Skip to content

Dead Ends in Identity Management

Radovan Semančík
IS2 2025

Radovan Semančík はブラチスラバのスロバキア工科大学でソフトウェア工学を学び、同大学で PhD も取得した。Evolveum でソフトウェアアーキテクトとして働いており、同社の創業者の一人でもある。主な関心分野はデジタルアイデンティティとソフトウェアシステムアーキテクチャである。2000 年頃から、数多くのエンタープライズ向けアイデンティティ管理(IDM、IGA)の実装に携わってきた。オープンソースプロジェクトへの積極的なコントリビューターでもあり、大規模な国際ソフトウェアプロジェクトにも参加している。現在は、利用可能な最大級のオープンソースのアイデンティティ管理システムである midPoint プロジェクトのリードに多くの時間を割いている。また、Apache Foundation でも committer および Project Management Committee のメンバーとして貢献してきた。

アイデンティティおよびアクセス管理(IAM)は、あらゆる本格的なサイバーセキュリティソリューションの中核である。アイデンティティ管理の機能は、ほとんどすべてのサイバーセキュリティ規制や標準で言及されている。それにもかかわらず、サイバーセキュリティプロジェクトにおける IAM コンポーネントは過小評価されることが多く、しばしば誤用されている。

本稿では、アイデンティティガバナンスおよび管理(IGA)の導入プロジェクトで繰り返し生じる問題を扱う。以下のような悪い実践の典型例をいくつか示す。

  • IAM コンポーネントの不適切な組み合わせ
  • 誤った入力データへの依存
  • 実装ステップの順序の誤り
  • ロールベースアクセス制御(RBAC)における頻発する問題
  • ポリシー管理、ロールおよびアプリケーションのオーナーシップに関する問題
  • 認証・レビュー手続きの誤用
  • 人工知能の利点に対する非現実的な期待

それぞれの行き止まりのシナリオについて、持続可能なアイデンティティ管理戦略につながる正しいアプローチも示す。本稿は、組織の現状を尊重しつつ、ボトムアップの方法論に基づく IAM 導入のインクリメンタルかつ反復的なアプローチを提示する。

適切に管理されたアイデンティティガバナンスは短距離走ではなく、長期的な取り組みである。このアプローチにより、組織内でのアイデンティティ管理を段階的に導入し、継続的に改善していくことが可能になる。

本稿では、AI 駆動のロールマイニングアルゴリズムによるロール分析を取り入れた RBAC モデルの動的適用(policy-driven RBAC)を紹介し、長期的に持続可能なアクセスポリシー管理を可能にする。最後に、高水準のポリシーサポートと AI 駆動機能を備えた IGA プラットフォームが、サイバーセキュリティ、規制遵守、業界標準への適合のための強固な基盤となり得ることを示す。

1. Introduction

アイデンティティおよびアクセス管理(IAM)は、あらゆるまともなサイバーセキュリティソリューションの中核である。アイデンティティ管理の機能は、サイバーセキュリティ規制 [1] や標準 [2] で言及されている。アイデンティティはサイバーセキュリティの中心的概念であるため、堅固な IAM の基盤なしに、大規模な環境で満足のいく水準のサイバーセキュリティを実現することはほとんど不可能である。それにもかかわらず、サイバーセキュリティプロジェクトでは IAM コンポーネントがしばしば軽視され、誤用されている。サイバーセキュリティソリューションは通常、認証には対処するが、アイデンティティ全体の管理とガバナンスは軽視されている。たとえアイデンティティ管理とガバナンスが扱われていても、適切に行われていないことが多い。アイデンティティ管理とガバナンスのソリューションは、20 年以上前の時点ですでに悪い実践と見なされていた重大な誤りやアンチパターンを繰り返すことが多い。こうした悪い実践が今日でも驚くほど一般的であるため、本稿では、アイデンティティソリューションの最も一般的な側面のうち、しばしば単純で理解しやすい一方で、完全に誤っているものをいくつか取り上げる。

