‍

「デジタルアイデンティティのやさしい教科書」の連載記事です。この連載で認証・認可、権限管理などサイバーセキュリティにおけるアイデンティティの基礎を学ぶことができます。

‍

そもそもアイデンティティとは？ID・アカウントとの違いは？

‍

・IDとは？

IDとは識別子（Identifier）です。システムやアプリケーション内でユーザー、デバイス、プロセスなどを一意（Unique：ユニーク）に識別するための基本情報を指します。IDは、主体（subject：人・デバイス・プロセスなど）がリソース（object：目的となるもの）にアクセスする際に、これらエンティティが「誰（または何）であるか」を検証・確認するために使用されます。

具体的には、ユーザー名、メールアドレス、デバイスID、APIクライアントID、ホスト名などがIDに該当します。IDは認証（Authentication）や認可（Authorization）プロセスにおいて、エンティティを正確に識別する重要な属性として機能します。

‍

・アカウントとは？

アカウントは、システム内でIDに紐付けられた、権限、設定、アクセス情報を管理する単位です。主体がリソースにアクセスできる範囲や操作可能な権限を制御する役割を持ちます。

アカウントには、ID（ユーザー名やメールアドレスなど）を中核に、ロール、セキュリティ設定、ログイン履歴などが含まれます。この情報を基に、システムは主体を正確に識別し、適切な権限を付与します。

また、IDやアカウントと密接に関わる「アクセス管理」の仕組みについては、アクセス管理とは―現代のセキュリティに不可欠な仕組みで詳しく解説しています。

‍

‍

・アイデンティティ（Identity）とは？

サイバーセキュリティの文脈では、アイデンティティとは、IDやアカウントなどを含む広い概念を指します。NISTのデジタルアイデンティティガイドライン（NIST SP 800-63-3）では、以下のように定義されています。

"An identity is the set of attributes that uniquely describe an entity within a given context."（アイデンティティとは、特定のコンテキスト内でエンティティを一意に識別するための属性の集合である。）

例えば、社員番号のような自社でしか通用しないアイデンティティや所属部署という属性もあれば、実名やメールアドレスのように組織外でも通用するアイデンティティもあります。特定のシステムでのアカウントのユーザー名、パスワード、ロール（権限）もアイデンティティに含まれます。

‍

・Identity

役割

ID、アカウント、属性などを含む、エンティティを一意に識別するための情報全体。

例

Name: Taro Yamada Department : business technology Email: taro@example.com

‍

・ID(Identifier)

役割

アイデンティティを一意に特定するための属性。単一の識別子。

例

user123 taro.yamada@example.com

‍

・アカウント

役割

IDにもとづき、システムやIT環境の中でリソースへのアクセス権限や設定を管理する単位。

例

username:user123 Email: taro@example.com Role: Admin

‍

情報システムに関連する事柄で説明すれば、アイデンティティは上記のような定義になりますが、誕生日、家族構成、好きな食べ物、飼っていたペットなど、あらゆるものはアイデンティティを構成する属性であると言えます。いわば、アイデンティティとは、少し哲学的な言い方になりますが、そのものが持つ属性の束のようなものであり、その人やものを形作る認知できる属性の集合体です。実際に、過去には秘密の質問として、好きな食べ物やペットの名前などを認証情報にしていました。これは、多くの脆弱性や問題があったため今では用いられなくなりましたが、確かにアイデンティティの一部に他なりません。

‍

このように、アイデンティティは多面的で曖昧ですが、現代のデジタルアイデンティティの領域においては、標準化されたプロトコルやそれを支える暗号技術によって、システムはそのエンティティの検証可能な属性をもって、主体を識別します。第2章から詳しく解説しますが、現代のシステムでは、主体の主張する属性が検証可能であることが求められます。

アカウントが見えづらくなりがちなシャドーITも、アイデンティティ管理の課題のひとつです。シャドーITについてさらに詳しく知りたい方は、Josys ブラウザ拡張機能によるシャドウ IT の管理もご覧ください。

