アイデンティティとアクセス管理

アイデンティティおよびアクセス管理（IAM）は、 、本番環境におけるユーザID/エンティティのアクセス管理に使用されるプロセス、ポリシー、および製品を総称する用語である。この章の残りの部分は、パスワード、認証プロトコル、および MFA を扱う 3 つの主要なセクションに分かれている。また、暗号化、ハッシュ化、ソルティングについても、パスワードの保護に関連して通常出てくるので、取り上げる。

IAMに関しては、一般的なベストプラクティスがいくつかある。各クラウドプロバイダーはそれぞれ固有の技術的ガイダンスを提供しているが、以下の概念は、オンプレミス、クラウド、SaaSのいずれのオペレーティングシステムであっても普遍的なものである：

最低限の特権

最小権限の原則については、すでに何度か説明した。これは、ユーザとエンドポイント（総称してIDまたはエンティ ティと呼ばれる）に、アクセスが必要なアプリケーション、エンドポイント、ファイルなどへのアクセス だけを許可し、それ以上のアクセスは許可しないという概念である。

中央集権化

効率的なアクセス追跡と管理には、集中化が極めて重要である。セグメント化された認証が良い場合もある。しかし、アクセスやアカウントの追跡に関しては、信頼できる情報源 を1つにする必要があるため、そうではない。高いレベルのアクセス権を持つ人が退社するとき、企業にとって最も心配なことの1つは、その人のアクセス権がすべて削除されたかどうかである。もしすべてが中央の認証プラットフォームに結びつけば、無効化するアカウントのために行うハンティングはずっと少なくなる。

一元化には、シングルサインオン（SSO）認証の実装も含まれる。SSOは、ユーザが単一のアクセストークンを使用して、様々なシステム間で認証することを可能にする。このアプローチは、複数のパスワードの必要性を最小化し、ユーザのログイン・プロセスを簡素化し、SCIMを使用した自動オンボーディングとオフボーディングのようなセキュリティ対策を強化する。

不要な資産の撤去

余計な資産を排除することは、、セキュアな環境を維持するために重要な（そして多くの場合、規制当局によって義務付けられている）プラクティスである。本書を通じて、いくつかの異なる文脈でこのことに触れてきた。第2章では、資産管理について議論し、もはやアクティブでないアカウントを廃止することの重要性を強調した。元従業員やベンダのアクセス権を剥奪し、古くなったソフトウェアやハードウェアを更新または段階的に廃止し、インフラを整頓して適切に管理するという積極的なアプローチを取ることは、セキュリティ・プログラムにおける戦略的な動きである。防御やセキュリティ確保に気を配る必要のないものが少なければ少ないほど、そのうちの1つが悪用されるリスクを減らすことができる。

効果的なパスワード管理とMFAの実装