2. Identity Management and Governance

アイデンティティ技術の用語は、分かりにくく直感に反することがある。おそらく、エンジニアが最初に思い浮かべるアイデンティティ関連の概念は認証だろう。認証と、より広い概念であるアクセス管理は、確かに最も目に見える部分ではあるが、アイデンティティ基盤全体のごく一部にすぎない。アイデンティティ管理とガバナンスを実装する基盤コンポーネントは、表からは見えにくいところに隠れている。

アイデンティティ管理とガバナンスは、アイデンティティの「バックエンド」を担う。主に、アイデンティティのインベントリ、ライフサイクル、アクセス制御ポリシー、とりわけアイデンティティに関するビジネス志向の高水準ポリシーに関心を持つ。アクセス管理が主に「ユーザーはここにアクセスできるか?」という問いに関心を持つのに対し、アイデンティティ管理とガバナンスの主な問いは「なぜそのユーザーはここにアクセスできるのか?」および「その責任を負うのは誰か?」である。特にアイデンティティガバナンスは、インベントリ化、オーナーシップ、責任に関心を持つ。アイデンティティ管理とガバナンスは、しばしば Identity Governance and Administration(IGA)と呼ばれる。

アイデンティティ管理とガバナンスは、大規模なサイバーセキュリティに絶対に不可欠である。サイバーセキュリティはすべてユーザーに関わるものであり、その行動、権限、生み出す価値、そしてもたらすリスクに関わる。ユーザーを制御できない状態では、他のサイバーセキュリティ制御はほとんど意味を失ってしまう。

3. Dead Ends

アイデンティティガバナンスは決して容易ではない。複雑で、直感に反する側面が多く、そしてデータ品質の低さに深刻に悩まされている。さらに、アイデンティティガバナンスはしばしば軽視されるか、誤って実装されるため、この問題はいっそう増幅される。可視性は非常に限られており、その結果、実際にはそうでないのに、アイデンティティソリューションが正しく動いているように見えることがある。

以下の節では、アイデンティティ管理とガバナンスにおける一般的な落とし穴を説明する。記述は、数十年にわたるアイデンティティ管理の経験に基づいている。また、オープンソースのアイデンティティガバナンスプラットフォームである midPoint [3] の設計、開発、導入の経験によっても補強されている。

3.1 First Steps In Identity

あらゆる取り組みにおいて最悪の問題は、最初の段階で生み出されがちである。アイデンティティも例外ではない。最悪の誤りは通常、ソリューションがまだ大まかなアイデアの段階にある、ごく初期のフェーズで起きる。サイバーセキュリティの専門家は、アイデンティティプロジェクトをサイバーセキュリティの観点から見る傾向があり、通常はエンドユーザーのサイバーセキュリティ要件から出発する。多要素認証は、しばしばアイデンティティソリューションの最初のコンポーネントとなる。これは完全に間違った側からの出発である。適切に管理されていないアイデンティティに対して強力な認証を実装しても、ほとんど意味がない。

アイデンティティは後付けで扱うことはできない。アイデンティティは利用される前に管理されていなければならない。最も強力な認証、認可、暗号技術を用いていたとしても、管理されていないアイデンティティは重大なリスクをもたらす。アイデンティティ管理は、最初からアイデンティティソリューションの基礎部分でなければならない。

アイデンティティ管理は、最低限として、アイデンティティのインベントリ化、オーナーシップ、ライフサイクルに注力すべきである。たとえば、権威あるソース(人事データベースなど)との自動同期、アカウントとその所有者(ユーザー)とのひも付け、孤立アカウントの検出、アイデンティティの自動無効化(例: 退職者ユーザー)などである。

推奨事項: アイデンティティ管理の取り組みは早期に開始すること。認証やアクセス管理よりも優先すること。初期段階のアイデンティティ管理ソリューションは非常に「軽量」であってもよいが、それでも必要である。

