‍

「デジタルアイデンティティのやさしい教科書」の連載記事です。この連載で認証・認可、権限管理などサイバーセキュリティにおけるアイデンティティの基礎を学ぶことができます。

‍

そもそもアイデンティティとは？ID・アカウントとの違いは？

‍

・IDとは？

IDとは識別子（Identifier）です。システムやアプリケーション内でユーザー、デバイス、プロセスなどを一意（Unique：ユニーク）に識別するための基本情報を指します。IDは、主体（subject：人・デバイス・プロセスなど）がリソース（object：目的となるもの）にアクセスする際に、これらエンティティが「誰（または何）であるか」を検証・確認するために使用されます。

具体的には、ユーザー名、メールアドレス、デバイスID、APIクライアントID、ホスト名などがIDに該当します。IDは認証（Authentication）や認可（Authorization）プロセスにおいて、エンティティを正確に識別する重要な属性として機能します。

‍

・アカウントとは？

アカウントは、システム内でIDに紐付けられた、権限、設定、アクセス情報を管理する単位です。主体がリソースにアクセスできる範囲や操作可能な権限を制御する役割を持ちます。

アカウントには、ID（ユーザー名やメールアドレスなど）を中核に、ロール、セキュリティ設定、ログイン履歴などが含まれます。この情報を基に、システムは主体を正確に識別し、適切な権限を付与します。

また、IDやアカウントと密接に関わる「アクセス管理」の仕組みについては、アクセス管理とは―現代のセキュリティに不可欠な仕組みで詳しく解説しています。

‍

‍

・アイデンティティ（Identity）とは？

サイバーセキュリティの文脈では、アイデンティティとは、IDやアカウントなどを含む広い概念を指します。NISTのデジタルアイデンティティガイドライン（NIST SP 800-63-3）では、以下のように定義されています。

"An identity is the set of attributes that uniquely describe an entity within a given context."（アイデンティティとは、特定のコンテキスト内でエンティティを一意に識別するための属性の集合である。）

例えば、社員番号のような自社でしか通用しないアイデンティティや所属部署という属性もあれば、実名やメールアドレスのように組織外でも通用するアイデンティティもあります。特定のシステムでのアカウントのユーザー名、パスワード、ロール（権限）もアイデンティティに含まれます。

‍

・Identity

役割

ID、アカウント、属性などを含む、エンティティを一意に識別するための情報全体。

例

Name: Taro Yamada Department : business technology Email: taro@example.com

‍

・ID(Identifier)

役割

アイデンティティを一意に特定するための属性。単一の識別子。

例

user123 taro.yamada@example.com

‍

・アカウント

役割

IDにもとづき、システムやIT環境の中でリソースへのアクセス権限や設定を管理する単位。

例

username:user123 Email: taro@example.com Role: Admin

‍

情報システムに関連する事柄で説明すれば、アイデンティティは上記のような定義になりますが、誕生日、家族構成、好きな食べ物、飼っていたペットなど、あらゆるものはアイデンティティを構成する属性であると言えます。いわば、アイデンティティとは、少し哲学的な言い方になりますが、そのものが持つ属性の束のようなものであり、その人やものを形作る認知できる属性の集合体です。実際に、過去には秘密の質問として、好きな食べ物やペットの名前などを認証情報にしていました。これは、多くの脆弱性や問題があったため今では用いられなくなりましたが、確かにアイデンティティの一部に他なりません。

‍

このように、アイデンティティは多面的で曖昧ですが、現代のデジタルアイデンティティの領域においては、標準化されたプロトコルやそれを支える暗号技術によって、システムはそのエンティティの検証可能な属性をもって、主体を識別します。第2章から詳しく解説しますが、現代のシステムでは、主体の主張する属性が検証可能であることが求められます。

アカウントが見えづらくなりがちなシャドーITも、アイデンティティ管理の課題のひとつです。シャドーITについてさらに詳しく知りたい方は、Josys ブラウザ拡張機能によるシャドウ IT の管理もご覧ください。

