公開日:|更新日:
情報システムやネットワーク、ファイルなど、IT資産に利用者がアクセスを行う際の本人の確認や認証、認可などを統合して管理することです。
個々のシステムは登録されたユーザーかどうかを認証する機能はありますが、設定をそれぞれのシステムで行う必要があり、システムが増えれば増えるほどその負担は増大していくため、システムごとに装備されている認証機能を統合し、集中管理することで運用負荷の低減を図ることが可能となります。
Identity as a Serviceの略称です。クラウド上でIDを管理し、シングルサインオンなどを利用して認証の強化、利便性向上を図るサービスのことをいいます。社内ネットワークを基本につくられた従来型のアカウント管理やセキュリティ対策から、効率的な運用を図るためにアイデンティティに焦点を当てたIDaaSが誕生しました。
シングルサインオンのことであり、一度認証を行うことで複数のウェブサービスやアプリケーション、システムにログインすることが可能になることです。
多要素認証とは「知識情報」「所持情報」「生体情報」など異なる要素から複数の要素を用いて認証する方式のことです。一つの要素だけで行う認証方式よりもセキュリティ面で向上させることが可能です。
銀行の認証システムに多く利用されており、パソコンで認証した後(第一経路)スマートフォンで認証(第二経路)するなど二つの経路で認証を行う仕組みのことです。
Security Assertion Markup Languageの略称であり、異なるドメインやシステムにおいてユーザーの認証を繋げるためのマークアップ言語です。OASISにより策定された規格です。主にシングルサインオンに利用されており、一度のログインで複数のサービスやシステムにログオンすることが可能となります。
Lightweight Directory Access Protocol の略称であり、ネットワークやユーザーの情報を一元化して管理するディレクトリサービスを提供しているサーバーへアクセスするときに使うプロトコルのことです。X.500という規格の1つであるプロトコルを軽量化(lightweight)したものです。
Remote Authentication Dial In User Serviceの略称であり、ユーザー認証プロトコルの一つです。現在では主に無線LANやインターネット接続プロバイダ、VLANなどの環境での認証をする際に使用されています。RADIUSクライアントはNASとも呼ばれ、認証時に使用した情報はサーバーに保存されます。
IDライフサイクル管理とは、【①登録】【②変更】【③抹消】【④休止】などのID管理のライフサイクルを適切に把握し、運用していくことです。不正アクセスや情報漏洩、データの消失を防ぐために必要不可欠ではありますが、膨大な手間や時間を必要とするため「統合認証基盤」「統合認証システム」を利用することが賢い選択と言えるでしょう。
いつ、どこで、誰が、何をしたかなどのログ(記録)を残し、管理することを言います。セキュリティ対策としては欠かせない機能となります。
ケルべロス認証とは、冥府の番犬としてギリシャ神話に登場するケルベロスからその名前が付けられた認証方式です。シングルサインオンを実現し、Webアプリケーションの利便性の向上させることが出来る他、高いセキュリティ性を確保できる、といったメリットがあります。
エージェント方式とは、シングルサインオンを実現するための方法の一つであり、Webアプリケーションのサーバーにエージェント・モジュールをあらかじめ組み込みむことでシングルサインオンを実現します。
リバースプロキシ方式とは、エージェント方式と同様、Web上で実現するシングルサインオンの実現のための方法の一つです。Webアプリケーションへのアクセスをリバースプロキシ・サーバーを経由して行うことで、シングルサインオンを実現します。
クラウド間で認証情報を連携する方式。パスワードなどの情報を利用せずにシングルサインオンを実現することができます。設定操作のみでクラウドシングルサインオンを実現できる、メジャーな海外のクラウドサービスで利用できるといったメリットがあります。
デバイスとWEBシステムの間に監視を行うためのSSO製品を導入し、必要な時にのみ認証情報をWEBサーバに送信することでシングルサインオンを実現する方式。クラウドサービスのほか、オンプレミスにも適用可能などさまざまなメリットがある方式です。
クライアントにエージェントを導入し、システムのログイン画面が起動された場合にユーザーの代理として認証情報を代行入力してシングルサインオンを実現する方式です。WEBアプリケーションなどで追加改修が不要なので比較的導入が用意などといった特徴があります。
