- はじめに:「あなたは誰?」セキュリティの全ての起点となるIAM
- IAMの基本プロセス:「識別」「認証」「認可」「アカウンタビリティ」
- 最重要知識①:認証の強さを決める「3つの要素」と「多要素認証」
- 最重要知識②:誰に何を見せるか?「アクセス制御モデル」
- 最重要知識③:ID連携を実現する「フェデレーション技術」
- CISSP 8ドメイン解説シリーズ
- まとめ:IAMを制する者が、現代のセキュリティを制す
はじめに:「あなたは誰?」セキュリティの全ての起点となるIAM
「適切な人に、適切な権限を、適切なタイミングで付与し、そして不要になったら剥奪する」 この当たり前のようで非常に難しい課題に、組織的に取り組むのが「ドメイン5:アイデンティティとアクセスの管理(IAM:Identity and Access Management)」です。
パスワードリスト攻撃、内部不正による情報漏洩など、多くのセキュリティインシデントは、このIAMの不備を突かれて発生します。ゼロトラストセキュリティの概念が主流となる現代において、IAMは全てのセキュリティ対策の起点であり、最も重要なドメインの一つと言っても過言ではありません。
こんにちは。CISSP保有者で、企業のセキュリティ担当を務める城咲子です。この記事では、CISSP合格の鍵となるIAMの重要概念を、初心者にも分かりやすく、かつ試験で問われるポイントに絞って徹底解説します。
IAMの基本プロセス:「識別」「認証」「認可」「アカウンタビリティ」
まず、IAMを構成する4つの基本プロセス(AAAとも呼ばれる)を理解しましょう。
- 識別 (Identification): ユーザーが「私は〇〇です」と名乗ること。ユーザー名やIDの入力がこれにあたります。
- 認証 (Authentication): 名乗ったユーザーが本当に本人であるかを確認するプロセス。IAMの中核をなす部分です。
- 認可 (Authorization): 認証されたユーザーに対して、何をして良いか(アクセス権)を許可するプロセス。
- アカウンタビリティ (Accountability): ユーザーが行った操作のログを取得し、誰が、いつ、何をしたかを追跡可能にすること。監査証跡とも呼ばれます。
CISSPでは、この4つのプロセスが具体的にどのような技術で実現されているかを問われます。
最重要知識①:認証の強さを決める「3つの要素」と「多要素認証」
認証は、以下の3種類の要素を組み合わせて強度を高めます。
- 知識要素 (Something you know): パスワード、PINコードなど、本人が知っている情報。
- 所有要素 (Something you have): スマートフォン、ハードウェアトークン、ICカードなど、本人が持っているモノ。
- 生体要素 (Something you are): 指紋、顔、虹彩など、本人の身体的特徴。
多要素認証(MFA)とは、これら3種類のうち、2つ以上の異なる種類の要素を組み合わせて認証を行うことです。「パスワード」と「PINコード」の組み合わせは、どちらも知識要素のため、多要素認証にはなりません。この違いは試験で頻出します。
最重要知識②:誰に何を見せるか?「アクセス制御モデル」
認可をどのようなルールで行うかを定めたのが、アクセス制御モデルです。CISSPでは、主に4つのモデルの違いを理解する必要があります。
| モデル名 | 制御の主体 | 特徴 | 主な用途 |
|---|---|---|---|
| DAC (任意アクセス制御) | データ所有者 | 所有者が自由にアクセス権を設定できる。柔軟性が高いが、管理が煩雑になりやすい。 | 一般的なOS(Windows, Linuxなど) |
| MAC (強制アクセス制御) | 管理者(システム) | ラベルとクリアランスレベルに基づき、システムが強制的にアクセスを制御する。非常に厳格。 | 軍事・政府機関 |
| RBAC (ロールベース) | 管理者 | ユーザーを「ロール(役割)」に割り当て、ロールに対して権限を付与する。最も広く利用されている。 | 一般企業、Webアプリケーション |
| ABAC (属性ベース) | 管理者(ポリシー) | ユーザーの属性、リソースの属性、環境などを基に、ポリシーエンジンが動的にアクセスを判断する。 | ゼロトラスト、IoT環境 |
CISSPマインドセット: どのモデルが最も優れているか、ではなく「どのような組織や状況に、どのモデルが最も適しているか」を判断できることが重要です。
▼IAMの実務経験
IAMの概念は、実務と結びつけることで理解が深まります。どのような業務がCISSPの実務経験として認められるのか、以下の記事で詳しく解説しています。
最重要知識③:ID連携を実現する「フェデレーション技術」
複数の異なるサービス間で、一度の認証でログインできるようにする仕組みがID連携(フェデレーション)です。これにより、ユーザーの利便性向上と、パスワード使い回しのリスク低減が実現できます。
- SAML (Security Assertion Markup Language): 主に企業向け(B2B)のWebシングルサインオン(SSO)で利用される標準規格です。IdP(Identity Provider)とSP(Service Provider)の間で、認証情報のアサーション(主張)をXMLベースで交換します。
- OAuth 2.0: 主に認可のためのフレームワークです。「このアプリに、あなたのGoogleアカウントの写真へのアクセスを許可しますか?」といった同意画面の裏で動いています。
- OpenID Connect (OIDC): OAuth 2.0を拡張して、認証機能を追加したものです。主にコンシューマ向け(B2C)のソーシャルログインなどで利用されます。「Googleアカウントでログイン」の裏で動いています。
これらの技術が「認証」と「認可」のどちらを主目的としているか、どのような場面で使われるかを区別できるようにしましょう。
▼難関を乗り越えるために
IAMは覚えるべき用語が多く、CISSPの中でも難易度の高いドメインの一つです。資格全体の難易度や、他資格との比較については、以下の記事で詳しく解説しています。
CISSP 8ドメイン解説シリーズ
この記事ではドメイン5について解説しました。他のドメインの理解を深めたい方は、以下の記事も併せてご覧ください。
- CISSPドメイン1「セキュリティとリスクマネジメント」の最重要トピックを徹底解説
- CISSPドメイン2:資産のセキュリティを徹底攻略
- CISSPドメイン3「セキュリティアーキテクチャとエンジニアリング」の重要ポイント解説
- CISSPドメイン4:通信とネットワークセキュリティを徹底攻略
- ドメイン5:アイデンティティとアクセスの管理(本記事)
- CISSPドメイン6:セキュリティの評価とテストを徹底攻略
- CISSPドメイン7:セキュリティの運用を徹底攻略
- CISSPドメイン8:ソフトウェア開発セキュリティを徹底攻略
まとめ:IAMを制する者が、現代のセキュリティを制す
ドメイン5「アイデンティティとアクセスの管理」は、単なるユーザー管理の枠を超え、組織全体のセキュリティ態勢を左右する、極めて戦略的な領域です。
特に、アクセス制御モデルとフェデレーション技術は、クラウドサービスの利用が当たり前となった現代において、全てのセキュリティ専門家が理解すべき必須知識と言えるでしょう。
この記事で解説した基本原則と重要技術をしっかりと押さえ、セキュリティの「入り口」を固める知識をあなたのものにしてください。