3.2 My Data Are Perfect

アイデンティティ管理はデータの上に成り立っている。データが正しい限り、素晴らしいことを実現できる。しかし、データが誤っていると完全な災害になる。アイデンティティ管理とガバナンスは、自動化とポリシーに大きく依存しており、それらはアイデンティティデータに依拠している。アイデンティティデータが誤っていると、ポリシーは誤った判断を下すことになる。正当に存在するアカウントが無効化されたり、存在すべきでないアカウントが再有効化されたり、誤った権限が適用されたり、本物のアラームが黙殺される一方で誤検知のアラームが増殖したりする。ポリシーの正確性と効率性はデータに依存している。

アイデンティティデータはサイバーセキュリティに不可欠であるにもかかわらず、その品質は通常かなり低い。この一見直感に反する状況も、説明は容易である。あらゆる種類のデータ品質は、そのデータが能動的に検証されるまでは低くなりがちである。しかし、アイデンティティ管理システムが導入されるまでは、アイデンティティデータを検証する実用的な方法も動機も存在しない。そのため、アイデンティティデータは孤立したデータベースの中で静かに「腐って」いく。

アイデンティティ管理システムは、この状況を劇的に変える。人事(HR)データベース、中央アイデンティティリポジトリ(Active Directory、Entra、LDAP など)、アプリケーションのユーザーデータベースなど、複数のデータベースにあるアイデンティティデータを同期・比較する。不整合なデータが検出され、孤立アカウントが発見され、データが修正される。

データの同期、照合、クリーンアップは、すべてのアイデンティティ管理プログラムにおける不可欠なステップである。しかし、それは決して簡単なステップではない。アイデンティティデータのオーナーは、ほとんどの場合、データ品質を大幅に過大評価している。さらに直感に反することに、個々のアイデンティティ属性の品質は大きく異なる。たとえば、人事データベースにおける入社日・退職日(その人が採用された日、または離職した日)の品質は、給与処理に使われるため通常かなり高い。しかし、人事データベース内の組織所属、職務コード、勤務地データの品質は通常低い。これらのデータは主に情報用途であり、維持するインセンティブがほとんどないからである。

アイデンティティデータの品質は、アイデンティティ管理の取り組みを始める前には通常分からない。実際のデータ品質が明らかになるのは、アイデンティティデータベース間でデータが比較されたときだけであり、それはしばしば関係者全員にとって不快な驚きとなる。したがって、初期のアイデンティティデータクリーンアップのステップは、通常、予想以上に長くかかる。しかし、データクリーンアップは絶対に必要である。未管理のデータにポリシーを適用することは、特にポリシーベースアクセス制御システム(ABAC/PBAC)にとって致命的になり得る。

推奨事項: アイデンティティ管理の取り組みの早い段階で、データを同期し、照合し、比較し、クリーンアップすること。少なくとも、主要データソース(たとえば HR データベース)と最も広く使われているアプリケーション(たとえば Active Directory/Entra)を比較・照合すること。明白な誤り(孤立アカウントなど)を検出して削除すること。データ品質が確立されるまでは、自動化されたアクセス制御ポリシーを適用しないこと。

3.3 Identity Project

サイバーセキュリティと同様に、アイデンティティ管理はプロジェクトではない。継続的なプログラムである。始まりはあるが、終わりはない。アイデンティティ管理とガバナンスは、絶え間ない保守と改善を必要とする。環境が変化すれば、ソリューションも適応しなければならない。ポリシーは組織変更を反映するよう更新され、新しいアプリケーションが接続され、ポリシー例外が見直され、新たな規制遵守要件が適用される必要がある。取り組みは終わらない。

アイデンティティ管理が継続的な性質を持つことは、重要な組織的制約である。アイデンティティ管理をプロジェクトの形で扱おうとすると、しばしば失敗につながる。最悪の災害は、「ビッグバン」型プロジェクトによって生み出されがちである。すなわち、固定された期間・固定されたスコープの中で、アイデンティティ管理を一気に実装しようとする試みである。アイデンティティソリューションは購入できるものではない。構築しなければならず、組織とともに有機的に成長させなければならない。

