アイデンティティとアクセス管理の状況

成長するためには、すべての企業、ビジネス、組織は、従業員やメンバーを組織的に配置する方法を持たなければならない。今日、この方法はアイデンティティ・アクセス管理（IAM）、またはアイデンティティ・クレデンシャル・アクセス管理（ICAM）として知られることもある。どちらの場合も、全体的なフレームワークには、新しい従業員を組織に迎え入れる方法や、必要な場合の引継ぎやアカウントのプロビジョニング解除を管理する方法が概説されている。

アイデンティティとアクセス管理の要素は、あらゆる規模のすべての企業に関係する。組織が従業員やメンバーをどのように管理し、維持していくべきかについて考え始めるのに、早すぎるということはない。

本稿では、アイデンティティとアクセス管理の 6 つの主要な要素と、それらを組織にどのように適 用できるかを検討する。

アカウントごとに、長く、複雑で、ランダムで、ユニークなパスワードを設定することで、ユーザーは自分自身を強固に守ることができる。さらに強力なステップとしては、パスワード・マネージャーのログインだけでなく、他のウェブサイトやサービスにも二段階ログイン（二要素認証）を追加することだ。

パスワード・マネージャーを使えば、認証アプリケーション、セキュリティ・キー、Eメール、SMSを使って2段階ログインを設定できる。最近では、SIMジャックという侵入方法が普及しているため、SMSはハッキングされやすい方法のひとつと考えられている。

どの経路を選択するにしても、全員が2段階ログインの影響を理解し、Webサイトの2段階ログイン回復コードが提供された場合はそのコピーを保持し、2段階ログイン登録プロセスで提供された認証キーをバックアップする方法を持っていることを確認してください。

パスワード管理ソフトの中には、認証機能を内蔵しているものもある。これは、特に共有環境において、ユーザーに多大な利便性をもたらす。ユーザーは、2段階のログインシーケンスを含むログインを共有できるようになり、秘密のコードを知るためにお互いに電話やメールをする心配がなくなった。

もちろん、パスワード・マネージャーに組み込みの認証ステップを含めることの意味について、また認証の価値を否定するものなのか、と尋ねる人もいるかもしれない。結局のところ、ユーザーには選択肢があり、雇用主は好ましい慣行について教育することができる。統合的なアプローチを追求する理由は以下の通りである。

1. パスワードマネージャーボールトは、別の方法で2段階ログインを行う必要があります。(重要: パスワードマネージャのアカウントを保護するために、パスワードマネージャの内蔵認証機能を使用してはいけません)。したがって、あなたの保管庫とアカウントは現在、高レベルのセキュリティで保護されており、実際、二段階ログインが可能です。

2. ウェブサイトやアプリケーションで2段階ログインを有効にすると、有効にしていない場合よりもセキュリティが向上する。2段階ログインのバンドルが強化されたことで、より頻繁に使用することが容易になり、より良いセキュリティ慣行が促進される。

3. アイテムを共有する必要がある場合は、2段階ログインを有効にして共有することができる。これはコラボレーションであり、2段階ログインのパワームーブである。

4. どの認証アプリを使ったかを覚えておく必要はない。

5. どのログインを認証するかは、パスワードマネージャー認証機能の内部で行うか、別の認証アプリを使用して外部で行うか、常に個別に選択できます。

世界がパスワードレスに移行する中、パスワード・マネージャー、および全体的なアイデンティティとアクセス管理戦略には、パスワードレス・オプションが含まれていることを確認してください。例えば

• バイオメトリクスを使用したデバイスにログインできるようにし、バイオメトリクスを使用したクレデンシャルの自動入力機能を有効にする。

• シングルサインオン（後述）については、パスワードレスエクスペリエンスを提供するオプションを検討する。

• 組織全体でセキュリティ・キーの使用を検討する

• セキュリティ・キーの導入にあたっては、冗長オプションを念頭に置くとともに、キーが紛失した場合や、キーが会社の重要なユーザー・アカウントに接続されている場合のバックアップおよびリカバリ手順も考慮する。

• 例えば、従業員がパスワード管理保管庫にバックアップ・セキュリティ・キーの所在を記載し、アカウントの引き継ぎや緊急アクセス時にのみ閲覧できるようにする。

SaaS（Software-as-a-Service）アプリケーションのブームにより、多くの企業がシングルサインオンを活用し、Webサイトのアカウントへの統一的なアクセスを可能にした。もちろん、シングルサインオンには、そのウェブサイトやサービスがその機能を備えている必要がある。多くの企業向けウェブサイトがシングルサインオンを提供している一方で、そうでないウェブサイトやサービスも存在する。パスワード・マネージャーは、そのギャップを埋めるものであり、それ以上のものでもある。

一部のパスワード・マネージャーは、シングルサインオンと統合することもでき、企業はユーザーを組織に自動プロビジョニングすることができる。

もちろん、パスワード・マネージャーのようなエンド・ツー・エンドの暗号化アプリケーションは、一般的なSaaSサービスとは少し異なる。ゼロ知識暗号化を備えたパスワード・マネージャのセキュリティ・モデルは、プロバイダがあなたのデータ保管庫内の何も見ることができないことを保証しているので、シングルサインオンのコンテキストは異なる風味を帯びている。

パスワード・マネージャーの根本的な前提は、エンドユーザーがデータの暗号化と復号化の鍵を握っていることだ。パスワード・マネージャーはキーを知らないので、万一紛失してもユーザーに提供することはできない。同様に、パスワード・マネジャーは、エンド・ユーザーの復号鍵を他のサード・パーティ・ サービス（ID プロバイダなど）にやみくもに渡し、その鍵を安全に保管することを他の プロバイダに依存することはできない。

このことを認識し、既存の ID プロバイダと統合する安全なモデルは、ID プロバイダを通 じた認証を可能にするが、パスワード・マネージャに固有の、ユーザが保持するマスター・パスワード による暗号化と復号化を保持する。これにより、第三者がエンドユーザー保管庫を復号化するアクセス権を持たないことが保証されます。また、暗号化と復号化のマスター・パスワードは、パスワード・マネージャー独自のものでなければならない。

このアプローチはまた、ブラウザ、モバイルオペレーティングシステム、デスクトップオペレーティングシステム、ウェブアクセス、およびコマンドラインインターフェースにわたって、パスワードマネージャが提供するすべてのクライアントアプリケーションからユーザーが恩恵を受けられることを保証します。