ゼロトラストにおけるIAMの重要性

「ゼロトラスト」は、調査会社Forrester Researchのアナリストが2009年に発案した概念です。何も信頼せず、全てのアクセスに対して全てを疑い検証することを意味しています。
ゼロトラストの概念を取り入れたセキュリティ対策では、システムやデータへアクセスするためのIDがセキュリティ境界となりますが、IDのみならずデータ・アプリ・デバイスもそれぞれ保護する必要があります。
なお、ゼロトラストは単一製品やソリューションでの実現は難しく、これら製品やソリューション間の連携が必須です。
例えば、クラウド・アクセス・セキュリティ・ブローカー(CASB)、セキュア Web ゲートウェイ(SWG)、セキュリティ情報とイベント管理(SIEM)やエンドポイントにおける検知と対応(EDR)、情報漏洩対策(DLP)などが関連しますが、それぞれが見ているIDは本当に正しいと言い切れるのでしょうか。
IDの管理が正しく行われない限り、関連製品によるゼロトラスト対策も信頼性が揺らぐことになります。
これら関連機能が本人確認に利用するIDは、IAMにより管理されるため、ゼロトラストの中でもIAMが最も重要な機能であると言えます。

NetIQ製品ポートフォリオ

IDを中心としたNetIQ IAMは、以下に代表される製品で構成されています。

ソリューション 目的
IDガバナンス ユーザが持つ各種アクセス権限を収集して、リスク値等を使い不適切な権限が付与されていないか監査することを目的としています。
統合ID管理と組み合わせることで、監査に加えて自動反映させることも可能となります。
Web/フェデレーション系SSO WebサイトやSaaS利用時のID/パスワード入力の手間を軽減します。
C/S系SSO Web化されていないツール、例えば、ESXクライアントやターミナルソフトへのID/パスワード入力の手間を軽減します。
特権ID管理 共有して利用されることが多いroot/administratorといった特権IDの、利用制限、ならびに、操作内容の監査を目的としています。
統合ID管理 冗長的なID管理作業をシステムで自動化して、管理作業の負荷を軽減します。
AD/Azure AD管理権限委任強化 AD管理ツールで不足する最小権限管理を強化します。
ユーザ自身によるパスワードリセット ユーザ自身でパスワードリセットが可能となるため、ヘルプデスクの作業負荷を軽減します。
多要素認証 ID/パスワードでは不足する個人特定化情報を、他の要素、例えばOTPやスマートフォン等を使い個人特定化を強化します。

製品詳細

Identity Manager(統合ID管理)
NetIQ Identity Managerは、シングルサインオンや特権ID管理を含めた各種社内システムとクラウドシステムのID管理を一元化し、コンプライアンス管理を実現する統合ID管理基盤を提供します。
Access Manager(Web/フェデレーション系SSO)
NetIQ Access Managerは、社内WebアプリケーションとSaaSアプリケーションの認証を一元化し、シングルサインオンによる統合認証基盤を提供します。
Privileged Account Manager(特権ID管理)
NetIQ Privileged Account Managerは、特権IDの操作内容を安全に管理・監視・監査・モニタリングすることで、企業の重要資産を保護します。
Identity Governance(IDガバナンス)
NetIQ Identity Governanceは、アクセス権限を収集・可視化して、リスクスコア等により意思決定の支援を行います。Identity Managerとの組み合わせで、権限の自動更新も可能となります。
Advanced Authentication(多要素認証)
NetIQ Advanced Authenticationは、各種ログオン機能に対し多要素認証対応を行い、セキュリティ強化を容易に実現するためのフレームワーク機能を提供します。