アイデンティティ管理を導入する最善の方法は、多数の小さなステップで反復的かつ漸進的に進めることである。たとえば、まず主要データソース(HR データベース)を接続し、データを分析する。次に、一般的なアプリケーション(Active Directory/Entra)を接続し、データを比較してクリーンアップする。この時点で、ソリューションは可視化のために利用できる。次のステップでは、基本的なアイデンティティライフサイクルの自動化を適用する。その次のステップでは、基本的なアクセス制御ポリシー、あるいはアクセス要求プロセスを適用することもできる。さらに次のステップでは、新しいアプリケーションをシステムに接続できる。以後も同様である。具体的なステップは組織ごとに異なる。しかし、それぞれの小さなステップは、具体的な価値を提供する機能的かつ実用的なソリューションをもたらすべきである。

推奨事項: 小さく始めること。小さな増分で進め、それぞれのステップで前のステップを改善すること。持続可能なペースを設定すること。理想的にはサイバーセキュリティプログラムと整合した、継続的なアイデンティティプログラムを立ち上げること。

3.4 Access Control

アクセス制御はサイバーセキュリティのまさに中核にある。これまで長年にわたり、多数のアクセス制御モデルが提案されてきた。特に近年人気を集めているのが、属性ベースアクセス制御(ABAC)とポリシーベースアクセス制御(PBAC)である。どちらのモデルも、コードまたは精密なルール群の形で表現されたアルゴリズム的ポリシーという原則に基づいている。このアプローチは「policy-as-code」として知られている。これは単純で効率的であることを意図している。しかし、アクセス制御をアルゴリズム的ポリシーの形で容易に表現できるという前提は、見た目以上に大胆である。

いかなる種類のコードを書くことも、コードが扱わなければならないすべての可能性やコーナーケースを考えると、驚くほど難しい作業である。そこには特定のスキルと適切なツールが必要である。いったんコードが書かれた後も、それを保守しなければならず、これはさらに難しい作業である。ポリシー例外(「特別ケース」とも呼ばれる)、一時的措置や回避策(「ハック」とも呼ばれる)が発生する可能性が高い。コードは短期間のうちに読みにくくなり、その結果として保守不能になる可能性が高い。

しかし、大規模においてポリシーベースアクセス制御モデルの適用を妨げる、驚くべき側面が一つある。大規模組織では、そもそも誰もそのポリシーが何であるか、あるいはどのような姿であるべきかを本当には分かっていないのである。全体的なポリシーに関する知識は多くの人々の間に分散しており、その理解は一貫せず、しばしば矛盾している。書かれていないルールや確立された慣行が大量に存在し、判断は特定のルールに基づくのではなく、「よさそうに見えるかどうか」によって行われることが多い。このような「ポリシー」をアルゴリズム的手段で表現することは理論上は可能かもしれないが、実際上の実現可能性は通常ほぼゼロに近い。

推奨事項: ABAC や PBAC モデルは、適切な条件下では確かに非常に単純かつ効率的になり得る。これらのモデルは、ポリシーが既知で、決定論的で、かつ比較的安定している限り、極めてうまく機能する。しかし、利用には注意が必要である。組織全体にわたるアクセス制御とガバナンスに適用するのは、実現不可能である可能性が高い。

宣言的メカニズムとアルゴリズム的メカニズムを混在させるアクセス制御モデルのほうが、複雑なポリシーの管理にははるかに適している。よく知られたロールベースアクセス制御(RBAC)モデルの動的バリエーションが、この目的で成功裏に使われてきた。従来の RBAC モデル [4] は完全に静的である一方で、その動的バリアントは 20 年以上にわたりアイデンティティ管理プラットフォームで利用されてきた。動的 RBAC モデルは、ロールの宣言的定義と、ロールの自動割当・自動解除、およびロールによって付与される権限群を制御する動的ルールを組み合わせ、policy-driven RBAC モデルを形成する。

