「IAM」だけでは不十分？ IDとアクセスを守るためのセキュリティ対策：IAMの「8大ポイント」【後編】

不正アクセスに立ち向かうために「IAM」（IDおよびアクセス管理）の強化が重要だ。それに加えて、一般的なセキュリティ対策も軽視してはいけない。ポイントを紹介しよう。

[Sean Michael Kerner，TechTarget]

　ランサムウェア（身代金要求型マルウェア）といった攻撃の入り口になりやすいのは、流出したIDとパスワードを使った不正アクセスだ。組織にとって「IAM」（IDおよびアクセス管理）の強化は、攻撃による被害を抑止する上で欠かせない取り組みだと言える。具体策として何が求められるのか。本稿はIAMを強化できる「8大ポイント」のうち、5つ目から8つ目までを取り上げる。

5．モニタリングと監査

併せて読みたいお薦め記事

連載：IAMの「8大ポイント」

• 前編：今や「パスワード流出」は日常茶飯事　求められる2つの対策は？
• 中編：いまさら聞けない「破られないパスワード」の“4つの条件”とは

IAMについてもっと知るには

• いまさら聞けない「IAM」が「クラウド利用」に欠かせない理由
• 緩いIAMポリシーがクラウドを危険にする当然の理由

　IAMシステムは「導入して終わり」ではない。継続的なモニタリングと監査が重要だ。この2つによって、IAMシステムが正しく機能しているかどうかの確認に加え、コンプライアンス（法令順守）要件が満たされているかどうかも分かる。IAMツールの中には、コンプライアンス違反を検知したら警告を発する機能を備えたものがある。モニタリングと監査の実施に当たり、以下がポイントになる。

• 全システムを網羅するログ記録の設定
• セキュリティ情報管理とセキュリティイベント管理を組み合わせた手法「SIEM」（Security Information and Event Management）を使い、ユーザー行動を分析
• 定期的なコンプライアンス評価の実施

6．セキュリティ意識向上

　組織は従業員向けのトレーニングを実施し、セキュリティ意識の向上を図ることが大切だ。トレーニングでは脅威やIAMのポイントについての説明に加え、攻撃シミュレーションによって取るべき行動を伝えることも欠かせない。セキュリティトレーニングに当たり、以下がポイントになる。

• ゲーム要素によってトレーニングを面白くし、参加者のモチベーションや学習効果を高める
• 一般的なセキュリティよりもIAMに特化した内容にする
• 分かりやすい資料を作成する
• トレーニング効果のモニタリングや、ユーザーからのフィードバック分析により、トレーニングの改善を図る

7．IAM以外のセキュリティも強化

　一般的なセキュリティ対策がしっかりしていなければ、IAMに取り組んでも意味がない。組織はIAMを成功させる前提として、セキュリティ全体の強化に注力する必要がある。その際、以下がポイントになる。

• ファイアウォールを利用する
• データを暗号化する
• スキャンを実施し、使用中のソフトウェアの設定ミスを特定する
• 脆弱（ぜいじゃく）性のパッチ（修正プログラム）適用を管理する

8．ペネトレーションテスト

　IAMシステムを狙った攻撃を想定し、定期的にペネトレーション（侵入）テストを実施して攻撃者目線で弱点を洗い出すとよいだろう。ペネトレーションテストは自社で実施する他、専用ベンダーの力を借りることもできる。ペネトレーションテストの実施に当たり、以下がポイントになる。

• 一度限りではなく、定期的に実施する
• 発見した問題に優先順位を付けて対処する
• 修正が反映されているかどうかを確認する

TechTarget発　世界のインサイト＆ベストプラクティス

米国Informa TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。