IAMのキホンを理解する--第1回：IAMとは

アイデンティティ管理とアクセス管理の関係

　アイデンティティ管理とアクセス管理は大きく関わりあうものです。

　アイデンティティ＝ユーザIDと考えてみましょう。そうすると、IT環境にアクセスする際には必ずユーザIDを使用してリソースにアクセスするため、この管理が重要であることがわかります。

　また、アクセス制御、すなわちアクセスの許可/拒否はセキュリティポリシーに基づいて実施する必要があります。アクセス制御はIT環境の統制を取るために必須の機能であるため、アクセス管理も近年重要視されています。アクセスの設定・制御は、言い換えればユーザIDに対するアクセス権限の付与/剥奪ですから、アイデンティティ管理とアクセス管理を組み合わせて運用していくことが非常に重要となるのです。

　これらの2つを合わせてアイデンティティ/アクセス管理（Identity and Access Management）と呼ぶことが一般的となり、“IAM”という3つのアルファベットから成る略語も浸透してきました。

IAMの主要機能

　本稿ではまず、IAMにはどのような機能が含まれるのかを紹介します（定義については、より細かく分けたり、逆により大きなカテゴリで分けると、機能が多少異なる場合があることをご了承ください）。

アイデンティティ管理の主要機能

　アイデンティティ管理に含まれる機能としては、以下のようなものがあります。

• パスワードの再設定・変更時に、いくつかのシステム間でパスワードを同期する機能
• ユーザが自身のパスワードを管理できるようにする「パスワード管理」
• ポリシーに基づいてユーザにシステムアカウント、アプリケーションアカウント、リソースへのアクセス、および特権など、必要なものを自動的に割り当てる「プロビジョニング」
• ユーザIDを一元管理し、管理プロセスを自動化する「ID管理」
• 様々なリポジトリに分散しているユーザアカウント/プロファイルを、物理的に1つにまとめることなく仮想的に単一の企業リポジトリを形成する「アイデンティティ・バーチャライゼーション」
• 「ディレクトリ」

アクセス管理の主要機能

　アクセス管理に含まれるものは以下の通りです。

• 「認証」
• 「SSO」
• 「アクセスコントロール」
• 「フェデレーション」

　どの機能も様々なレイヤ、プラットフォーム、アプリケーションが管理のターゲットとなります。アクセス管理の対象は、OSレイヤでの制御、DBMSでの制御、Webアプリケーション・Webサービスでの制御など、MFからWebサービスまで多岐にわたります。

　では、なぜいま「IAM」なのかを次ページで見ていきましょう。