‍

なぜ多要素認証が主流になったのか？なぜWindows11ではTPM2.0が必須になったのか？パスキーはなぜ普及しようとしているのか？パスワードレス、公開鍵基盤（PKI）、X.509証明書、デジタル署名、ハッシュなど暗号技術はなぜ必要なのかなど、アイデンティティに関する疑問や技術を本連載で明らかにしていきます。

‍

・エンティティとは？

セキュリティやIT関連の用語として、エンティティとは、識別可能な一意のすべての「実体」を指します。エンティティはID（識別子）などの属性（Artribute）情報を持つ箱や束のようなもので、人やデバイスだけでなく、システムやプロセスなど無形のリソースも含まれます。

‍

例えば、ユーザー エンティティは、一意のID（メールアドレスやUUIDなど）や部署・役職・ステータスなどの属性およびロールなどの情報が含まれます。また、デバイス エンティティは、デバイスID、シリアルナンバー、OSバージョン、場所、その他ハードウェアやソフトウェアの構成などの属性を持ちます。

‍

・リソースとは？

本記事では、NIST SP 800-207（Zero Trust Architecture）と同様に、リソースをサーバ、システム、データ、アプリケーション、デバイス、ネットワーク機器など、組織が管理する資産とします。保護すべき対象であり、適切なアクセス制御が必要です。組織のネットワーク内だけではなく、クラウドサービスで管理しているアカウント・データなど、有形無形を含む情報資産も対象です。また、本記事においては、アクセスや操作をする対象として、英単語のObject（目的・目標）と同義として扱います。

‍

NIST SP 800-207（Zero Trust Architecture）

"Resources are the information, data, applications, services, or assets that users or entities request access to." （リソースとは、ユーザーまたはエンティティがアクセスを要求する情報、データ、アプリケーション、サービス、または資産です。）

‍

・コンテキストとは？

コンテキストは直訳すると「文脈」ですが、サイバーセキュリティの分野では、ユーザー、デバイス、システムといったエンティティの属性や状態、環境の変化を相関的に捉えることを指します。コンテキストによって、現在と過去の状況からリスクを判断することに活用されています。

例えば、普段は、日本からあるシステムへアクセスしていたユーザーが、1時間後に突然、ロシアからアクセスしてきました。このコンテキストは、物理的に不可能な速度で移動していることを示しています。アカウントのなりすましなどの不正アクセスのリスクが高く、すぐにアクセスを遮断すべきという判断ができます。

‍

次回は、「デジタルアイデンティティ管理の目的と必要性」について、ゼロトラストに絡めながら解説します。お楽しみに！

今回の新機能により、アプリ・デバイス・ワークフロー全体にわたる可視性と管理性が大幅に向上しました。新しいレポート機能とより高度な自動化により、SaaS環境の管理がより効率的になります。

新機能

SaaS・ライセンス・デバイスの監査対応レポート

ジョーシスの新しいレポートモジュールでは、SaaSセキュリティ・ライセンス最適化・デバイス管理の各領域におけるアプリ利用状況・ライセンスデータ・セキュリティインサイト・デバイスインベントリを、単一のビジュアルダッシュボードに統合しています。ビューの切り替え、レポートのエクスポート（CSV・XLS・PDF）、RBACによるアクセス制御に対応しています。

主なレポート内容は以下のとおりです。

• アプリ検出：リスクおよびカテゴリ別にSaaSの全体像を確認
• 未管理ユーザ：未管理ユーザを特定し、迅速に対応
• アプリ整理：重複ツールを検出し、スタックを最適化

これらのインサイトを活用することで、より迅速かつ的確な意思決定とSaaSガバナンスの強化が図れます。

すべてのMDMプラットフォームを横断する統合デバイスビュー

Microsoft IntuneでWindowsデバイスを、JamfでAppleデバイスをそれぞれ管理している組織では、複数システムにまたがるアセットの可視性が断片化しやすい課題があります。

