Keeper IAM 用語集

特定のシステムリソースへのアクセスを許可または拒否するユーザーやシステム、およびそれらのリソースに対して実行できる操作を指定した許可のリストです。

IT 管理者が、特定のシステムやデータへのユーザーアクセスを許可、制限するためのプロセスです。通常、職務上のロール、部署、プロジェクトチームなどのグループを設定し、ユーザーを適切なグループに割り当てることにより実現されます。アイデンティティ管理と連動して動作します。

Active Directory（AD）とは、Microsoft が開発した Windows ドメインネットワーク用のディレクトリサービスです。元々、AD はドメインの集中管理にのみ用いられていましたが、現在ではディレクトリベースのアイデンティティサービスを幅広く指す包括的な用語となっています。これにより、企業はユーザーごとに単一のアイデンティティを使用して、複数のオンプレミス・インフラコンポーネントやシステムを管理することができます。AD と組み合わせて使用する Microsoft Entra ID と混同しないでください。

組織の Active Directory は、すべてのシステムアクセスを制御するため、効果的な Active Directory セキュリティは、データ環境全体のセキュリティを確保するために非常に重要なものとなります。

Active Directory（AD）を補完し、オンプレミアのアイデンティティをクラウドアプリケーションに拡張するツールです。ウェブアプリケーションの SSO ツールに似ていますが、クラウドではなくオンプレミスで使用されます。Microsoft Entra ID (Azure AD) と同様に、AD FS は Active Directory の代替とするものではなく、併用するツールです。

適応型認証、リスクベース認証とも呼ばれます。特定のアクセス要求がもたらすリスクに応じて、ログインパラメータを動的に調整するメソッドです。例えば、いつも使っているデバイスでサービスにログインするユーザーはパスワードの入力だけで済むかもしれませんが、新しいデバイスあるいは新しいブラウザからログインしようとすると、セキュリティに関する質問への回答やワンタイムアクセスコードの入力が必要になることがあります。

異なるソフトウェアアプリケーションが互いに会話できるようにするための定義とプロトコルのセットです。例えば、天気予報のアプリは、気象庁からの API を使用して天気データを表示しています。最近のウェブサイトやアプリのほとんどは、少なくともいくつかのサードパーティ製 API を使用しています。

API には 4 つのタイプがあります：

公開 API は、誰でも利用することができます。ただし、公開 API の中には、事前の承認や利用料が必要なものもあります。

プライベート API は、まさに「プライベート」です。組織の内部にあり、ビジネスの内部でのみ使用されます。

パートナー API は、プライベート API と似ています。パートナー API は、プライベート API と同様に、企業間のアプリケーションやトランザクションを促進するために、許可された外部のビジネスパートナーによってのみ使用されます。

復号 API は、2 つ以上の API タイプを組み合わせたものです。

ユーザー、開発者、またはアプリケーションを API で認証するために使用される独自の識別子です。通常、API へのアクセス権も含まれます。

ユーザーが主張する本人であることを確認することです。「アイデンティティ管理」をご覧ください。

ユーザーが特定のシステムやデータへのアクセスを承認されていることを確認することです。「アクセス管理」をご覧ください。

アイデンティティプロバイダー（IdP）は、ユーザーアイデンティティの保存と管理を行うサービ スです。IdP は、保存されているユーザー名とパスワードの組み合わせのリストに対してユーザーを照合することもあれば、他のプロバイダーが照合するユーザー ID のリストを提供することもあります。SSO プロバイダーは IdP です。

クラウドとオンプレミスの両方のデータ環境において、組織がすべてのアプリケーションに使用できる Identity as a Service（IDaaS）ソリューションです。Microsoft Entra ID は Active Directory の代替としてではなく、AD と連携して使用されます。

CIEMは、セキュリティチームがクラウドおよびマルチクラウド環境におけるアイデンティティ、権限、権利の管理と運用を支援するセキュリティプロセスです。CIEMの目的は、過剰または誤設定された権限を特定して修正し、すべてのアイデンティティが最小権限の原則 (PoLP) に基づいて運用されることを確実にすることで、リスクを低減することです。

指紋、虹彩スキャン、顔認証など、ユーザー認証やアクセス制御に使用される、個人特有の身体的特徴のことです。

脅威者がスクリプトを使用して大量のパスワードやパスフレーズを送信し、有効なクレデンシャルのセットが見つかるまですべての可能な組み合わせを系統的にチェックする、自動化された攻撃です。

ビジネスプロセスオートメーション（BPA）とは、繰り返し行われる作業や手作業を自動化し、組織の効率化を図るソフトウェアのことです。例えば、注文確認やセルフサービス・パスワードリセット（SSPR）など、顧客のアクションに対する自動応答がこれにあたります。