このようなハイブリッドなアクセス制御モデルは、ポリシーベースアクセスと宣言的アクセス(「standing privilege」とも呼ばれる)の両方を制御できる。ポリシーベースのメカニズムはポリシーが既知のケースに使われ、宣言的な部分はポリシーが明示されていないケースに使われる。さらに、これらのモデルは両メカニズムの共存、さらには一方から他方への移行さえ可能にする。たとえば、ポリシーコードを複雑化させることなく、ポリシー例外を透過的に管理できる。

さらに重要なのは、このハイブリッドメカニズムが、ポリシー管理へのボトムアップアプローチを可能にしたことである。ポリシーが明示的には分かっていない場合でも、既存の権限割当の中に暗黙的に表現されていることが多い。既存の権限割当を分析してパターンを検出し、それを動的ポリシーの指定に利用できる。たとえば、ロールマイニングはこのアプローチの単純なバリエーションである。このアプローチにより、下位(権限)から上位(ロール、属性、ロケーション、プロジェクト、組織)へと進みながら、徐々にポリシーを構築していくことができる。このプロセスは反復的かつ漸進的に進めることができ、継続的なアイデンティティおよびサイバーセキュリティプログラムと整合する。

推奨事項: 動的な policy-driven RBAC のようなハイブリッドアクセス制御モデルを用いて、ポリシーのアルゴリズム的な部分とアドホックな部分の両方を捉えること。アクセス制御とポリシー管理にはボトムアップアプローチを採用し、管理可能な反復ステップで進めること。

3.5 Identity Governance

アイデンティティ管理は、しばしばユーザーアイデンティティデータとアクセス制御ポリシーの管理へと矮小化される。しかし、すべてのデータとポリシーは絶え間ない保守を必要とし、そうでなければ劣化して機能しなくなる。保守は複雑な手続きやプロセスを実装することで担保できる。しかし、最良のプロセスであっても、保守に責任を負う適切な人物がいなければうまく機能しない。責任こそがガバナンスの核心である。

責任への道はインベントリから始まる。アプリケーション、権限項目(グループ、ロール、権限)、ポリシーのインベントリは最低限必要である。何かが存在していることを把握していなければ、それが適切に管理されていることを保証することはできない。次のステップは、すべてに保守責任を負うオーナーがいることを確認することである。すべてのアプリケーション、グループ、ロール、ポリシーにはオーナーが必要である。オーナーが自分の責任範囲を定期的に見直す機会を確保しなければならない。

推奨事項: すべてのアプリケーション、ロール、権限、ポリシーにオーナーを割り当てること。インベントリを維持すること。オーナーのいないオブジェクトを自動的に検出し、再割当すること。

レビューキャンペーン(アクセスレビュー、certification、attestation とも呼ばれる)は、アクセス制御が維持されていることを確認するための主要なメカニズムとしてよく用いられる。通常のやり方は、すべてのロールと権限の割当を年次ベースでレビュー(認証)することである。しかし、この実践は非常に時間がかかり、きわめて非効率である。レビューすべき項目が膨大に生み出され、それらはしばしば、その特定の権限が何を意味するのかまったく分かっていないレビュー担当者に割り当てられる。その結果、「rubber-stamping」という実践に陥る。すなわち、レビュー担当者はすべてのアクセスを承認してしまい、何かを削除することを恐れるか、あるいはレビュー項目の膨大さに圧倒されてしまうのである。この実践は、残念なことに今なお規制準拠と見なされていることがあるが、通常はアクセスの大幅な削減にはつながらない。大量一括のアクセスレビューは、たいてい単なるセキュリティ劇場にすぎない。

アクセスレビューには少なくとも二つの改善が必要である。第一に、焦点を絞る必要がある。すべてをレビューするのではなく、最も大きなリスクをもたらす領域、すなわち特権アクセス、機微データを処理するアプリケーションへのアクセス、多数の権限を持つユーザー、最近職務変更したユーザーのアクセスなどを選定する。第二に、レビュー担当者が十分な情報に基づいて判断できるよう支援が必要である。各レビュー項目について追加のガイダンスを提供すること。それは特権アクセスなのか。アプリケーションはどれだけ機微なのか(分類)。これは外れ値的(一般的でない)アクセスなのか。レビュー量の削減と追加情報の提供を組み合わせることで、より良い判断につながる。

