成長するためには、企業、事業体、組織のいずれであっても、従業員やメンバーを整理するための体系的な方法が必要です。今日、その方法は多くの場合、Identity and Access Management(IAM)、または Identity Credential Access Management(ICAM)と呼ばれる枠組みに含まれます。どちらの場合も、全体的なフレームワークでは、新しい従業員を組織に迎え入れる方法や、必要に応じてアカウントの引き継ぎやプロビジョニング解除を管理する方法が示されます。
IDおよびアクセス管理の要素は、規模を問わずあらゆる企業に関係します。組織が従業員やメンバーをどのように管理・維持すべきかを考え始めるのに、早すぎることはありません。
本稿では、IDおよびアクセス管理の6つの主要要素と、それらを組織に適用する方法を見ていきます。
IDおよびアクセス管理の6つの要素
各種の業界レポートやアナリストレポートによると、IDおよびアクセス管理の主な領域は次のとおりです。
パスワード管理
高度な認証
プロビジョニング
ディレクトリサービス
シングルサインオン
監査、コンプライアンス、ガバナンス
パスワード管理から始める
どの組織も1人または複数の個人から始まります。そのため、まずパスワード管理から始め、最初から従業員を支援できるようにするのは理にかなっています。
たとえば、個人が新しいアカウントの設定を開始する前であっても、必要な各ウェブサイトやサービスごとに長く一意なパスワードを生成する機能が必要です。パスワード生成機能を内蔵したパスワードマネージャーなら、これを簡単に実現できます。こうして従業員は初日から、長く一意なパスワードでアカウントを分離し、安全に保つことで、成功に向けた最適な状態を整えられます。
チームコラボレーションのために、パスワード管理に共有を追加する
個人がパスワードマネージャーを使って長く一意なパスワードを生成し、簡単にアクセスできるよう保存できるようになったら、次の段階としてチーム内で認証情報を安全に共有できます。
ビジネス向けのパスワードマネージャーでは、組織の管理や、ユーザーグループ間での安全で構造化された共有が可能です。これらのグループには、会社のログイン、共有クレジットカード、オフィスのWi-Fiパスワードなど、機密性の高いアイテムのさまざまなコレクションを割り当てることができます。
安全な共有のためのエンドツーエンド暗号化プラットフォームを確立することで、すべての組織は従業員と会社のセキュリティに適した基盤を整えられます。
高度な認証を取り入れる
アカウントごとに長く、複雑で、ランダムかつ一意なパスワードを使うことで、ユーザーは強固な保護状態を築けます。さらに強力な対策として、パスワードマネージャーへのログインだけでなく、他のウェブサイトやサービスにも2ステップログイン、つまり二要素認証を追加することが挙げられます。
パスワードマネージャーでは、認証アプリ、セキュリティキー、メール、SMSを使って2ステップログインを設定できます。なお、近年では、侵入手段としてSIMジャッキングが広まっているため、SMSはハッキングされやすい方法の一つと考えられています。
ユーザーがどの方法を選ぶ場合でも、2ステップログインの影響を全員が理解し、提供される場合はウェブサイトの2ステップログイン用リカバリーコードのコピーを保管し、2ステップログインの登録プロセス中に提供される認証キーをバックアップする方法を用意しておくことが重要です。
2ステップログイン内蔵のパスワードマネージャーを使用する
一部のパスワードマネージャーには、認証機能が組み込まれています。これはユーザーに大きな利便性をもたらし、特に共有環境で役立ちます。ユーザーは2ステップログインの手順を含むログイン情報を共有できるため、シークレットコードを確認するために電話やテキストで連絡し合う必要がなくなります。
もちろん、パスワードマネージャーに認証ステップを組み込む意味や、それによって認証の価値が損なわれるのではないかと疑問に思う人もいるかもしれません。最終的にはユーザーに選択肢があり、雇用主は推奨される実践方法について教育できます。統合型のアプローチを採用する理由は次のとおりです。
パスワードマネージャーの保管庫自体にも、別の方法を使った2ステップログインを設定する必要があります。(重要:パスワードマネージャーアカウントを保護するために、そのパスワードマネージャー内蔵の認証機能を使用してはいけません。)したがって、保管庫とアカウントは現在、高いレベルのセキュリティ、実際には2ステップログインによって保護されています。
ウェブサイトやアプリケーションで2ステップログインを有効にすることは、有効にしない場合よりも高いセキュリティを提供します。2ステップログインをより密接に組み込むことで、より頻繁に使いやすくなり、より良いセキュリティ習慣が促進されます。
アイテムを共有する必要がある場合、2ステップログインを有効にしたまま共有できるため、これもまたセキュリティ向上につながります。これはコラボレーションと2ステップログインを両立する強力な方法です。
内蔵されたままなので、どの認証アプリを使ったかを覚えておく必要はありません。
パスワードマネージャーの認証機能内で内部的に認証するログインと、別の認証アプリを使って外部で認証するログインを、いつでも個別に選択できます。
パスワードレスへの進化
世界がパスワードレスへ移行する中で、パスワードマネージャーと全体的な ID・アクセス管理戦略に、パスワードレスの選択肢を必ず組み込んでください。たとえば、
生体認証でデバイスにログインできるようにし、認証情報の自動入力も生体認証で有効にできるようにする
後述するシングルサインオンについても、パスワードレス体験を提供する選択肢を検討する
組織全体でセキュリティキーの使用を検討する
セキュリティキーを導入する際は、キーの紛失時や、キーが会社にとって重要なユーザーアカウントに関連付けられている場合に備え、冗長化の選択肢やバックアップ・復旧手順も考慮する
たとえば、従業員がバックアップ用セキュリティキーの保管場所をパスワード管理保管庫に記載し、アカウントの引き継ぎや緊急アクセス時にのみ表示できるようにするのが適切な場合があります
