スケジュールまたはJMLイベントに応じたアイデンティティ認証（アクセスレビュー）
   

なお、スタンドアロンのIGAソリューションにはSSOやMFA（多要素認証）などの機能が欠けており、これらは通常IAMソリューションに含まれます。

アクセス管理とIGAの重複

スタンドアロンのIGAとアクセス管理ソリューションを並べて比較すると、両者に共通するサービスがあることが明らかになります。

両方のソリューションには、以下が必要です：

• ディレクトリまたはデータベース
   
• 適切なアクセスレベルを制御するためのポリシー
   
• システムおよびアプリケーション上でアイデンティティ操作を行うためのコネクタ
   

例として、IGAソリューションがユーザー「Morgan Smith」を管理しているとします。IGAソリューションはこのユーザーのIDを [email protected] としてSaaSアプリにプロビジョニングします。アクセス管理ソリューションは、同じIDを使ってそのSaaSアプリへのSSOを実施する必要があります。

モデル

分離型モデルでは、IGAソリューションがアクセス管理ソリューションの一部として提供されるサービスを使用しません。以下に図で示されています。

分離型モデルと統合型モデルの間には、いくつかの重要な違いや複雑さがあります。

• 分離型モデルでは共通サービスが存在しないため、アクセス管理ソリューションとIGAソリューションは個別に管理されなければなりません。
   
• IGAソリューションでプロビジョニングされたIDは、アクセス管理ソリューションにも重複して存在する必要があります。
   
• ユーザーがどのアプリケーションにアクセスできるかに関するポリシーは、IGAシステムからアクセス管理システムへ同期させる必要があります。
   
• IGAソリューションのコネクタはアクセス管理ソリューションと共有されておらず、それぞれのソリューションがアプリケーションとの統合を個別に行う必要があります。

統合型IGAソリューションとは？

統合型モデルは、IAMスタック内のアクセス管理コンポーネントと共通のコンポーネントとサービスをIGAでも使用します。これにより、以下のようなメリットがあります：

• ガバナンスプロビジョニング、アクセス要求、認証、ワークフローを単一プラットフォームで実現
   
• HRシステム、アプリ、インフラとのシームレスな統合
   
• アイデンティティをセキュリティと生産性の中枢とする制御パネルとして活用
   

以下の図は、このモデルの一例を示しています。

統合型IGAソリューションの図では、ディレクトリやポリシーなどの共通コンポーネントをIGAとアクセス管理の両方で共有して使用します。ユーザーソース（例：HRシステム）への接続は1回のみで済みます。IGAとアクセス管理間のオーケストレーションは不要で、両者が共通サービスを使用するためです。

統合型IGAモデルの利点

統合型IGAモデルは、分離型モデルと比較して以下の利点があります：

• 価値実現までの時間短縮：両ソリューションの導入と保守の複雑さを削減
   
• ユーザー体験の向上：JMLイベント時のアクセス提供の遅延を削減
   
• 可視性と制御の一元化：分離型モデルではスタックが分かれることで攻撃対象領域が広がり、リスクが増加
   
• 一貫したポリシー管理：アクセス管理を簡素化し、エラー削減と信頼性向上に貢献
   
• 強固なセキュリティ体制：過剰な権限付与や孤立したアカウントのリスクを削減
   
• 自動化：認証や監査対応を効率化
   
• スケーラビリティ：ビジネス成長や変化に柔軟に対応可能

統合型アプローチの始め方

統合型IGAソリューションを評価する際に考慮すべき主な機能：

• IGA、アクセス管理、自動化を統合提供するプラットフォームを探す
   
• 導入のしやすさ、価値実現までの期間、運用コストを含めた総所有コスト（TCO）を評価する
   
• ハイブリッドクラウド環境、アプリの乱立、増加する従業員数といった将来のニーズやユースケースも考慮する

アイデンティティがセキュリティの中心となる世界では、統合は「あると良いもの」ではなく「不可欠なもの」です。分離型のIGAツールは複雑性を生み出し、生産性を低下させ、セキュリティを脅かします。

一方、統合型IGAソリューションは、統一されたポリシー、一元的な可視化、自動化されたワークフローを提供し、管理者とエンドユーザーの両方にとってより良い体験を実現します。さらに、TCOの削減とセキュリティ強化にもつながります。ライセンスコストの削減にもつながる場合があります。

自社のスタックを見直してみましょう：

• ガバナンス、プロビジョニング、アクセス制御が複数のツールに分散していませんか？
   
• コンプライアンスを証明したり、アクセスリスクに対応するのにどれだけ時間がかかりますか？
   
• チームはツールの管理に時間を費やしすぎていませんか？

これらの質問のいずれかに引っかかる点がある場合、統合型IGAアプローチを検討する時かもしれません。

Oktaのアイデンティティに対する統一的アプローチは、ここで説明した統合型IAMモデルに基づいており、TCOの削減とセキュリティの向上を実現します。OktaのIGAソリューション（Okta Identity Governance）は、Oktaのアクセス管理ソリューションと同じコンポーネントを使用しています。

OktaのIGAソリューションについて詳しくは以下をご覧ください：

• https://www.okta.com/ja-jp/products/identity-governance/
   
• https://help.okta.com/ja-jp/content/topics/identity-governance/iga-overview.htm

以上の内容は、原文（英語）の機械翻訳であり、原文と内容に差異がある場合は、原文が優先されます。