Skip to content

Summary

目次

Identity and Access Management

Access Management and Provisioning (アクセス管理とプロビジョニング)

出典: English

  • アクセス管理やフェデレーションはユーザーがアクセスした時点で属性を渡す仕組みであり、非同期通知、レポート、既存アプリケーション連携のために必要なローカル利用者データを継続的に保つには不十分である。
  • オンデマンドなプロファイル作成・更新は初期導入や頻繁にアクセスする利用者では動くように見えるが、訪問間隔が空くとデータが急速に古くなり、通知失敗、レポート劣化、削除不能な利用者データを生む。
  • 特に deprovisioning はアクセス管理だけでは解決できず、利用者が存在しなくなると削除情報をアプリケーションへ伝える機会も失われるため、性能、セキュリティ、プライバシー、ライセンス費用に影響する。
  • アイデンティティプロビジョニングはデータ変更を契機にコピーの所在を追跡し、作成・更新・削除を各システムへ伝播するため、アクセス時点に依存する方式より信頼性が高い。
  • midPoint はプロビジョニング、RBAC、組織構造、エンタイトルメント、REST/SOAP 連携を備え、インターネット規模とエンタープライズの双方でプロビジョニングを補完できる例として説明されている。

Identity and Access Management (アイデンティティおよびアクセス管理)

出典: English

  • IAM は認証、ディレクトリ、認可、フェデレーション、ライフサイクル、ポリシーなど多くの技術を含む広い分野であり、用語や方式が複雑に絡み合っている。
  • IGA は IAM の一部として、低レベルな技術的データ管理から高レベルな業務ポリシーまで、アイデンティティ情報の維持とガバナンスを扱う。
  • IAM には一見もっともらしいが高コストな失敗につながる神話やアンチパターンが多く、知識を持って複雑な領域を整理する必要がある。

SIEM integration with midPoint (midPoint との SIEM 統合)

出典: English

  • SIEM は多様な機器、アプリケーション、OS、コンテナ基盤からログを集約・正規化し、監視、相関分析、アラート、長期保管を行う。
  • 近年の攻撃はネットワーク境界だけでなくアイデンティティ層を狙うため、midPoint の監査ログを SIEM に渡すことでアイデンティティガバナンスとセキュリティ監視を接続できる。
  • SIEM は midPoint の syslog や監査ログからユーザー ID、操作種別、対象リソースなどを抽出し、VPN や物理入退室など他のイベントと相関できる。
  • ポリシー違反やブルートフォース検知時には、SIEM から midPoint REST API を呼び出して利用者を無効化するなど、平均対応時間を短縮する自動修復も可能になる。

Best Practice

Password Best Practice (パスワードベストプラクティス)

出典: English

  • 従来の複雑性要件や頻繁な強制変更は、覚えにくさ、使い回し、予測可能な変更パターンを生み、実際には逆効果になりやすい。
  • パスワードは長さを重視し、空白を含む印字可能文字を許可し、漏えい済み・推測容易な値を拒否し、認証試行回数を制限することが推奨される。
  • 平文保存は避け、ソルト付きハッシュなどで保護し、インシデントや安全性低下が判明した場合に変更を求めるべきである。
  • 生成パスワードでは、長いパスフレーズを優先し、誤読しやすい文字列や固定・予測可能な初期パスワードを避ける。
  • パスワードは本質的にフィッシングやキーロガーに弱いため、MFA、証明書、パスキーなどの追加・代替手段と組み合わせる必要がある。

Management, Directory, Access (管理, ディレクトリ, アクセス)

出典: English

  • IAM ではデータ保管、データ統合、アクセス制御という性質の異なる要件があり、単一コンポーネントで効率よく満たすのは難しい。
  • 実用的な構成は、スケーラブルなデータ保管を担うディレクトリサービス、変換・同期・ポリシーを担う IDM、認証・認可・セッションを担うアクセス管理の組み合わせである。
  • ディレクトリは安価で高性能な第一歩だが、データ投入、変換、deprovisioning、複雑な統合には IDM が必要になる。
  • アクセス管理は SSO や認可を提供できるが、統一された利用者データベースとアプリケーション統合が前提になるため、通常はディレクトリと IDM の後で慎重に導入する。

Enterprise IAM

Enterprise Identity and Access Management (エンタープライズアイデンティティおよびアクセス管理)

出典: English

  • エンタープライズ IAM は、従業員、契約者、学生、パートナーなど組織に関わる人のアカウント、権限、属性、状態を管理する分野である。
  • IAM 技術は大きく、アイデンティティストア、IDM、アクセス管理に分かれ、それぞれ保管、同期・ポリシー、認証・認可という異なる役割を持つ。
  • 単一の共有アイデンティティストアだけでは、複数の権威ソース、ローカル利用者 DB、状態を持つサービス、アプリケーションごとのポリシー差異に対応できない。
  • IDM はバックエンドでデータを同期し、アクセス管理はフロントエンドで認証・セッションを扱うため、現実的な IAM では両者を組み合わせる必要がある。
  • IAM 導入はビッグバンではなく、基本プロビジョニング、共有リポジトリ、基本アクセス管理、改善サイクルという反復的な段階で進めるべきだと説明されている。