成功に向けたプロビジョニング
従業員が新しい会社で早く立ち上がるほど、生産性を発揮して成功に貢献できるようになります。当然ながら、プロビジョニングは ID・アクセス管理の予算の大きな割合を占めますが、依然として多数のシステムやツールに分散しています。
企業は多くの場合、メール、メッセージング、ディレクトリサービス、そして後ほど詳しく説明するシングルサインオンなど、導入済みの主要システムに基づいてオンボーディングプロセスをカスタマイズしています。
従業員に最適なオンボーディング体験を提供し、パスワードマネージャーを全体的なフレームワークに組み込めるようにするには、次の機能を備えたパスワードマネージャーを選びましょう。
既存システムと連携するための堅牢なアプリケーションプログラミングインターフェイス(API)
カスタムプロセスのスクリプト化を可能にする、機能が充実したコマンドラインインターフェイス
次のような既存の ID・アクセス管理システムと連携できること
ディレクトリサービス
シングルサインオン
監査とログイン
グループ編成のためのディレクトリサービス
大規模な企業では、従業員を部門ごとに整理するためにディレクトリサービスを導入していることがよくあります。たとえば、営業、マーケティング、エンジニアリング、IT、財務に基づくグループが存在する場合があります。こうした既存のディレクトリサービスは、従業員を職能別に整理し、新入社員を適切なグループにすばやく追加し、必要に応じてアカウントをプロビジョニング解除する手段を提供します。
エンタープライズレベルのパスワードマネージャーはディレクトリサービスと連携し、パスワード管理組織の保管庫内でユーザーのグループを整理します。財務部門の従業員グループが特定の税務サービスの認証情報セットにアクセスできる場合、そのグループの新しいメンバーは自動的にそれらの認証情報へアクセスできるようになります。
一部の企業では、臨時チームを支援するためにもディレクトリグループを使用しています。たとえば、新しい事業施策をめぐって部門横断の特別チームが結成されることがあります。そのチームは、専用のパスワード管理グループをリクエストする場合があります。ディレクトリ連携により、この新しい特別チームをパスワード管理アプリケーションに同期し、安全な認証情報のセットをすばやく有効化できます。
統合アクセスのための SSO ログイン
SaaS(Software-as-a-Service)アプリケーションの急増に伴い、多くの企業がシングルサインオンを活用して Web サイトアカウントへの統合アクセスを実現しました。もちろん、シングルサインオンを利用するには、その Web サイトやサービスがその機能に対応している必要があります。ビジネス向けの多くの Web サイトはシングルサインオンを提供していますが、対応していない Web サイトやサービスもまだ数多く存在します。パスワードマネージャーはそのギャップを埋め、さらに多くのことを可能にします。
一部のパスワードマネージャーはシングルサインオンとも連携でき、企業がユーザーを組織に自動プロビジョニングできるようにします。
もちろん、エンドツーエンドで暗号化されたパスワードマネージャーのようなアプリケーションは、一般的な SaaS サービスとは少し異なります。ゼロ知識暗号化を採用したパスワードマネージャーのセキュリティモデルでは、プロバイダーが保管庫内の何も見ることができないことが保証されるため、シングルサインオンの文脈も少し異なったものになります。
パスワードマネージャーの根本的な前提は、エンドユーザーが自分のデータを暗号化および復号するためのキーを保持することです。パスワードマネージャーはそのキーを知らず、紛失した場合にユーザーへ提供することもできません。同様に、パスワードマネージャーがエンドユーザーの復号キーを別のサードパーティサービス(ID プロバイダーなど)に安易に渡し、そのプロバイダーにキーの安全な保管を任せることもできません。
この点を踏まえると、既存の ID プロバイダーと連携する安全なモデルでは、認証は ID プロバイダーを通じて行いながら、暗号化と復号は、ユーザーが保持しパスワードマネージャー専用のマスターパスワードで行います。これにより、エンドユーザーの保管庫を復号するアクセス権をサードパーティが持たないことが保証されます。また、暗号化と復号に使用するマスターパスワードは、パスワードマネージャー専用の一意のものであるべきだということも意味します。
このアプローチにより、ユーザーはブラウザー、モバイル OS、デスクトップ OS、Web アクセス、コマンドラインインターフェイスにわたって、パスワードマネージャーが提供するすべてのクライアントアプリケーションのメリットを享受できます。
コンプライアンスとガバナンスのための監査
規模が大きくなると、企業は従業員によるアクセスや利用を含め、自社システムを監視する必要があります。企業は多くの場合、さまざまなソースからの情報を受け取る先として、ログ記録および監査ソリューションを導入します。一般的なエンタープライズ向けのログ記録・分析システムには、Splunk や Elastic の Kibana などがあります。
堅牢なパスワード管理システムは、既存のログ記録システムに取り込めるログ情報をアプリケーションプログラミングインターフェイス(API)経由で提供します。これにより、次のことが実現します。
IT チームとセキュリティチームが情報を収集するための単一の場所
パスワードマネージャーと、全体的な ID・アクセス管理アプローチの他の要素との間でイベントを相関付ける機能
既存のアラートに取り込む選択肢
統合された ID・アクセス管理ソリューションの提供
企業は、適切な ID・アクセス管理ツールの組み合わせを導入する際に選択肢を持ち、成長に合わせて拡張できます。どの段階にあっても、すべての企業は、従業員が認証情報を安全に管理し、必要に応じて長くランダムなパスワードを生成し、機密情報をエンドツーエンドで暗号化して共有できるようにすべきです。
これらの機能を自社に導入するには、Bitwarden Business の無料トライアルを今すぐ開始してください。