‍

なぜ多要素認証が主流になったのか？なぜWindows11ではTPM2.0が必須になったのか？パスキーはなぜ普及しようとしているのか？パスワードレス、公開鍵基盤（PKI）、X.509証明書、デジタル署名、ハッシュなど暗号技術はなぜ必要なのかなど、アイデンティティに関する疑問や技術を本連載で明らかにしていきます。

‍

・エンティティとは？

セキュリティやIT関連の用語として、エンティティとは、識別可能な一意のすべての「実体」を指します。エンティティはID（識別子）などの属性（Artribute）情報を持つ箱や束のようなもので、人やデバイスだけでなく、システムやプロセスなど無形のリソースも含まれます。

‍

例えば、ユーザー エンティティは、一意のID（メールアドレスやUUIDなど）や部署・役職・ステータスなどの属性およびロールなどの情報が含まれます。また、デバイス エンティティは、デバイスID、シリアルナンバー、OSバージョン、場所、その他ハードウェアやソフトウェアの構成などの属性を持ちます。

‍

・リソースとは？

本記事では、NIST SP 800-207（Zero Trust Architecture）と同様に、リソースをサーバ、システム、データ、アプリケーション、デバイス、ネットワーク機器など、組織が管理する資産とします。保護すべき対象であり、適切なアクセス制御が必要です。組織のネットワーク内だけではなく、クラウドサービスで管理しているアカウント・データなど、有形無形を含む情報資産も対象です。また、本記事においては、アクセスや操作をする対象として、英単語のObject（目的・目標）と同義として扱います。

‍

NIST SP 800-207（Zero Trust Architecture）

"Resources are the information, data, applications, services, or assets that users or entities request access to." （リソースとは、ユーザーまたはエンティティがアクセスを要求する情報、データ、アプリケーション、サービス、または資産です。）

‍

・コンテキストとは？

コンテキストは直訳すると「文脈」ですが、サイバーセキュリティの分野では、ユーザー、デバイス、システムといったエンティティの属性や状態、環境の変化を相関的に捉えることを指します。コンテキストによって、現在と過去の状況からリスクを判断することに活用されています。

例えば、普段は、日本からあるシステムへアクセスしていたユーザーが、1時間後に突然、ロシアからアクセスしてきました。このコンテキストは、物理的に不可能な速度で移動していることを示しています。アカウントのなりすましなどの不正アクセスのリスクが高く、すぐにアクセスを遮断すべきという判断ができます。

‍

次回は、「デジタルアイデンティティ管理の目的と必要性」について、ゼロトラストに絡めながら解説します。お楽しみに！

今回の新機能により、アプリ・デバイス・ワークフロー全体にわたる可視性と管理性が大幅に向上しました。新しいレポート機能とより高度な自動化により、SaaS環境の管理がより効率的になります。

新機能

SaaS・ライセンス・デバイスの監査対応レポート

ジョーシスの新しいレポートモジュールでは、SaaSセキュリティ・ライセンス最適化・デバイス管理の各領域におけるアプリ利用状況・ライセンスデータ・セキュリティインサイト・デバイスインベントリを、単一のビジュアルダッシュボードに統合しています。ビューの切り替え、レポートのエクスポート（CSV・XLS・PDF）、RBACによるアクセス制御に対応しています。

主なレポート内容は以下のとおりです。

• アプリ検出：リスクおよびカテゴリ別にSaaSの全体像を確認
• 未管理ユーザ：未管理ユーザを特定し、迅速に対応
• アプリ整理：重複ツールを検出し、スタックを最適化

これらのインサイトを活用することで、より迅速かつ的確な意思決定とSaaSガバナンスの強化が図れます。

すべてのMDMプラットフォームを横断する統合デバイスビュー

Microsoft IntuneでWindowsデバイスを、JamfでAppleデバイスをそれぞれ管理している組織では、複数システムにまたがるアセットの可視性が断片化しやすい課題があります。