IDPとはクラウドサービスへのアクセスに対する認証を行うサービスです。多要素認証によりシングルサインオンで、利用することで認証の一元管理が可能となり、セキュリティ強度を高めながら業務効率を向上させられます。
Active DirectoryはADとも略されるものであり、Windows Serverに備わっている機能のことをいいます。ネットワーク上にはコンピューターやプリンタなどさまざまなものがありますが、これらのアクセス権限を一元管理する機能です。SSOのAD連携でさらに便利に活用できるでしょう。ただし、ADにはメリットだけではなく、導入コストなどのデメリットなども存在します。
従来とは異なるセキュリティ対策に関する考え方です。特徴は、セキュリティ対策で守られているネットワークの内側も、ネットワークの外側と同じように信頼しないことです。クラウドサービスやリモートワークが普及したことで、従来の考え方ではセキュリティの脅威に対処できないため注目が集まっています。
IGAとはセキュリティ管理者がすべてのユーザー・アクセス・アプリケーション・データを可視化して管理し、不正アクセスを防ぐための手段です。ルールの作成やアクセス権の容易な取り消しにより、合理的にユーザーアクセスを管理します。
シンクライアントとは、クライアント端末に必要最低限の機能を与えて運用する仕組みをさします。データの処理や保存のほとんどをサーバー側で行う仕組みのため、テレワークやリモートワークと相性が良い仕組みといえます。このページでは、シンクライアントの基礎知識や種類について解説します。
IAMとは「Identity and Access Management」の略称であり、IDによるアクセスを管理することを指します。IDにアクセス権限を付与することで不正アクセスの防止が可能でき、セキュリティレベルを向上させられますが、同時に利便性も損なわないため生産性向上効果も期待できます。
特権IDとは、統合認証システムにおいて、利用者がいつ、どの端末から、どのサーバーを介して、どのような操作をしたのかを監視できる権限を持つIDです。特権IDとは統合認証システムで強力な効果を発揮しますが、不正アクセスがあった場合にはリスクが高くなるので管理が重要でもあります。
リスクベース認証とは、統合認証システムにおけるなりすましや不正ログインを防ぐためのものです。アクセスログを取得し、いつものログイン状況と比較した上で、リスクが高いと判断した場合のみ追加認証を求めます。通常は追加認証を求めないため、セキュリティレベルの向上をはかりながらログインの利便性も維持できる認証方法です。
ワンタイムパスワードとは、1回だけ使える使い捨てのパスワードのことです。ワンタイムパスワードには3種類の方式がありますが、いずれもログイン時にメールやSMS、トークンなどで送信されるパスワードの入力が求められるため、不正ログインやなりすましを防ぐために効果を発揮します。統合認証システムのセキュリティレベルを高めるために有効な方法です。
アカウントプロビジョニングとは、アカウントの生成や保守管理、情報変更、削除などを自動化できる仕組みのことです。クラウドを利用しているとアカウント管理が複雑になりがちですが、アカウントプロビジョニングでは管理が自動化されるため業務効率とセキュリティリスクの両方を軽減するために役立ちます。
不正アクセス禁止法とは、アクセス権限を持たない第三者が、不正にアクセスを行ったり、アクセス先の情報を取得・保管することを禁止する法律です。違反すると懲役や罰金などの刑が処されますが、企業としては統合認証システムを導入したり、セキュリティレベルを高めたりして、不正アクセスを防止する手段を講じることが重要となります。
サイロ化とは部署やチームの連携がはかれなくなり、それぞれが孤立した状態になることを指します。サイロ化が起こると連携しながら業務を進めることが難しくなり生産性が低下するなどの弊害が起こるため、解消を目指さなければなりません。このページではサイロ化の概要と、サイロ化を解消するための方法について解説します。
ITを利活用する企業では、ITシステムによるリスクを軽減させるためにIT統制が求められます。IT統制とは社内全体のシステムを管理し、リスクをコントロールすることを指します。IT統制を始めるならまずは社内のシステム状況を把握し、社内全体の統制やITシステムとIT業務のコントロールを行うことが必要です。このページではIT統制の必要性と、実践するための3つの要素を解説します。
従業員が退職した後、社内のサービスやアプリにログインできるID情報が削除されず、残されたままになることがあります。そのような使用する人がいないにも関わらず、残ってしまったID情報が「幽霊ID」です。幽霊IDが残されていると、企業のセキュリティリスクが低くなります。このページでは幽霊IDの危険性と、対策するための方法について解説します。
