IAM(Identity and Access Management) あいあむ
簡単に言うとこんな感じ!
「誰が・何にアクセスできるか」を一元管理する仕組みだよ!社員証と入館証を合わせたようなもので、「この人はこのドアだけ開けられる」ってルールをシステム全体でまとめて管理するってこと!
IAMとは
IAM(Identity and Access Management) とは、システムやサービスに対して「誰が(Identity)」「何に・どこまでアクセスできるか(Access Management)」を一元的に管理する仕組みです。社員のアカウント作成から権限付与、退職時のアカウント削除まで、ID にまつわるライフサイクル全体をカバーします。
クラウドサービスが普及した現代では、社内システム・SaaS・クラウド基盤など、アクセス先が爆発的に増えました。IAM はこれらをバラバラに管理するのではなく、一か所でまとめてルールを定義・適用できるため、セキュリティ強化と管理コスト削減の両立に欠かせない概念です。
ビジネス視点で言えば、「誰がどのデータを見られるか」という情報ガバナンスの根幹を担う技術です。情報漏洩インシデントの多くは「過剰な権限が放置されていた」「退職者のアカウントが残っていた」といった IAM の不備に起因しています。
IAM の 2 本柱:認証と認可
IAM は大きく 認証(Authentication) と 認可(Authorization) の 2 つの概念で成り立っています。
| 概念 | 英語 | 問い | 例 |
|---|---|---|---|
| 認証 | Authentication | 「あなたは誰?」 | パスワード・指紋・MFA でログイン確認 |
| 認可 | Authorization | 「あなたは何ができる?」 | 経理部員は財務DB を閲覧できるがHR データは見られない |
この 2 つをよく混同しますが、順番が重要です。まず「誰か」を確認(認証)してから、「何ができるか」を判断(認可)します。
覚え方:「認証 → 認可」は「入口 → 受付」
🏢 ビルのセキュリティゲートで社員証を通す(認証)→ 受付で「3階の会議室だけご利用いただけます」と案内される(認可)
IAM の主な機能分類
| 機能 | 内容 |
|---|---|
| ID管理 | アカウントの作成・変更・削除、プロビジョニング |
| アクセス制御 | ロール・ポリシーによる権限設定 |
| シングルサインオン(SSO) | 1 度のログインで複数サービスを利用 |
| 多要素認証(MFA) | パスワード+別要素での本人確認強化 |
| 監査・ログ | 「誰がいつ何をしたか」の記録・可視化 |
| ライフサイクル管理 | 入社・異動・退職に合わせた自動権限変更 |
歴史と背景
- 1990年代:オンプレミス中心の時代。社内LDAPやActive Directoryで社内IDを管理するのが主流
- 2000年代:SaaS・Webサービスが登場し、社外サービスのIDが乱立。「IDのサイロ化」が問題化
- 2006年:AWS がクラウドサービスを本格展開。クラウド上のリソース権限管理ニーズが急増
- 2010年:AWS IAM が登場。クラウドネイティブな権限管理モデルが確立
- 2010年代後半:ゼロトラストセキュリティの台頭により、「社内にいるから安全」という前提が崩れ、IAM の重要性がさらに高まる
- 2020年代:リモートワーク普及でクラウドID管理が標準化。Okta・Azure AD・Google Workspace などの IDaaS(Identity as a Service)が急速に普及
IAM の主要モデルと AWS IAM の構造
代表的なアクセス制御モデルを比較します。
| モデル | 名称 | 概要 | 向いている場面 |
|---|---|---|---|
| RBAC | ロールベースアクセス制御 | 役割(ロール)に権限をまとめて割り当て | 組織の職種・部署管理 |
| ABAC | 属性ベースアクセス制御 | ユーザー・リソース・環境の属性で動的に判定 | 細かい条件分岐が必要な場面 |
| PBAC | ポリシーベースアクセス制御 | ポリシー文書でルールを明示的に記述 | AWS IAM・クラウド環境 |
AWS IAM を例にした主要コンポーネントの構造を図解します。
IAM vs IDaaS:どちらを選ぶ?
| 比較軸 | AWS/GCP などのクラウドIAM | IDaaS(Okta・Azure AD など) |
|---|---|---|
| 管理対象 | そのクラウド内のリソース | 複数クラウド・SaaS を横断 |
| SSO | 限定的 | 得意(多サービス統合) |
| MFA | 対応 | 対応(より高機能) |
| 向いている組織 | AWSのみ使う場合 | マルチクラウド・SaaSが多い場合 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 7519 | JWT(JSON Web Token):認証トークンの標準形式 |
| RFC 6749 | OAuth 2.0:認可フレームワークの標準仕様 |
| RFC 7662 | OAuth 2.0 Token Introspection:トークン検証 |
| OpenID Connect 1.0 | OAuth 2.0 上の認証レイヤー標準 |
| SCIM 2.0(RFC 7643/7644) | ユーザープロビジョニングの自動化標準 |
| SAML 2.0 | 企業向けSSO・フェデレーション標準 |
関連用語
- SSO(シングルサインオン) — 1 度のログインで複数サービスにアクセスできる仕組み
- MFA(多要素認証) — パスワード以外の要素を加えて本人確認を強化する手法
- OAuth — 第三者サービスへのアクセス権を安全に委譲するための認可フレームワーク
- LDAP — ユーザー情報を管理するディレクトリサービスのプロトコル
- [