IGA

Identity Governance and Administration (アイデンティティガバナンスおよび管理)

出典: English

  • IGA は IAM の一部であり、ユーザープロファイル、アカウント、エンタイトルメント、組織情報などのアイデンティティ関連データを管理・同期・統制する。
  • IGA は認証、トークン、ユーザーアクセス経路そのものを扱うものではなく、それらはアクセス管理の領域である。一方で、認可に影響するエンタイトルメント管理は IGA に含まれる。
  • IGA プラットフォームには、管理系のデータフローとガバナンス系のデータフローがあり、HR などのソースから対象システムへ書き込むだけでなく、全接続システムから読み取って分析・是正する。
  • 正確なガバナンスには、アプリケーションやデータストアへの直接接続が重要であり、フィルタ済み・変形済みの間接データだけでは孤児アカウントやエンタイトルメントの検出に不十分である。
  • IGA はライフサイクル管理、同期、ポリシー・ロール管理、アクセス申請、認定、監査、分析などの能力を、属性マッピング、式、スキーマ管理、コネクタ、API、診断機構で支える。

Risk-Based Approach To Identity Governance (アイデンティティガバナンスへのリスクベースアプローチ)

出典: English

  • サイバーセキュリティは一度きりのプロジェクトではなく継続的なプログラムであり、古い手作業のリスク分析は遅く、推測に依存し、完了時点で陳腐化しやすい。
  • アイデンティティは孤児特権アカウントや内部不正など大きなリスク源であり、IGA はユーザー、組織、ロール、エンタイトルメントの構造化データを持つためリスク評価の基盤になり得る。
  • エンタイトルメントやロールにリスク値を与え、ユーザー、組織単位、プロジェクト、全体リスクを自動評価することで、高リスク利用者、過剰権限、リスク集中をほぼリアルタイムに把握できる。
  • リスク情報はマイクロ認定、追加承認、修復ケース、特権の一時付与、ロールマイニングやポリシーマイニングの優先順位付けに使える。
  • 絶対値としてのリスクよりも、時間に伴うリスク傾向を監視することがガバナンス上重要であり、IGA による継続的な自動評価が不可欠だと述べている。

Business Benefits

Business Benefits of Identity Governance and Administration (アイデンティティガバナンスおよび管理の業務効果)

出典: English

  • 小規模組織ではスプレッドシートや各システムの現状管理でも成り立つが、組織、システム、権限、HR 事情が複雑になると手作業では維持できなくなる。
  • ポリシー上のあるべき状態と実際のシステム状態は時間とともに乖離し、監査では各システムからデータを集め、相関し、評価する高コストな作業が必要になる。
  • 手作業のアイデンティティ管理コストは、管理者作業だけでなく、作業停止、ヘルプデスク負荷、市場投入遅延、セキュリティ調査、監査、ライセンス過剰利用に広がる。
  • IDM/IGA は反復的なプロビジョニング、承認、ロール・ABAC/RBAC、監査、レポート、セルフサービスを自動化し、業務プロセスを速く、予測可能にする。
  • 効果として、アクセス付与時間、パスワードリセット時間、ヘルプデスク負荷、監査費用、ライセンス費用の削減と、セキュリティ・市場投入速度の改善が示されている。

Capabilities

IGA Capability: Access Requests (IGA 機能: アクセス申請)

出典: English

  • アクセス申請は、利用者がロールやエンタイトルメントを要求し、承認プロセスを経て自動的に付与される制御された仕組みである。
  • 申請 UI はロールカタログやショッピングカートの考え方で、多数のロールから利用者が理解できる単位を選びやすくする必要がある。
  • 承認は通常、上司、ロールまたはアプリケーション所有者、セキュリティ担当者など複数段階になり、ロールごとに異なる承認スキームやリスクベースの分岐があり得る。
  • 申請・承認の記録は、誰が申請し、誰が承認し、いつ判断したかを残す説明責任の基盤になる。
  • アクセス申請は便利だが、過剰権限を増やしやすいため、アクセス認定やロール工学によって抑制しなければならない。

IGA Capability: Auditing (IGA 機能: 監査)

出典: English

  • 監査機能は、IGA 内のアイデンティティ関連操作やイベントを、検索可能な構造化された業務レベルの記録として保存する。
  • ログが診断目的の非構造データであるのに対し、監査は変更対象、変更内容、結果、実行者、承認など説明責任に必要なデータを記録する。
  • IGA は監査データを記録するだけでなく、基本検索、レポート、ダッシュボード、過去時点の状態再構成、フォレンジック分析を提供する場合がある。
  • 監査データは長期かつ大量になり、一般的なデータウェアハウスではアイデンティティ概念を十分理解できないため、IGA から長期に参照できる設計が重要になる。
  • SIEM やデータ分析基盤との連携も有用だが、アイデンティティ監査データの複雑さに対応する標準は実用上まだ弱い。