従来のログインではパスワードによる認証方式が広く採用されていました。しかしFIDOではパスワードではなく、秘密鍵・公開鍵を作成して、生体と署名による認証を行います。パスワード認証方式は情報漏洩のリスクがありましたが、FIDOではリスクが低くセキュリティレベルをより強固にするために効果的です。このページではFIDOの概要やメリット、種類について解説します。
SSLサーバー証明書はサイト運営組織の実在を証明するものですが、クライアント証明書は信用できる利用者であることを証明するためのものです。端末にインストールして認証を受けると、企業から許可された利用者しかログインできなくなります。そのため両方を併用すればセキュリティレベルを更に高められるようになります。このページではクライアント証明書の概要について解説します。
ID管理において「認証」と「認可」というキーワードが頻繁に出てきます。似たような言葉ですが異なる意味を持ち、「認証」は利用ユーザーが本人であることを確認するプロセス、「認可」は認証されたユーザーが行ってよい操作やアクセスしてよいリソースを管理するプロセスのことです。このページでは、認証と認可、さらに統合認証基盤との関係について解説します。
ISO/IEC 27017は、クラウド環境での情報セキュリティ管理に特化した国際規格のことです。取得することでクラウドサービスにおける危険性の緩和、組織内外からの信頼性強化につながります。また、認証を取得するためには条件と手順があるため、このページで詳しく解説しています。
IDモニタリングとは、ユーザーのIDの安全を確保し、システムの安全性を高めるプロセスです。IDの作成や変更、削除、ログインの監視などが含まれ、特にクラウドサービスでは不要なIDの管理や不正アクセスの防止が重要です。また、統合認証基盤によるIDモニタリングについても、このページで詳しく解説しています。
認証アプリとは、インターネット上での安全性を確保するために設計されたアプリです。ユーザーがログインする際に、パスワードとは別の安全なコードを生成することで、不正アクセスを防ぎます。「Google Authenticator」や「Microsoft Authenticator」などが代表的であり、オンラインでの安全を守るために不可欠なツールといえます。
パスワードレス認証は、従来のパスワード方式を用いずに、ユーザーの本人確認を行う認証システムです。生体認証は指紋や顔の特徴を利用し、所持認証はセキュリティキーやスマートフォンを使います。セキュリティの向上と、ユーザーの利便性が大幅に改善されるため、注目されているシステムの一つです。
UTM(統合脅威管理)は、企業ネットワークに対する多様なセキュリティ脅威に、全面的に対応するために設計されています。ファイアウォール、アンチウイルス、IDS/IPSなど、さまざまなセキュリティ機能を、一つのプラットフォームに統合しています。また、統合認証基盤と連携させることで、コスト削減とセキュリティ強化の両方を実現することができます。
PBI認証(Public Biometrics Infrastructure)は、現在のセキュリティの問題に対処するための、有力な解決策となっています。日立によって開発された先進的な生体認証システムであり、異なるサービス間での利用を容易に。さらに、生体情報の保護と認証プロセスの迅速化を実現します。
生成AIは、大量のデータを基に新しいコンテンツを自動で生成する技術。テキストや画像、音声など多様なメディアに対応するツールです。しかし、利用については認証制度の整備が重要と考えられています。日本政府は、G7諸国との国際行動規範を踏まえ、第三者認証制度の創設や、高リスク業種での規制強化を検討中。この記事を通じ、生成AIの基本から、認証制度にまつわる政府の動きを理解していきましょう。
3Dセキュアは、クレジットカード決済を行う際、なりすましによる不正利用を防止する目的で導入されている本人認証サービスです。消費者が安全にECサイトを利用できるように、そしてECサイト側が不正利用による売上損失のリスクを抑えるために、多くのECサイトで導入が進められています。この記事では、3Dセキュアによる本人認証の目的やメリット・デメリット、認証の手順を紹介します。
アカウントと生産性を守る
Withコロナ時代の
情報セキュリティ必須概念
クラウドサービスの普及やワークスタイルの変化によって、これからの情報セキュリティはシステマチックな運用が求められます。
アカウントのセキュリティを高めながら、運用者と利用者双方の利便性を高めるためには「統合認証基盤(統合認証システム)」の概念を理解しておかなければなりません。
