ガートナー ジャパンは7月24日~26日、年次イベント「セキュリティ&リスク・マネジメント サミット 2018」を開催した。2日目には、米ガートナー バイス プレジデントのアント・アラン(Ant Allan)氏が登壇。「アイデンティティ/アクセス管理の現状:2018年」と題した講演を行った。

IDの有効活用によるビジネス強化は必須

デジタルビジネスが進展するなか、アイデンティティ(ID)とアクセス管理(AM)、いわゆるIAM(Identity and Access Management)の重要性が増してきた。アラン氏はまず「あらゆるビジネスがアイデンティティビジネスとなり、アイデンティティに関連するリスク管理、信頼関係の構築、アイデンティティを有効活用したビジネス強化が必須になってきた」と議論の前提となる現状について説明した。

米ガートナー バイス プレジデントのアント・アラン(Ant Allan)氏

IAMは、クラウドサービスの管理をはじめ、パートナーや顧客とのやりとり、法令対応などに欠かせない要素だ。ビジネスがITサービスで不可分になるなか、その基盤としてのID管理とアクセス管理にどう対応するかは、どのような企業でも課題に感じているところだろう。

ガートナーではIAMを「人とモノが適切な理由で適切なアクセス権を有し、適切なタイミングで適切にやりとりし、デジタルビジネスの望ましい成果を得るための一連のテクノロジーとプロセス」と定義している。

さまざまな機能を包含する定義だが、機能別に見ると、大きく3つに分けられるという。1つは、パスワード管理やID/ガバナンス管理、ディレクトリサービス、職務分掌などに関する「管理」だ。2つ目は、認証やトランザクションの承認、IDプルーフィングなどの「保証」。3つ目は、アクセス管理や外部からの権限管理などの「承認」だ。

「これらはガートナーのIAMテクノロジーのリサーチ領域ですが、重なる領域もあります。例えば、アナリティクスは3つの領域全てに関わってきます。ツールを使って、3つの領域で、『管理』『オーケストレーション』『統制』を行っていくことが重要です」(アラン氏)

例えば、管理の領域では、「IDライフサイクル管理」「ユーザーの登録と管理」「ポリシーと役割の管理」をツールを使って行っていく。また、認証の領域では、ユーザーやパートナー、サービスからのアクセス要求やワークフロー、フルフィルメント、アカウントのプロビジョニングなどをオーケストレーションしていく。保証では、アクセス認証や監査、レポーティングによる統制がポイントとなる。

現在は、ID管理やキー管理のクラウドサービスやIDフェデレーションサービス、セッション管理、シングルサインオンなどに関するさまざまなツールが存在している。IT部門は、それらをどう活用し、「管理」「オーケストレーション」「統制」を実現すればよいのだろうか。