IGA Capability: Access Certification (IGA 機能: アクセス認定)

出典: English

  • アクセス認定は、アクセス申請や手作業で増え続ける権限を見直し、不要になった権限を削除するための仕組みである。
  • 大規模な認定キャンペーンでは、多数の利用者・ロール割当を短期間に多くの認定者が判断するため、効率的な UI と作業分配が必要になる。
  • マイクロ認定は、組織変更やリスク上昇など特定イベントを契機に、単一利用者や小範囲のアクセスを見直す方式である。
  • 頻繁な全社キャンペーンは形骸化しやすく、近年はライフサイクルイベントやリスクに基づく小さな認定を活用し、全体キャンペーンの頻度を下げる考え方が推奨されている。
  • 認定負荷はロール設計に大きく依存し、良いビジネスロールと自動割当があれば、申請と認定の必要量を大幅に減らせる。

IGA Capability: Entitlement Management (IGA 機能: エンタイトルメント管理)

出典: English

  • エンタイトルメント管理は、「誰が何にアクセスできるか」を扱い、グループ、権限、ACL、アプリケーションロールなどとアイデンティティの関連を管理する。
  • 主な責務は、エンタイトルメント自体のライフサイクル管理と、アカウントとエンタイトルメントの関連、たとえばグループメンバーシップの管理である。
  • ビジネスロールは「誰が何にアクセスすべきか」というポリシーに近く、低レベルのエンタイトルメントは「誰が実際に何へアクセスできるか」という現実に近い。
  • Fulfillment は属性変更を対象システムへ実行するが、どの属性が関連属性で、どの値がメンバーシップを表すかを理解するのはエンタイトルメント管理の責務と整理されている。

IGA Capability: Fulfillment (IGA 機能: フルフィルメント)

出典: English

  • フルフィルメントは、ポリシーに従ってアカウントや属性を対象システムへ作成・変更・削除する変更伝播の能力である。
  • 実際には単なる書き込みだけでなく、リソース管理、スキーマ検出、通信、エラー処理、状態追跡、手動作業管理などの低レベル機能を含む。
  • 自動フルフィルメントはコネクタやエージェントで実行されるが、対象システムが API を持たない場合には ITSM 連携による手動または半手動フルフィルメントが使われる。
  • 手動フルフィルメントは低コストな場合がある一方、実際に正しく削除・権限剥奪されたかを IGA が確認できないとセキュリティ問題になる。
  • 対象システムの機能差、ネットワーク障害、未対応操作のシミュレーション、リトライなどがあるため、エラー処理はフルフィルメントの重要な部分である。

IGA Capability: Identity Analytics and Reporting (IGA 機能: アイデンティティ分析とレポート)

出典: English

  • アイデンティティ分析とレポートは、アイデンティティデータを集約・可視化し、レポート、ダッシュボード、リスク評価、異常検知、コンプライアンス管理、シミュレーション、ロールマイニングに使う能力である。
  • 中心概念はリスクであり、膨大なアイデンティティデータの中から優先して対処すべき高リスク状況を見つけるために使われる。
  • 高リスク検出は通知、追加承認、マイクロ認定、修復ケース、緊急無効化などのアクションを引き起こせる。
  • 異常検知は、同僚と異なる権限を持つ利用者や、過剰な権限を蓄積した利用者を見つけるために使われる。
  • 分析の品質は入力データの品質に依存するため、対象システムから直接得た信頼できる最新データを持つ強い IGA 基盤が前提になる。

Identity Governance and Administration Capabilities (アイデンティティガバナンスおよび管理の機能)

出典: English

  • この文書は、IGA の機能を評価、ギャップ分析、成熟度モデルなどに使えるよう、構造化された用語と責務で整理している。
  • 主要機能として、ライフサイクル管理、エンタイトルメント管理、フルフィルメント、同期、ポリシー・ロール管理、アクセス申請、ワークフロー、アクセス認定、監査、分析・レポートを挙げている。
  • 各機能は独立して見えるが、実際にはポリシー、ロール、エンタイトルメント、コネクタ、監査、分析などを通じて重なり合う。
  • 市場の IGA 製品は light IGA から full IGA まで能力差が大きく、同じ名称の機能でも実装範囲は大きく異なる。

IGA Capability: Identity Lifecycle Management (IGA 機能: アイデンティティライフサイクル管理)

出典: English

  • アイデンティティライフサイクル管理は、作成、変更、停止、アーカイブ、削除など、デジタルアイデンティティの状態と属性を維持する。
  • lifecycle state model は candidate、active、deprecated、archived などの状態と、onboarding、offboarding、reboarding、休職、退職者復帰などの遷移を扱う。
  • ユーザーだけでなく、契約者、顧客、市民、学生、退職者、コミュニティ、アプリケーション、デバイス、組織単位、パートナー組織、エンタイトルメントなど多様なアイデンティティ型を扱う。
  • 識別子、資格情報、組織構造、persona、自己登録、自己削除、招待、merge/split なども関連し、他の同期・ワークフロー機能との連携が必要になる。