城と堀モデルは、組織のデータを保護するためのセキュリティモデルで、外部からの脅威を防ぐ境界防御に重点を置きます。内部ネットワークに入るとアクセスを信頼する一方で、内部ユーザーに対するセキュリティ制御は比較的少なくなるのが特徴です。

FIDO2 仕様の主要コンポーネントである Client to Authenticator Protocol（CTAP）は、スマートフォンやセキュリティ鍵などの外部認証機能を、WebAuthn をサポートするブラウザと連携し、ウェブサービスやデスクトップアプリケーションの認証機能として動作させることができるようにするものです。

クラウドセキュリティとも呼ばれます。クラウドに保存され使用されるデータ、アプリケーション、サービス、および基盤となるクラウドインフラを保護するためのポリシー、手順、制御、ツールの総称です。

一般に、パブリッククラウドサービスは、クラウドサービスプロバイダーがクラウド*自体の*セキュリティに責任を持ち、サービスを購入する組織がクラウド*内の*セキュリティに責任を持つという責任共有モデルの下で運営されています。つまり、クラウドサービスプロバイダーは、物理データセンターとその中のすべてのサーバーや機器など、基盤となるインフラを保護し、企業は、クラウド展開に投入するデータとワークロードを保護します。

別のクラウドベースのサービスに IAM ソリューションを提供するクラウドベースのサービスです。

システムがセッション中のユーザーの行動をモニタリングし、ベースラインと比較して異常を探し、異常が検出された場合にユーザーに再認証を要求するプロセスです。

多くの人が複数のアカウントで同じログイン情報を使用することを利用した攻撃です。クレデンシャルスタッフィング攻撃では、脅威者はあるサイトから有効なログイン情報のセットを取得することに成功すると、できるだけ多くのサイトで試します。

組織がカスタマーアイデンティティとアクセスレベルを管理するためのプロセスです。基本的に、内部ユーザーやビジネスパートナーとは対照的に、カスタマーのみを参照する IAM のサブタイプです。

Defense-in-Depth（DiD）とは、サイバーセキュリティに対する多層的なアプローチであり、各層は異なるタイプのセキュリティに焦点を当て、サイバー脅威に対する包括的で堅牢な防御を実現するものです。1 つのレイヤーが失敗しても、次のレイヤーが脅威者の行く手を阻むという考え方です。DiD 戦略の最も一般的な要素は、アンチウイルスソフトウェア、ネットワークセキュリティツールと制御、IAM ソリューション、データ損失防止ソリューションです。

従業員のアクセス権が不要になった際に、システムやアプリケーションからその権限やアカウントを削除するプロセスです。

DevOps セキュリティは、DevSecOps とも呼ばれ、安全なアプリケーションを構築することを目的に、ソフトウェア開発ライフサイクル（SDLC）のできるだけ早い段階でセキュリティを導入する「セキュリティのシフトレフト」を目指すアプリケーションセキュリティの実践方法です。さらに、DevOps と同様に、DevSecOps は組織のサイロを破壊し、SDLC 全体を通して開発、運用、セキュリティチーム間のコミュニケーションとコラボレーションを強化します。

エンドポイントとは、コンピュータネットワークに接続するデバイスのことを指します。
この用語は、特にネットワークを介してデータをやり取りする際の接続点やアクセス点を指すことが多いです。
エンドポイントは、個々のデバイス（例えば、スマートフォン、タブレット、パソコンなど）や、サーバー上のソフトウェアアプリケーション（例えば、WebサービスのAPIなど）を指すことがあります。

EDR ソリューションは、エンドポイント脅威の検出と対応（ETDR）と呼ばれることもあり、リアルタイムの継続的なモニタリングとエンドポイントデータの収集、ルールベースの自動応答と分析を組み合わせた統合エンドポイントセキュリティツールです。EDR ソリューションは、すべてのエンドポイントアクティビティをモニタリングし、それを分析して脅威のパターンを特定し、特定された脅威を除去または抑制するために自動的に対応し、人間のセキュリティ担当者に通知します。EDR システムの目標は、脅威をリアルタイムで特定し、可能であれば自動的に緩和または抑制し、人間の担当者による迅速な対応を促進することです。

エンドポイント特権管理とは、アプリケーション制御と最小特権アクセスを組み合わせて、ユーザーが信頼できるアプリケーションのみを可能な限り小さな特権で実行できるようにするものです。