ジョーシスは最大2つのMDM（Intune・Jamf・NinjaOneなど）と同時に連携し、デバイスデータを自動的に取り込んで、WindowsおよびAppleのアセットを単一の統合ダッシュボードに集約します。IT管理者はツールを切り替えることなく、両環境のインベントリ確認・デバイスオーナーシップの追跡・コンプライアンス監視が行えます。

すべての重要ITアクションを一元管理するハブ

「アクションセンター」は、SaaS環境全体のタスクを確認・優先順位付け・実行するための一元管理ハブです。

未管理アカウントの解消・非活用ライセンスの削除・検出済みアプリの分類といった重要な対応項目が自動的に表示されます。各アクションには、必要な手順・関連アプリのコンテキスト・重大度レベル・直接実行できるCTA（「自動化」「プロビジョニング解除」「分類」など）が含まれます。

専用の「アクションセンター」タブからアクセスでき、タスクの進捗管理・不要項目の非表示設定・関連アクションへの集中対応が行えます。

検出済みアプリに対する自動ガバナンス

ジョーシスのワークフローが検出済みアプリにも対応しました。利用状況・リスク・コンプライアンスに基づいてアプリを自動分類し、メール送信・JIRAチケット作成・カスタムHTTPリクエストなどのアクションをリアルタイムで実行します。

未承認アプリへの迅速な対応・一貫したポリシー適用・IT担当者の手動対応の大幅削減が実現します。

※「検出済みアプリ」とは、ジョーシスのAIによる検出エンジンが環境全体から自動的に識別したアプリケーションのうち、まだガバナンス・管理のための連携が設定されていないものを指します。

機能強化

必要なタイミングでワークフローを実行

管理者は、入社・退職ワークフローを主要日付の前・当日・後日のいずれかで実行するよう設定し、実行時刻を指定することが可能になりました。最終利用状況に基づくライセンス最適化の自動化にも対応しています。

手動対応や対応漏れなく、必要なタイミングで正確にワークフローが実行されます。

ユーザー属性に基づいて自動化ワークフローをトリガーするWebhook

Webhookトリガーワークフローにより、ジョーシスはエコシステム内でのイベント発生と同時にアクションを実行します。バックグラウンド審査完了後の入社フロー開始・ITSMチケット承認時のアクセスプロビジョニング・セキュリティ脅威検知時の即時アクセス無効化など、すべてリアルタイムで自動実行されます。ネイティブトリガーの対応を待つ必要はありません。

今後の取り組みについて

今回のリリースは、より統合された自動化されたIT管理体験の提供に向けた継続的な取り組みの一環です。アイデンティティガバナンス・SaaS・デバイス管理の間にあるギャップを埋めることで、ITチームがよりスマートかつセキュアに業務を遂行できる環境を支援します。ジョーシスがIT業務の効率化にどのように貢献できるか、ぜひデモにてご確認ください。

‍

シャドーITから自動制御へ

ジョーシスの最新アップデートで、シャドーITの把握・アプリ棚卸しの実施・ID管理の自動化を効率化します。

新たに検出されたアプリの自動分類・フィルタリング機能から、アプリ棚卸しの自動化精度向上、ワークフローの安定性強化まで、ITチームのスピードとガバナンスを両立します。

新機能

新たに検出されたアプリへの自動ワークフロー

新たに検出されたアプリや未管理ITを、見落とすことなく把握・対処できます。

コンプライアンス状況・リスクレベル・カテゴリなどの属性をもとに、新規検出アプリを自動で分類し、対応するワークフローを実行します。たとえば、利用者数が20名を超えた場合に担当チームへ通知し、条件を評価したうえで、承認済みアプリへの自動許可や、未承認アプリのCloudflareなどセキュリティプロバイダーを通じた自動ブロックを実行します。

手動での追跡作業は不要です。リアルタイムの可視性と制御を自動で実現します。

Google Workspaceの同期対象ユーザーを絞り込む

複数チームや複数企業が共有するGoogle Workspaceテナントのユーザー管理は、煩雑になりがちです。

Google Workspace向けユーザープロファイルフィルタリング機能を使用することで、ジョーシスは必要なユーザーのみを同期対象として設定できます。ドメインまたは組織部門（OU）を指定し、特定チームのみを入社フローに含めながら、管理環境をシンプルに保つことが可能です。