IGA Capability: Policy and Role Management (IGA 機能: ポリシーとロールの管理)

出典: English

  • ポリシーとロール管理は、システムとデータがどうあるべきかを定義する IGA の中心機能であり、組織や規制の複雑さに応じて難しくなる。
  • ロールは権限を名前付きの管理可能な単位にまとめる概念で、ビジネスロール、技術ロール、アプリケーションロールなどの層に分けられる。
  • ロールモデルの維持には、ロール所有者、ロールカタログ、モデル全体のキュレーション、バージョニング、非推奨化、認定が必要になる。
  • SoD、ルールベースの自動割当、承認、検出モードから予防モードへの段階的ポリシー適用、修復ケースの起動などもポリシー管理に含まれる。
  • ABAC のような非ロール方式も強力だが、現実のガバナンスでは責任分担、認定、所有者管理の境界としてロールが有用である。

IGA Capability: Synchronization (IGA 機能: 同期)

出典: English

  • 同期は、接続されたすべてのシステムでアイデンティティデータを一貫した状態に保つ IGA の基盤的能力である。
  • HR などの権威ソースだけでなく、連絡先、組織構造、非人間アイデンティティ、手動管理データなど複数ソースを取り込み、相関・変換・統合する。
  • pull と push のデータフィードにはそれぞれ遅延、削除検出、メッセージ損失、構成複雑性などの限界があり、万能な同期方式は存在しない。
  • 分散システムでは短期的な強整合性が難しいため、eventual consistency と reconciliation を組み合わせて長期的な一貫性を保つ。
  • reconciliation は孤児アカウント、誤った状態、属性値、エンタイトルメントを検出する failsafe であり、ソース側とターゲット側の両方に必要である。

IGA Capability: Identity Workflow Automation (IGA 機能: アイデンティティワークフロー自動化)

出典: English

  • ワークフロー自動化は、ポリシー違反の修復、ケース管理、プロセス管理、エスカレーション、通知など、人間の判断や作業が必要な場面を支える。
  • たとえばプロジェクト管理者が退職して責任者不在になる場合、アクセス停止は実行しつつ、人間が新管理者を決める修復ケースを開始する必要がある。
  • ワークフローには、事前定義された手順を進めるプロセス型と、チケットに近い形で半構造的に解決するケース型がある。
  • 実務ではすべてをプロセス化することは難しく、ケース型が現実の未文書化知識や例外処理に適している場合が多い。
  • ワークフローは便利な受け皿だが、IGA の主目的は人間作業の自動化ではなく、ロールやポリシーを形式化して自動処理できる範囲を広げることだとされている。

Identity Provisioning

Identity Provisioning (アイデンティティプロビジョニング)

出典: English

  • アイデンティティプロビジョニングは、対象システムにユーザーアカウント、グループ、その他オブジェクトを作成・更新・削除する技術的側面を扱う IGA の一部である。
  • HR などの権威ソースから新入社員や異動、退職を検知し、ロールやアカウントを決定して各システムへ反映する。
  • 広い意味では、複数のアイデンティティストアを同期・統合・維持するライフサイクル全体の技術であり、狭い意味ではアカウント作成やエンタイトルメント付与を行う fulfillment を指す。

Provisioning Standards (プロビジョニング標準)

出典: English

  • プロビジョニングインターフェイスは歴史的にアプリケーションごとに異なり、データモデル、操作、細部の違いが統合を難しくしてきた。
  • LDAP/DSML、SPML、SCIM など標準化の試みは何度も行われたが、SCIM 2.0 も厳密な相互運用性を保証する仕様ではなく、粗い枠組みに留まる。
  • SCIM は完全な out-of-box 相互運用性を提供しないが、完全な独自 API よりは共通の発想を与え、個別調整の手間を多少減らす価値はある。
  • 現時点では、IGA プラットフォームのコネクタフレームワークと強力なデータマッピングが、実用的なプロビジョニング相互運用性の中心である。

SCIM Troubles

出典: English

  • SCIM は CRUD ベースのアイデンティティプロビジョニング用 REST サービス仕様だが、普遍的なプロビジョニングインターフェイスを作る難しさを十分に解決していない。
  • ユーザー名、氏名、パスワード、アクティベーション、フィルタ、複数値属性、rename など、実用的な管理に必要な詳細をサービスがどう要求するかを SCIM だけでは表現しきれない。
  • SCIM クライアントは対象サービス固有の仕様を out-of-band で知る必要があり、多くの場合、ある SCIM サービス向けに作ったクライアントは別サービスへそのまま移植できない。
  • SCIM の User/Group スキーマや group members の設計は、大規模グループや既存スキーマとの橋渡しで性能・意味論・忠実度の問題を起こしやすい。
  • それでも SCIM 2.0 は新規 API の出発点としては有用であり、midPoint では SCIM サーバー化ではなく、SCIM 風 API 向けコネクタを低コードで作る方向が述べられている。