アイデンティティガバナンス・管理の必要性

異なるプラットフォームやソリューションにまたがるID管理は複雑です。
ユーザーは、業務上10以上のアプリケーションを使用する事も珍しくなく、それぞれにIDやアクセス権を必要とします。
ユーザーが必要とするアクセス権の割り当てには、ワークフロー申請/承認で処理することが多いですが、承認者が理解できないIT関連情報(アプリケーションコードなど)が含まれていることも多く、さらに、申請内容が正常なのか、それとも疑うべきものなのかを判断するためのガイダンスやサポートもないのがほとんどです。
これらの課題解決には、Identity Governance and Administration(以降IGAと略称)がお使いいただけます。

Identity Governance and Administration (IGA)とは

IGAは、以下2つの製品により構成されています。

NetIQ Identity Governance(以降IGと略称)は、主にガバナンス管理機能を提供します。
NetIQ Identity Manager(以降IDMと略称)は、主に自動ID連携機能を提供します。

これら2つの製品の組み合わせることで、例えばアクセス権変更に伴う内容確認と対処方法指定(例:権限剥奪)をIGで行い、対処方法の自動反映をIDMが行うといった、ガバナンス+自動反映が可能となります。

Identity Governance

  • ID/アクセス権の収集と管理
  • ロールのマイニング、分析、管理
  • リスク評価/SoD(職務分掌)およびその他ポリシー管理
  • ポリシー違反の確認/承認
  • ワークフローによるリアルタイムなアクセスリクエストと承認
  • 修正の履行(運用自動化)
  • ダッシュボードによる広範囲な状況の分析と洞察
  • コンプライアンス・モニタリングとポリシー違反の是正
  • 監査対応できるレポート

Administration(Identity Manager)

  • 統合ID管理
  • アクセスリクエストとワークフロー管理
  • プロビジョニング/デプロビジョニング
  • エンタイトルメント管理
  • セルフサービス管理
  • パスワード管理

すでに、IDMをご導入済みのお客様は、IGを組み合わせることで、セキュリティおよびコンプライアンス(規制)の要件を満たすことが可能となります。
なお、弊社IDMでは無く他社統合ID管理製品をお使いの場合でも、IGは他社統合ID管理が持つユーザーIDやアクセス権情報を、ソースとして取り込むことができるため、弊社IDM同様セキュリティおよびコンプライアンスを強化させることができます。(自動反映は、弊社IDMをご利用いただく必要があります。)

Identity Governance

IGは、多様な企業環境におけるアプリケーションとデータへのアクセスを効率的に管理します。
ミスが発生しやすい手作業からIGに移行することで、企業は時間を節約し、コンプライアンス・リスクを軽減することができます。
また、アクセスの一元管理を行うことで、セキュリティで保護されたサービスとリソースを効率的に管理でき、コスト削減が可能になります。

IGにより以下を実現することができます。
  • プロセスの自動化による時間の節約
    使いやすいセルフサービスのアクセス権要求・承認システムで、 アプリケーションのフルフィルメントを自動化できます。
  • 合理化されたワークフローによる効率の向上
    分析によって各リクエストに関連するビジネスコンテキストとリスクを把握する ことで、形式的な承認を削減できます。
  • アクセス権限の可視化による透明性の向上
    環境全体の識別情報とエンタイトルメントを収集し、視覚化します。
  • ユーザーアクセスの適切な権限付与と制御によるアカウンタビリティの確立
    継続的なガバナンスにより、ハイリスクな変化に対するアクセスレビューを トリガーし、例外のみに介入すれば済むようにします。
レポート表題(一部抜粋) レポート概要
Current User Access カタログ内の指定されたユーザーに関するグループ メンバーシップ、保持されている権限、関連アカウント、直属の部下、職務分掌違反などの情報が表示されます。
SOD policy violation 職務分掌ポリシーの概要が表示されます。
Catalog permission detail 指定された権限、それに関連付けられているユーザー、およびその関連付けられている権限に関する情報が表示されます。
User Permission Snapshot 選択した日付の指定したユーザーに関する権限情報が表示されます。
Privileged Account Ownership すべてのアプリケーションにわたってユーザーが所有する特権アカウントと各アカウントのユーザーを表示します。 出力はアプリケーションごとにグループ化できます。