推奨事項: レビューを効率化するには、キャンペーンを絞り込み、リスクベースアプローチを採用し、micro-certifications を活用すること。レビュー担当者に対して、AI ベースの推奨(たとえば外れ値)を含む関連情報を提供して支援すること。

3.6 Artificial Intelligence

人工知能(AI)は、大衆文化の中であらゆる問題への解決策として描かれている。アイデンティティ管理とガバナンスもこの流れの例外ではない。特に AI は、アイデンティティ関連の問題の圧倒的な複雑さに対する解決策として提示されることが多く、その複雑さは人材や専門知識の深刻な不足によってさらに増幅されている。期待は非常に大きい。

しかし、AI は、それが扱うデータの質に見合う程度にしか有用ではない。どの組織も固有である。汎用的な生成 AI モデルは、あなたの特定状況について画期的な洞察を与えられるような事前知識を持っていない。AI エンジンが扱えるのは、あなたがすでに持っているデータだけである。しかし、データ品質が低ければ、AI による洞察の質もまた低くなる可能性が高い。

それでも、うまく活用できる機械学習技術のクラスは存在する。これらの技術は、類似性、パターン、差異を探す。そうしたアルゴリズムは、ロールマイニングや外れ値検出メカニズムにおいて成功裏に用いられている。これらのメカニズムは、人間のユーザーを支援するためのものである。最終判断を下すには依然として人間の専門知識が必要である。しかし、AI による支援は、より良い判断をより速く行うための追加情報を提供できる。

推奨事項: ロールマイニングや外れ値検出のような、機械学習に基づく実証済みの手法を使うこと。レビューや承認に対する AI ベースの支援は、推奨の説明可能性がある限り非常に有用になり得る。過剰に宣伝された AI マーケティング上の約束は避けること。

4. Conclusion

アイデンティティ管理とガバナンスは、正しく使えば大きな価値をもたらし得る。これは、リスク管理、可視化の提供、規制遵守の維持に不可欠なツールである。しかし、アイデンティティ分野に内在する複雑さは、混乱、誤解、神話を生み出す温床でもある。結果として生じるアンチパターンや悪い実践は、アイデンティティツールの誤った非効率な利用を招き、プロジェクトを高コストな行き止まりへと導く。

本稿では、アイデンティティ管理とガバナンスにおける一般的な落とし穴をいくつか説明し、これらの誤りが繰り返されないことを願っている。しかし、技術の利用が進化するにつれて、新たな落とし穴が現れ、新たな神話が生まれる。したがって、アイデンティティの神話 [5] を記録する取り組みは、予見可能な将来に終わることはなさそうである。

本稿で述べたそれぞれの行き止まりには、より良い実践への推奨事項を添えた。しかし、その中でも他のすべてより重要な推奨が一つある。それは、反復的アプローチの推奨である。小さく始め、段階を踏んで進み、その過程で学ぶこと。これが、既知の行き止まりだけでなく未知の行き止まりも含めて、アイデンティティ管理とガバナンスの行き止まりを避けるための最善の方法である。

References

[1] 2022 年 12 月 14 日付 欧州議会および理事会の Directive (EU) 2022/2555、EU 全体で高い共通水準のサイバーセキュリティを確保するための措置に関するもの(NIS 2 Directive)、前文 89、2022 年。

[2] ISO/IEC 27001:2022, Information security, cybersecurity and privacy protection — Information security management systems — Requirements, controls 5.15, 5.16, 5.17, 5.18, 2022.

[3] MidPoint documentation, Evolveum documentation site,

https://docs.evolveum.com/midpoint/, maintained 2011-2025, retrieved 2025.

[4] INCITS 359-2012, Information Technology - Role-Based Access Control, InterNational Committee for Information Technology Standards, 2012

[5] Identity and Access Management Myths, Evolveum documentation site,

https://docs.evolveum.com/iam/myths/, maintained 2014-2025, retrieved 2025.