IDM Consistency

IDM Consistency (IDM 整合性)

出典: English

  • read-compute-write 型の更新は、複数プロセスが同時に同じ値を変更すると一方の変更が失われる可能性がある。
  • ロックや optimistic locking は密結合システムでは有効だが、承認のような長時間プロセスやネットワーク障害を含む IDM では実用上大きな問題になる。
  • 分散システムでは CAP theorem の制約があり、可用性を犠牲にせず常に強整合性を保つことはできないため、eventual consistency が現実的な方針になる。
  • relative change、つまり追加・削除の delta を扱うことで、既存値を読み取って全体を書き戻す方式を減らし、ロック依存を下げられる。
  • delta だけでは解決できない例外や未通知変更を検出するため、reconciliation が最終的に整合状態へ戻す回復機構として必要になる。

IGA For Dummies

Identity Governance and Administration for Dummies (初心者向けアイデンティティガバナンスおよび管理)

出典: English

  • IGA/IDM は、入社、異動、退職、契約者登録などのライフサイクルで必要なアカウント作成、グループ・権限付与、パスワード管理を自動化する。
  • IDM は HR などの情報源を監視し、変更を取り込み、ルールやロールに基づいて必要なアカウントとエンタイトルメントを計算し、コネクタ経由で対象システムへ反映する。
  • 監査、レポート、承認、通知、セルフサービス、グループや組織構造の管理により、管理者の単純作業を減らし、セキュリティ調査や監査の可視性を高める。
  • IAM 全体では、アイデンティティストアが保管、IDM が統合と同期、アクセス管理が認証・認可・SSO を担当する。
  • 推奨される進め方は、ディレクトリサービス、アプリケーション接続、IDM 導入、現状分析、必要に応じた RBAC、SSO、セルフサービス拡張を段階的に判断することである。

IGA Introduction

Identity Governance and Administration (アイデンティティガバナンスおよび管理)

出典: English

  • IGA は、デジタルアイデンティティを複数システムの断片から統合し、属性、関係、ライフサイクル、ポリシー、業務ルールを管理する。
  • アイデンティティは単なる識別子や属性ではなく、persona、組織・グループとの関係、状態、証明、開示、停止、削除などを含む複雑な概念である。
  • 異なるシステムはユーザー名、メールアドレス、社員番号、UUID、DN など異なる識別子を使うため、統一ビューを作るには相関、共通モデル、同期が必要になる。
  • 文書には作業中の TODO を含む導入説明と、IGA の用語、アーキテクチャ、能力、共通メカニズムに関する既存説明が併存している。

JML

Joiner–mover–leaver process (入社者–異動者–退職者プロセス)

出典: English

  • JML は、joiner、mover、leaver の各段階で、権威ソース、属性、ロール、エンタイトルメント、deprovisioning、監査証跡を扱うアイデンティティライフサイクルである。
  • joiner では初日から働ける正確なプロビジョニング、mover では privilege creep と SoD 違反の防止、leaver では速やかなアクセス失効と法的保持の両立が重要になる。
  • 現実には兼務、長期休職、再雇用、季節雇用、規制上の保持、SoD など、単純な入社・異動・退職では表せない例外が多い。
  • midPoint は権威ソース連携、動的ロール割当、reconciliation、ポリシールール、ライフサイクル状態、再雇用検知、監査レポートで JML を支援する。
  • まとめとして、HRIS などを single source of truth とし、IAM が変更に自動反応し、同期と SoD 検証を継続的に行うべきだと述べている。

RBAC

Role-Based Access Control in IGA (IGA におけるロールベースアクセス制御)

出典: English

  • RBAC は権限をロールにまとめて管理負荷を下げる考え方だが、現代の動的で不規則な組織では静的なロールだけでは十分に機能しない。
  • 実務ではアプリケーションロール、技術ロール、ビジネスロールなどの層を使い、ビジネス概念と IT 権限の距離を管理する。
  • アクセス申請はロール割当の現実的な手段だが、ビジネスロールが未整備なままアプリケーションロールを直接申請させると過剰権限と認定負荷を増やす。
  • 現代的な IGA では、動的ロール割当、割当パラメータ、動的なロール権限を使う policy-driven RBAC が、静的 RBAC の限界と ABAC/PBAC の保守難を橋渡しする。
  • ロール工学は top-down と bottom-up を組み合わせ、重要・高リスクなロールは厳密に、普通のロールは mining で、例外的な小さなものは直接割当として管理する考え方が示されている。

Role Explosion (ロール爆発)

出典: English

  • 従来の静的 RBAC は、システム数や条件軸が増えるとロール数が急増し、千人規模の組織で数千ロールになることがある。
  • 原因には、職務と拠点などの直積、過度な分解、個別例外、ポリシー不在、ロールライフサイクル管理不足がある。
  • ABAC/PBAC は柔軟だが、ポリシーを厳密に知り形式化する必要があり、プロビジョニング時点で使える文脈が限られるという課題がある。
  • 大きめのロールを許容する、ロールに動的なルールやパラメータを持たせる、アクセス申請と認定で例外を管理するなど、複数の仕組みを組み合わせる必要がある。