ジョーシスは最大2つのMDM（Intune・Jamf・NinjaOneなど）と同時に連携し、デバイスデータを自動的に取り込んで、WindowsおよびAppleのアセットを単一の統合ダッシュボードに集約します。IT管理者はツールを切り替えることなく、両環境のインベントリ確認・デバイスオーナーシップの追跡・コンプライアンス監視が行えます。

すべての重要ITアクションを一元管理するハブ

「アクションセンター」は、SaaS環境全体のタスクを確認・優先順位付け・実行するための一元管理ハブです。

未管理アカウントの解消・非活用ライセンスの削除・検出済みアプリの分類といった重要な対応項目が自動的に表示されます。各アクションには、必要な手順・関連アプリのコンテキスト・重大度レベル・直接実行できるCTA（「自動化」「プロビジョニング解除」「分類」など）が含まれます。

専用の「アクションセンター」タブからアクセスでき、タスクの進捗管理・不要項目の非表示設定・関連アクションへの集中対応が行えます。

検出済みアプリに対する自動ガバナンス

ジョーシスのワークフローが検出済みアプリにも対応しました。利用状況・リスク・コンプライアンスに基づいてアプリを自動分類し、メール送信・JIRAチケット作成・カスタムHTTPリクエストなどのアクションをリアルタイムで実行します。

未承認アプリへの迅速な対応・一貫したポリシー適用・IT担当者の手動対応の大幅削減が実現します。

※「検出済みアプリ」とは、ジョーシスのAIによる検出エンジンが環境全体から自動的に識別したアプリケーションのうち、まだガバナンス・管理のための連携が設定されていないものを指します。

機能強化

必要なタイミングでワークフローを実行

管理者は、入社・退職ワークフローを主要日付の前・当日・後日のいずれかで実行するよう設定し、実行時刻を指定することが可能になりました。最終利用状況に基づくライセンス最適化の自動化にも対応しています。

手動対応や対応漏れなく、必要なタイミングで正確にワークフローが実行されます。

ユーザー属性に基づいて自動化ワークフローをトリガーするWebhook

Webhookトリガーワークフローにより、ジョーシスはエコシステム内でのイベント発生と同時にアクションを実行します。バックグラウンド審査完了後の入社フロー開始・ITSMチケット承認時のアクセスプロビジョニング・セキュリティ脅威検知時の即時アクセス無効化など、すべてリアルタイムで自動実行されます。ネイティブトリガーの対応を待つ必要はありません。

今後の取り組みについて

今回のリリースは、より統合された自動化されたIT管理体験の提供に向けた継続的な取り組みの一環です。アイデンティティガバナンス・SaaS・デバイス管理の間にあるギャップを埋めることで、ITチームがよりスマートかつセキュアに業務を遂行できる環境を支援します。ジョーシスがIT業務の効率化にどのように貢献できるか、ぜひデモにてご確認ください。

‍

シャドーITから自動制御へ ― 8つのアップデート

今回のアップデートでは、シャドーIT、アプリ棚卸し、ID管理を自動化する8つの機能を実装しました。これにより、これまで手動で行っていたシャドーITやアプリ棚卸し、ID管理の各工程を自動化し、検出から分類、通知、ブロックまでを一連の流れで完結できます。ITチームの作業負荷を軽減しつつ、ガバナンスを維持することが可能です。

今回のリリースでは、3つの新機能と5つのアップデートをご紹介します。

3つの新機能

1.新たに検出されたアプリへの自動ワークフロー

新たに検出されたアプリや未管理ITを、見落とすことなく把握し、適切に対処できます。

• コンプライアンス状況・リスクレベル・カテゴリなどの属性をもとに、新規検出アプリを自動分類
• 設定した条件に応じて、対応するワークフローを自動実行
  
  • たとえば「利用者が20名を超えたら担当チームに通知し、承認済みアプリは自動で許可、未承認アプリはCloudflareなどのセキュリティプロバイダー経由で自動ブロックする」といった運用が可能