フィルターの検索・設定、同期ステータスのリアルタイム確認、除外ユーザーの自動削除まで、手動でのクリーンアップ作業は必要ありません。

Open API拡張による自動化の強化

ジョーシスはOpen API機能を拡張し、ID・アクセス管理領域でのエンタープライズグレードの自動化を支援します。

今回のAPI強化により、以下の操作が新たに対応します。

• 「departments（部門）」の更新・削除
• 「locations（拠点）」の作成・読み取り・更新・削除（CRUD操作）
• ユーザープロファイルのカスタムフィールドのAPIによる作成・管理

すべてのエンドポイントはドキュメント化済みで、即時利用が可能です。エンドツーエンドのID同期ワークフローの構築、オンプレミスのActive Directoryとの自動連携、手動作業によるギャップの解消を実現します。

機能強化

定期的なアプリ棚卸しのスケジュール自動化

定期的なアプリ棚卸しはアクセスガバナンスの基盤ですが、毎回手動でセットアップする工程はチームの負担になります。

スケジュール設定・定期実行機能により、ジョーシスはアプリ棚卸しのプロセス全体を自動化します。

• 即時実行・事前スケジュール設定・四半期/半期/年次での定期実行に対応
• 開始日と実行頻度を設定し、繰り返しのセットアップなしで継続的なアプリ認定を実施
• 実施予定・過去の実行履歴・次回スケジュールを一画面で確認

手動作業を削減しながら、一貫性の高いアクセスガバナンスを維持できます。

対象を絞ったアプリ棚卸しの実施

すべてのアプリ棚卸しで全ユーザーを対象にする必要はなく、対応漏れが多ければそれだけ完了までの時間がかかります。

ジョーシスでは、役職・部署・リスクレベルに基づいて特定ユーザーを選択し、アプリ棚卸しを絞り込んで実施できます。あらかじめ用意されたカテゴリに依存せず、本当に確認が必要なアカウントに集中できます。

自動リマインダーにより完了率を向上させます。

• リマインダーの送信頻度を設定
• 未回答の審査担当者のみに通知
• 締め切り日を設定し、期限内完了を確保

柔軟なターゲット設定、迅速な回答・完了、手動フォローアップを削減した確かなアクセスガバナンスを実現します。

未承認アプリの利用を自動制御する

従業員が「未承認」リストに登録されたアプリを利用すると、SaaS環境全体のセキュリティおよびコンプライアンスリスクにつながります。

ジョーシスでは、未承認アプリの利用を自動検出し、該当する従業員に利用停止を促す警告を送信するワークフローを作成できます。たとえば「Grok」の利用が検出された場合、利用が確認された旨と使用を停止する必要がある旨のメッセージが、その従業員に自動送信されます。

失敗したワークフローを再実行する

ワークフローの自動化は、連携上の問題・一時的なエラー・重複操作などにより失敗することがあります。多くの場合、失敗したフローは手動での修正作業が必要になります。

失敗ワークフローの手動再実行機能により、ジョーシスはワークフロー履歴から失敗した実行を直接再試行できます。問題が解消された後、再実行ボタンを押すだけで復旧でき、アクションを手作業でやり直す必要はありません。

ユーザー属性の同期をフィールド単位で制御する

外部ディレクトリからのユーザーデータの同期は、一括設定ではなく、項目単位での制御が求められます。

この新機能により、ジョーシスは外部IDソースからのユーザー属性同期をフィールド単位で管理できます。

• 同期対象フィールドを個別に有効化・無効化
• 特定の属性をジョーシス管理のローカルフィールドとして維持
• 意図しない上書きを防止

同期を無効にしたフィールドは既存の値が保持されるため、設定変更時に重要なデータが失われることはありません。

‍