What Is Identity Governance

What is Identity Governance? (アイデンティティガバナンスとは何か)

出典: English

  • アイデンティティ管理は同期、コネクタ、属性変換など技術寄りの領域であり、アイデンティティガバナンスは業務プロセス、ルール、ポリシー、説明責任、コンプライアンスに近い領域である。
  • 両者はロール、権限、組織構造など同じ概念を共有しており、明確に分離するよりも単一データモデルで統合する方が導入と保守を単純にできる。
  • 文書は RBAC、組織構造、ロールカタログ、申請・承認、監査データ、assignment metadata、deputy、persona、認定、policy rules、SoD、ロールライフサイクル、remediation、compliance、role mining、risk management などを governance の構成要素として説明する。
  • midPoint は、ポリシールールやロール排他、認定、手動コネクタ、ITSM 連携を通じて、技術的なプロビジョニングと業務上の責任・統制を接続する例として扱われている。
  • 情報セキュリティに必要な「誰がどのアカウントに責任を持ち、どの権限を持つか」をスケールして答えるには、アイデンティティ管理だけでなく governance 機能が必要だと述べている。

LDAP

LDAP

出典: English

  • LDAP は中央ディレクトリサーバーのユーザーアカウント管理に広く使われるディレクトリプロトコルである。
  • このセクションは、LDAP の利用、過去、将来に関する文書をまとめる入口として位置付けられている。
  • 本文自体は短い案内であり、詳細は LDAP Is Dead と LDAP Survival Guide に委ねられている。

LDAP Is Dead (LDAP は死んだ)

出典: English

  • LDAP は広く使われているが、仕様と実装の乖離、非標準拡張、独自方言、未解決のアカウント有効化問題などが多く、長年本質的に進化していない。
  • 実務上の LDAP 相互運用性は限定的であり、クライアントはオブジェクトクラス、識別子、グループ方式、属性名、参照機構などをサーバー固有に調整する必要がある。
  • 認証用途は OpenID Connect や適切な認証サーバーへ移るべきであり、LDAP は強認証、セッション管理、現代的なアクセス管理に向いていない。
  • グループや同期・プロビジョニング用途も IGA や SCIM などに置き換わりつつあるが、LDAP は長く残り、徐々に衰退すると見込まれている。
  • 著者は LDAP を嫌っているのではなく、好きだからこそ壊れていて修復されない状態を問題視している、と FAQ で補足している。

LDAP Survival Guide

出典: English

  • LDAP は単純な bind と search だけなら扱いやすいが、グループ、ページング、同期、アイデンティティ管理に使うと、仕様外の慣習や実装差に直面する。
  • LDAP は認証サーバーとして設計されておらず、パスワード bind は中央認証の簡便な方法にすぎないため、可能なら OIDC や SAML を使うべきである。
  • アカウント属性は多値設計、標準的な disable 不在、巨大グループ、memberOf 非標準、空グループ禁止、複数グループ方式など多くの実務上の落とし穴を持つ。
  • 検索、ページング、permissive modify、DN、OID、レプリケーション、同期はいずれもサーバーごとの差が大きく、マーケティング上の LDAPv3 準拠だけでは相互運用性を判断できない。
  • 実務上は LDAP 仕様を知りつつ、必要な場面では仕様より各サーバーの現実に合わせることが生き残るための方針だと述べている。

Myths

AI Will Fix It (AI が解決してくれる)

出典: English

  • AI は組織固有のユーザー、システム、慣行、目標、ポリシーを知らないため、アイデンティティ管理の混乱を自律的に解決することはできない。
  • 誤ったデータや過剰権限を学習させると、過去の誤りを再生産し、問題をさらに固定化する危険がある。
  • ロールマイニングや外れ値検出のような AI 系手法は、パターンや異常の候補を提示する支援ツールとしては有用である。
  • 最終判断には人間の専門知識が必要であり、AI は専門家を置き換えるのではなく、専門家の作業効率を上げるために使うべきだと述べている。

Do-It-Yourself IDM (DIY IDM)

出典: English

  • 単純な一回限りのデータコピーは簡単でも、定期更新、差分比較、パスワード、例外アカウント、エラー処理を含む実運用のプロビジョニングスクリプトは急速に複雑化する。
  • RBAC、動的ロール、パラメータ、時間制約、ポリシーなどを自作すると、維持不能なスパゲッティコードや長年の実装作業につながる。
  • ネットワーク障害、タイムアウト、リトライ、部分失敗を正しく扱わないと、規模が大きくなるほど手作業で回復できない不整合と損害が増える。
  • 100 行を超えるような自作スクリプトになったら、既存の IDM、特にオープンソースの基盤を使うべきだと結論づけている。

Everything in LDAP (すべてを LDAP に入れる)