例)SoDポリシー違反のレポート

Why NetIQ ? - NetIQが選ばれる理由-

ゼロトラストの要であるID/アクセス/ガバナンス管理まで単一ベンダーで完結

一般的にこれらの管理機能は、別ベンダー製品を組み合わせて構成されるため、以下の様な問題が発生します。
  • 製品間の親和性の低さ
  • カスタマイズ工数/運用コストの増大
  • 障害発生時対応時間の増加
NetIQ製品では、これらすべての管理機能を一括提供しているため、上述する問題点は最小化され、適切な管理基盤を実現できます。

高機能

NetIQ製品は、管理の容易性を高める数多くの機能に対応しています。
統合ID管理では、役職や兼務等の管理に適したロール機能、ロールを応用したワークフロー・職務分掌・レポート等に対応しています。
Web/フェデレーション系SSOでは、ID/パスワード以外の個人特定化情報やユーザ行動分析リスクスコアを用いたリスクベース認証、リスクスコアが高いユーザに対する多要素認証による本人確認強化に対応しています。
その他製品も各製品に求められる数多くの機能を有しています。

グローバル対応

NetIQ製品は、日本語対応だけでなく多くの諸外国言語に対応しています。
国内のITエンジニア不足に伴う外国人ユーザの採用、海外展開に伴う現地法人のM&A等が行われた場合でも外国人ユーザが必要とする言語を使ってシステムをご利用いただく事が可能です。
また、システム構築やサポートにおいても海外連携を行っておりグローバル体制での支援が可能です。
ヨーロッパを代表する情報セキュリティ専門アナリスト企業のAccess Management 2022レポートでリーダーに選出

事例

大規模での導入事例が多く、初期導入以降継続してバージョンアップしてご使用いただいております。 グローバルで政府機関をはじめ多くの業界で導入されています。

OpenText with NetIQ

弊社でもNetIQを利用しており、オンプレミスとAWSクラウド環境にホストされた基幹業務システムを透過的に連携させ、グローバルなデジタルトランスフォーメーションを実現しました。

事例を見る

PwC Denmark

社内の専門知識を必要とせずに高度なID・アクセス管理を利用できるよう、共通のフレームワークを構築しました。

事例を見る

米国地方政府機関

機密情報とリソースを保護するため、同機関は社内システムとアプリケーションへの安全でシンプルなロールベースのウェブアクセスを求めていました。NetIQ Access Managerを導入することで、同機関はロールベースのアクセス権をプロビジョニングするための集中管理ポイントを得ることができました。

事例を見る

ジョージア州控訴裁判所

NetIQ Access Managerを選択し、電子ファイリングシステムへのファイルの閲覧やアップロードを一元的かつ詳細に管理できるようになりました。

事例を見る

レポート・ソリューション資料

ホワイトペーパー:パスワードレス 認証方式の概要

認証は組織のセキュリティに不可欠な要素です。今日では、事実上すべての情報がデジタルで作成され、デジタルで保存されています。デジタル環境は広範囲に分散していると同時に、緊密につながっています。そのため、悪意のある外部ユーザーから組織を保護するためのパスワードレステクノロジーの必要性が、かつてないほど高まっています。
パスワードレス認証では、セキュリティを強化できるだけでなく、資格情報を記憶したり、小さなタッチスクリーンに入力したりする負担が軽減されるため、認証プロセスを簡素化できます。指紋認証や顔認証などを利用することで、認証プロセスははるかに簡単になります。強力な認証方式の有効活用をお考えのお客様に是非閲覧いただきたいフライヤーです。

ブローシャ:NetIQ Identity Governance and Administration

NetIQのIDガバナンスおよび管理(IGA)ソリューションは、組織によるアカウントのライフサイクルや情報リソースへのアクセス権の管理をサポートします。
IGAソリューションで提供される機能をご紹介しています。

