連載
» 2024年01月12日 05時00分 公開

アクセス管理プラットフォームを評価するための5つの質問Gartner Insights Pickup(333)

企業は、従来のアクセス管理ソフトウェアよりも堅牢(けんろう)で機能豊富なソリューションを求めている。本稿では、アクセス管理プラットフォームを評価する方法を紹介する。

[Philip Booth, Gartner]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

ガートナーの米国本社発のオフィシャルサイト「Insights」などのグローバルコンテンツから、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

適切なアクセス管理ソリューションを選択し、脅威を防ぐ

 企業は、従来のアクセス管理ソフトウェアよりも堅牢(けんろう)で機能豊富なアクセス管理ソリューションを求めている。現在の環境下で多くの企業では、アイデンティティー脅威検知/対応(ITDR)、アイデンティティーアクセス管理(IAM)の統合、レジリエンス(回復力)の優先順位が高まっている。

アクセス管理プラットフォームを評価するのに役立つ5つの質問

(出所:Gartner)

1.なぜ今、アクセス管理ソフトウェアを購入するのか

  • 企業はサイバー脅威の増大と経済的制約に直面し、強力で費用対効果の高いアクセス管理プラットフォームがIAM戦略を支え、ますます重要になっていることを認識しつつある
  • アクセス管理プラットフォームは、SAML(Security Assertion Markup Language)、OAuth(Open Authorization)、その他のIDプロトコルをサポートしており、ゼロトラストアプローチに欠かせない
  • 現在、アクセス管理ツールを使用している企業は20%に満たない。アクセス管理をいち早く導入することで、未導入の競合他社に差をつけられる

 Gartnerは、2026年までに企業の10社に9社が、アイデンティティー攻撃に対する防御の第一線として、アクセス管理ソフトウェアに組み込まれたアイデンティティー脅威検知/対応(ITDR)機能を使用するようになると予測している。

2.どんなトレンドがアクセス管理プラットフォーム市場に影響を与えているか

  • アクセス管理ツールは、隣接するIAM機能、特にアイデンティティーガバナンス/管理(IGA)機能の追加が進められている。統合プラットフォームとしての地位強化が狙いだ
  • 社内アクセス管理のユースケースが普及し、一般化する中、アクセス管理ベンダーの成長の大部分は、社外からのアクセスを管理するユースケース、特にB2C(企業/消費者間取引)、B2B(企業間取引)、G2C(政府の市民サービス)における顧客要件への対応から生まれている
  • 認証と認可のフローをオーケストレーションする、より効率的なローコード/ノーコードアプローチへの関心が高まっている。そのため、この機能を追加するベンダーが増えている

3.アクセス管理ソフトウェアに必須の機能は何か

・ディレクトリサービス

 SCIM(System for Cross-Domain Identity Management)を利用して、社内外のIDを管理し、ディレクトリとIDの同期サービスを提供する。

・社内アクセス管理

 アプリケーション起動パッドを提供し、社内IDの基本的なライフサイクル管理とユーザー管理をする。

・認可とアダプティブアクセス

 認可を決定、実施するとともに、ポリシーを作成し、保存データとコンテキストデータを用いてリスクを評価し、アクセスの決定を動的に行う。

4.セキュリティとリスク管理のリーダーが留意すべき主要課題は何か

  • アクセス管理の取り組みは、さまざまなステークホルダーが多様な社外/社内ユーザーについての目標を持って進めることが多い。ある特定の層の意向に偏った取り組みは、別の層に拡張すると、コストが高くついたり、必要な機能がなかったりする可能性がある
  • アクセス管理の機能は拡充が進んでおり、ユーザー認証、アイデンティティーガバナンス/管理(IGA)、APIセキュリティなど、隣接するIAMやセキュリティの分野との重複や融合が見られる。そのため、自社のアクセス管理に関連するIAMのビジネス要件とユースケースのマッピングが複雑化している
  • RFPプロセスにおけるベンダーの絞り込みも複雑になっている。ベンダーの数が非常に多く、ベンダーによって、提供する機能の数や種類が異なるからだ

5.セキュリティとリスク管理のリーダーは、評価プロセスをどのように支援すべきか

  • 社内外のユースケースに不可欠なツールの機能を評価し、シングルベンダー戦略を後押しする
  • SaaS(Software-as-a-Service)で提供されるアクセス管理ツールについて、隣接のIAM機能の統合に関するロードマップを注意深く評価する
  • サービスの中断を最小限に抑えられるように、レジリエンスと継続性に定評のあるアクセス管理ツールを選ぶようにする

背景

 Gartnerのシニア ディレクター アナリストのエンリケ・テシェイラ(Henrique Teixeira)氏はこう話す。

 「アクセス管理は組織のIAM戦略を支え、ますます重要になっており、今や攻撃者の最大の標的となっている。現代の脅威と経済的制約を考慮すると、レジリエンスと費用対効果の高いアクセス管理が必要になる。アイデンティティー脅威検知/対応(ITDR)、IAMの統合、レジリエンスは今後、重要性が高まる一方だろう」

同僚に伝えるべき3つのこと

  1. IAM戦略を効果的に実行するには、堅牢なアクセス管理ソリューションが欠かせない
  2. アクセス管理プラットフォームは、社内のさまざまなグループを満足させる必要がある。グループによって、社外ユーザーと社内ユーザーの目標が異なる場合も含めてだ
  3. ディレクトリサービス、社内アクセス管理と社外からのアクセスの管理、認可とアダプティブアクセス、SSO(シングルサインオン)とセッション管理、ユーザー認証は、アクセス管理ソフトウェアに必須の機能だ

要約

  • さまざまなステークホルダーのそれぞれ異なる目標を考慮する
  • レジリエンス(回復力)を持ち、継続性を提供する技術を選ぶようにする

出典:How to Evaluate an Access Management Platform(Insights)

筆者 Philip Booth

Senior Writer/Editor at Gartner


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。