出典: English

  • LDAP は高性能なディレクトリデータベースであって、完全な IAM ソリューションや認証サービスではない。
  • アプリケーションごとに必要な属性形式、グループ方式、認可モデル、組織構造表現が異なり、単一 LDAP スキーマだけでは現実のデータモデルを表しきれない。
  • 多くのアプリケーションはレポートや内部処理のために利用者データをローカル DB にコピーするため、LDAP に集約してもデータ同期と deprovisioning の問題は残る。
  • 解決策は、LDAP を安価で高性能な統合先として使いつつ、HR/CRM から LDAP と各アプリケーションへの同期・削除をプロビジョニングシステムで管理し、必要に応じてアクセス管理を追加することである。

Identity Solution Deployment Project (アイデンティティソリューション導入プロジェクト)

出典: English

  • アイデンティティソリューションは一度買って設定すれば終わるプロジェクトではなく、組織、責任、ポリシー、攻撃、規制が変わる限り進化し続ける。
  • Identity は開始日はあっても終了日はない長期プログラムとして、反復的に改善し、各段階で価値を増やしていく必要がある。
  • 外部専門家だけでは組織固有の人、ロール、組織単位、ポリシーを理解できないため、導入にはアイデンティティ専門知識と組織内知識の協力が不可欠である。
  • 初期段階の難しさに対して、Evolveum は midPoint の first steps 方法論を提示しており、IGA をアイデンティティプログラムの良い出発点と見なしている。

Identity Management Big Bang (アイデンティティ管理ビッグバン)

出典: English

  • 要件収集、分析、設計、実装、テスト、導入を一度に進めるウォーターフォール型の IAM 導入は、初期の小さな誤りを後工程で大きく増幅する。
  • アイデンティティ管理では要件が曖昧で、データ品質やプロセスの実態も機械で相関するまで見えにくいため、最初から正しい設計を作る可能性は低い。
  • 導入時に初めて現実と接触するビッグバン方式は、遅延、予算超過、受入のための場当たり修正を招きやすい。
  • 解決策は、短い反復ごとに分析、設計、実装、テスト、導入を含め、各反復で理論を実装と現実にぶつけることだと述べている。
  • オープンソース IDM は初期ライセンス費用が小さいため、小さな反復を経済的に進めやすく、リスクを下げられると説明されている。

IGA Is All About Account Synchronization (IGA はアカウント同期だけではない)

出典: English

  • アカウント同期は IGA の基礎だが、現代の IGA は単なる HR から AD への同期エンジンではない。
  • JML は最初の導入ステップとして重要だが、実際のライフサイクルは candidate、休職、退職者、persona、所有関係、グループ・組織メンバーシップなどを含む。
  • IGA は人間のユーザーアカウントだけでなく、サービスアカウント、機械アイデンティティ、ロール、グループ、エンタイトルメント、組織単位、プロジェクトなど多様な概念を扱う。
  • IGA はポリシー管理、アクセス制御の PAP、エンタイトルメント同期、動的 RBAC、所有責任、SoD、レビュー、リスク、コンプライアンスといった governance の領域を含む。

Identity and Access Management Myths (アイデンティティおよびアクセス管理の神話)

出典: English

  • IAM には、一見良さそうに見えるが大きな失敗や高コストにつながる実践、誤解、アンチパターンが多い。
  • このセクションは、IAM の複雑さに由来する行き止まりを文書化し、実装チームが同じ失敗に何年も費やさないようにすることを目的としている。
  • 各 myth は、最初は妥当に見える考えが、実際には問題を生む流れを説明する構成になっている。

Indirect Access to Identity Resources (アイデンティティリソースへの間接アクセス)

出典: English

  • 既存スクリプト、DB ビュー、集約ツールを再利用して IGA から間接的に対象システムへアクセスする方法は、導入を楽に見せるが根本的な問題を残しやすい。
  • 旧来の write-only なプロビジョニングは作成・更新には使えても、全アカウント、属性、エンタイトルメント、孤児アカウント、実状態を読み取って分析する IGA の要求を満たさない。
  • IGA は feedback を必要とし、対象システムから直接または信頼できる形で読み戻すことで、相関、監査、認定、リスク分析、修復を実現する。
  • 既存システムが複雑な場合、すぐ置き換えるより、まず IGA を読み取り専用で直接接続し、現実のデータを学習・分析してから段階的に置き換える方が現実的である。
  • 自動コネクタを作れない場合でも、少なくとも半手動コネクタで対象システムのデータを読み取り、手動作業のフィードバックループを確保すべきである。

Login Roles (ログインロール)

出典: English

  • アプリケーションごとに「login role」や「default role」を作り、基本アカウント属性や未割当アカウント保持を表す慣行は一般的だが、複雑で保守しにくい。
  • midPoint ではデフォルト属性はリソース定義で設定でき、未割当アカウント保持も existence mapping で直接サポートされる。
  • そのため midPoint 導入では login role は不要であり、一般に悪い実践と見なされている。