• 手作業での追跡は不要になり、リアルタイムでの可視化と制御をそのまま自動化

2.Google Workspaceの同期対象ユーザーを絞り込む

複数のチームや企業でGoogle Workspaceのテナントを共有している場合でも、必要なユーザーだけを同期対象に指定できます。

• ドメインまたは組織部門（OU）を指定し、特定チームのみを入社フローに含める
• フィルターの検索・設定、同期ステータスのリアルタイム確認、除外ユーザーの自動削除まで対応
• 手動でのクリーンアップ作業は不要

3.Open API拡張による自動化の強化

Open APIを拡張し、ID・アクセス管理におけるエンタープライズ向けの自動化をさらに後押しします。

今回の強化により、新たに以下の操作へ対応しました。

• 部門（departments）の更新・削除
• 拠点（locations）の作成・取得・更新・削除（CRUD操作）
• ユーザープロファイルのカスタムフィールドの、API経由での作成・管理

すべてのエンドポイントはドキュメントを用意しており、すぐにご利用いただけます。

エンドツーエンドのID同期ワークフローの構築や、オンプレミスのActive Directoryとの自動連携、手作業で生じていたギャップの解消を実現します。

5つのアップデート

1.定期的なアプリ棚卸しのスケジュール自動化

定期的なアプリ棚卸しはアクセスガバナンスの土台ですが、毎回手作業で設定する手間がチームの負担になっていました。

今回のアップデートでスケジュール設定と定期実行に対応し、棚卸しのプロセス全体を自動化します。

• 即時実行に加え、四半期・半期・年次での定期実行を事前に設定することが可能

• 開始日と実行頻度を決めておけば、毎回の設定なしに継続的なアプリ認定が可能
• 実施予定・過去の実行履歴・次回スケジュールを、一画面で確認可能

手動作業を削減しながら、一貫性の高いアクセスガバナンスを維持できます。

2.対象を絞ったアプリの棚卸し

今回のアップデートで、役職・部署・リスクレベルをもとに対象ユーザーを選び、本当に確認が必要なアカウントに絞って棚卸しを実施できます。あらかじめ決められたカテゴリに縛られることもありません。

自動リマインダーで、完了率も高められます。

• リマインダーの送信頻度を設定
• 未回答の審査担当者のみに通知
• 締め切り日を設定し、期限内の完了を促進

3.未承認アプリの利用を自動で制御

「未承認」リストに登録されたアプリを従業員が利用すると、SaaS環境全体のセキュリティとコンプライアンスのリスクにつながります。
今回のアップデートで、未承認アプリの利用を自動で検出し、該当する従業員に利用停止を促すワークフローを作成できます。

たとえば「Grok」の利用を検出した場合、利用が確認されたことと使用を停止してほしい旨のメッセージが、対象の従業員に自動で送信されます。

4.失敗したワークフローの再実行

今回のアップデートで、失敗したワークフローを手動で再実行できるようになり、履歴から失敗した処理を直接やり直せます。問題が解消したあとに再実行ボタンを押すだけで復旧でき、アクションを一つずつ手作業でやり直す必要はありません。

5.ユーザー属性の同期をフィールド単位で制御

外部ディレクトリからのユーザーデータの同期は、一括設定ではなく、項目単位での制御が求められます。

今回のアップデートにより、ジョーシスは外部IDソースからのユーザー属性同期をフィールド単位で管理できます。

• 同期対象フィールドを個別に有効化・無効化
• 特定の属性をジョーシス管理のローカルフィールドとして維持
• 意図しない上書きを防止

同期を無効にしたフィールドは既存の値が保持されるため、設定変更時に重要なデータが失われることはありません。