IGAバイヤーズガイド

NetIQのIDガバナンスおよび管理(IGA)ソリューションは、、従業員や消費者のID 管理とアクセス管理を企業規模で行う組織を支援するセキュリティソリューションを提供します。安全なアクセス、効果的なガバナンス、スケーラブルな自動化、実用的なインサイトが提供されるため、OpenText の顧客は、クラウド、モバイル、データプラットフォームの全体でIT セキュリティの体制に高い信頼性を得ることができます。
IGAをご検討中のお客様にご覧いただきたいガイドです。

NetIQ as a Service

クラウドベースのIAM(IDおよびアクセス管理)ソリューションは、どれも同じではありません。妥協や制限を強いられる企業もあります。
特に、複雑な環境を持つ組織ではその傾向が強くなります。それぞれの組織に固有の性質があり変化するため、NetIQ by OpenText™では、プラットフォームの実装について複数のオプションを用意しています。
NetIQが提供するさまざまなタイプのIAM製品とサービス、およびそれらで実現される環境についてご紹介するとともに、プロセス、リスク管理の詳細等をご確認いただけます。

ゼロトラストのためのアプリケーションセキュリティフレームワーク

組織は、ゼロトラストレベルのセキュリティに到達するために、アプリケーションセキュリティに対する新たなアプローチを必要としています。
エッジに継続的な認証を実装することで、真の適応型アクセスが構築されます。
本ペーパーでは、OpenTextのアプリケーションセキュリティサービス、データ保護フレームワーク、エッジでの共有ゼロトラストサービスを主軸に、ゼロトラストを実現するアプリケーションセキュリティフレームワークをご紹介しています。
本ポジショニングペーパーで合わせて紹介しているVoltageに関しては、Voltage特設サイトを参照ください。

ホワイトペーパー:Securing and Governing Identities, Credentials, and Access in highly secure Federal Government Agencies

連邦政府機関におけるセキュアなICAM:Identities, Credentials, and Access Managementについて記述したホワイトペーパーです。
連邦政府機関には、企業のアイデンティティ、クレデンシャル、アクセス管理(ICAM)を特定、評価、設計、および管理するミッションがあります。
このミッションは、人、アプリケーション、デバイス、システム、およびプラットフォームが、ミッションの必要性に基づいて許可されたすべてのリソースに安全にアクセスできる、安全で信頼できるエンタープライズ環境を提供するというビジョンによって推進されます。

State of Passwordless Report

OpenTextがスポンサーとなってDark Readingにより作成されたレポートです。本レポートには、パスワードレス認証に向けた市場の動向も含まれています。リポートの概要は以下の通りです:
・80%近くが、IDの共有をなくすことが重要であると回答。
・フィッシング攻撃に対する懸念が最も高い。
・63%が、パスワードレスによってユーザー体験が改善されることを期待している。

State Of Zero Trust in The Enterprise: Shift To Identity-Powered Security

Micro Focus NetIQ(現OpenText Cybersecurity)がスポンサーとなってDark Readingにより作成されたレポートです。
多くの組織が多要素認証を導入している一方で、ゼロトラスト環境全体でID管理と権限管理を統合した、より包括的なアプローチを模索する傾向が強まっていることが、調査結果から強くうかがえます。

顧客ID&アクセス管理(CIAM)

最近のトレンドとして、CIAM(顧客ID&アクセス管理:Customer Identities & Access Management)が注目されています。CIAMは、顧客を中心に重視する包括的ID&アクセス管理で、サービスやリソースを利用する顧客・消費者に、目的に応じた制御を提供するプラットフォームです。このため、従来のIAM(Workforce IAM)とは異なり、従来のIAMが内側に目を向けていたのに対し、B2CおよびB2Bのインタラクションに焦点を当てます。NetIQ CIAMは、多様なビジネスニーズに対応した幅広いソリューションで、DX(デジタルトランスフォーメーション)に向けたCIAMのニーズに応えます。