My Data Are Perfect (私のデータは完璧)

出典: English

  • HR データや組織構造データは、給与に直結する開始日・終了日以外では、誤入力や時間経過による劣化が多く、完全ではない前提で扱うべきである。
  • IGA が氏名、職位、所在地、組織単位に基づいてアカウント名や権限を自動決定すると、入力データの誤りは大規模な誤付与や誤削除につながる。
  • 盲目的に入力データを信頼せず、まず IGA で HR データを取り込み、変換し、現実の対象システムと比較する探索フェーズを置くべきである。
  • データソース修正には時間がかかるため、IGA 側で一時的な上書きやポリシー調整を行い、同時に元データへフィードバックする仕組みが必要になる。
  • シミュレーションや threshold は、新設定や入力データが大量の予期しない変更を起こす前に検知する安全機構として有用である。

Policies Are Easy (ポリシーは簡単)

出典: English

  • subject-action-object や constraint を使う単純なポリシー言語は理論上は扱いやすく見えるが、少し複雑な委任や条件を表すだけで曖昧さが増える。
  • 実務のポリシーは例外、管理者アカウント、プロジェクト、契約者、職務、組織事情を含み、単純な「従業員だけ AD アカウントを持つ」のような規則では表せない。
  • 組織全体のポリシーを機械実行可能な形で保守するには、ソフトウェア開発と同様のツール、テスト、版管理、専門スキルが必要になる。
  • そもそも多くの組織ではポリシーが文書化されておらず、慣習や個別判断に分散しているため、完全なポリシーを最初から書き下すのは非現実的である。
  • 既存のロール割当やグループメンバーシップから policy mining で近似的にポリシーを抽出し、段階的に精錬する方が現実的だと述べている。

RBAC Is Static (RBAC は静的である)

出典: English

  • RBAC が静的だという主張は、2000 年代初期の伝統的 RBAC については正しいが、現代の IGA プラットフォーム全体には当てはまらない。
  • 多くの IGA は、ユーザー属性やポリシーに基づいてロールを自動的に割当・解除する動的 RBAC を備えている。
  • midPoint の policy-driven RBAC のように、ロールが与える権限自体もポリシーや文脈で動的に変えられる。
  • 動的 RBAC は、21 世紀の IGA に適した重要な進化として位置付けられている。

SSO First (SSO から始める)

出典: English

  • SSO はアクセス管理の技術であり、ユーザーセッションを保持し、認証済み情報とアイデンティティデータをアプリケーションへ渡す必要がある。
  • アプリケーションが SSO のプロトコルやエージェントを正しく受け取れない場合、認証方式の置換、プラグイン、改修、専門サービス、ハックが必要になり、統合コストが膨らむ。
  • SSO には統一された利用者データベースと揃った識別子が必要だが、IAM プロジェクト開始時点でそれが完全に整っていることはまれである。
  • 現実的には、難しいアプリケーションで PoC を行い、利用者 DB を評価し、統合対象を絞り、費用対効果を見てから SSO を計画すべきである。
  • 多くの場合、まずディレクトリと IDM で同じパスワード・正しいデータ・プロビジョニングを整えるだけでも SSO に近い効果を低コストで得られる。

Provisioning Interface Abuse (プロビジョニングインターフェイスの濫用)

出典: English

  • IDM のリモートインターフェイスを一般アプリケーションの高頻度な利用者プロファイル参照に使うと、性能、可用性、完全性の問題が起きやすい。
  • プロビジョニングインターフェイスはアイデンティティを管理するためのものであり、大量の単純リクエストを処理する高性能ディレクトリの代替ではない。
  • IDM がローカルに保持する user データだけを慎重に読む用途なら一部成立するが、限界を超えない設計が必要である。
  • より適切な構成は、IDM が複雑な同期・変換を行い、アプリケーション向けには LDAP などのディレクトリサービスへ事前処理済みデータを公開することである。
  • 認証、セッション、認可まで含める場合は、さらにアクセス管理を組み合わせることで、各技術の役割に沿った構成になる。

Universal Provisioning Interface (汎用プロビジョニングインターフェイス)

出典: English

  • ESB、メッセージング、マイクロサービスなどで万能のユーザー管理サービスを作る発想は、IDM がデータ中心の問題であることを見落としている。
  • CRUD 操作名は簡単に共通化できても、属性名、型、識別子生成、必須項目、rename、日付や文字列比較、アプリケーション固有の意味論は統一できない。
  • インターフェイス定義だけでは動かず、各アプリケーションで実装・テスト・エラー処理が必要になり、総コストと保守負荷はむしろ増える。
  • 分散環境ではタイムアウト、リトライ、部分成功、整合性問題が必ず起きるが、SOA/ESB はデータ整合性を理解していないため、プロビジョニングには脆い。
  • 解決策は、統一インターフェイスの背後に実装を持つプロビジョニングシステムを置き、コネクタをデータアクセスドライバとして使い、マッピング、整合性、監査、ポリシーを IDM 側で扱うことである。