歴史的に、組織内のネットワークアクセスは、標準ユーザーと管理者の 2 つのカテゴリに大別されていました。しかし、これでは今日の非常に複雑な分散型データ環境におけるクレデンシャル関連のサイバー攻撃から身を守るには全くもって不十分となります。エンドポイント特権管理は、ユーザーのアクセスレベルを管理し、管理特権ができるだけ少数のユーザーにしか付与されないようにします。エンドポイント特権管理は、内部脅威からの保護に加え、外部の脅威者が作業しているユーザークレデンシャルのセットを侵害しようとした場合に、ネットワーク内で横方向に移動する能力を制限することができます。

エンドポイント保護プラットフォーム（EPP）とは、エンドポイントデバイス上の悪意のあるアクティビティを検出し、不正アクセス、フィッシング、ファイルベースのマルウェア攻撃から保護する統合ソリューションです。最新の EPP は通常クラウドベースで、パーソナルファイアウォール、データ保護およびデータ損失防止機能、デバイス制御、脆弱性、パッチ、構成管理ソリューションとの統合を含むものもあります。

An enterprise password manager is a password management solution built to be a foundational part of any organization's security and Identity and Access Management (IAM) strategy. Like personal password managers, enterprise password managers generate strong passwords and provide secure vaults for storing credentials. However, they offer advanced security features designed specifically for businesses, including centralized dashboards for provisioning and deprovisioning users, granular access controls and management of shared credentials.

Federated Identity Management（FIM）とは、複数のソフトウェアシステムがより大きな中央システムから ID データを共有する認証メソッドで、ユーザーは 1 組のログイン情報で複数のアプリケーションやシステムにアクセスできるようになります。連合アイデンティティ管理はしばしば SSO と同義に使われますが、SSO が単一ドメイン内でのアクセスを可能にするのに対し、FIM はドメイン（「連合組織」として知られる）間でのシステムやアプリへのアクセスを可能にします。

組織は大抵 SSO と FIM の両方を使用しています。

特権ユーザー管理 (PUM) は、重要なシステムやデータへの高度なアクセス権を持つアカウントを管理、監視するプロセスです。PUMは、ユーザーが業務を遂行するために適切な権限のみを付与し、継続的な監視によってセキュリティプロトコルを確実に適用します。コンプライアンスを維持し、最小権限アクセスを徹底するために不可欠な仕組みです。

「世界的なパスワードへの過度な依存を減らすための認証標準を推進すること」をミッションに掲げる、オープンな業界団体です。

FIDO アライアンスと World Wide Web Consortium（W3C）の共同プロジェクトで、スマートフォンやハードウェアセキュリティトークンなどの一般的なデバイスを活用し、デスクトップとモバイル環境の両方においてオンラインサービスへの認証を可能にしようとするものです。FIDO2 は、U2F 認証規格をベースに、WebAuthn 規格と FIDO Client to Authenticator Protocol（CTAP）から構成されています。

アイデンティティとアクセス管理（IAM）は、組織がエンドユーザーのデジタルアイデンティティを管理し、組織のネットワーク、アプリケーション、データへのアクセスを制御するために使用するポリシー、手順、制御、技術的ツールを包含する総称です。IAM は、多層防御（DiD）の基本的な部分です。

特権アクセス管理（PAM）、特権セッション管理（PSM）、アイデンティティガバナンスと管理（IGA）、カスタマーアイデンティティとアクセス管理（CIAM）はすべて IAM のサブカテゴリです。

Identity as a Service（IDaaS）は、クラウドベースの認証ソリューションです。SaaS-delivered IAM（Gartner）または IAM-as-a-Service（IaaS）と呼ばれることもあります。IDaaS は、SSO プラットフォームからパスワードマネージャーまで、IAM のための多種多様な SaaS ソリューションを指す総称です。

アイデンティティガバナンスと管理（IGA）は、IAM のサブカテゴリで、組織が IAM ポリシーをデータ環境全体で一貫して普遍的に強制できるようにするためのポリシーと技術的なツールを指します。IGA ツールを使用すると、組織は、ユーザーアカウント、ロール、アクセス権の作成、管理、認証を自動化することにより、デジタルアイデンティティをより効果的に管理でき、アイデンティティ関連のアクセスリスクを軽減することができます。

IGA と IAM は同じ意味で使われることもありますが、IGA は IAM とは異なり、ガートナー社は「組織が IAM ポリシーを定義、強制できるようにするだけでなく、IAM 機能を連携させて監査やコンプライアンスの要件に対応できるようにする」ものとしています。

アイデンティティライフサイクル管理（ILM）は、IAM のサブカテゴリで、デジタルアイデンティティとそれに関連する許可を作成し、そのライフサイクルを通じた管理およびアップデートをし、不要になったら削除するためのポリシー、手順、技術的ツールを指すものです。デジタルアイデンティティは、従業員、請負業者、ベンダー、ビジネスパートナー、アプリケーションなど、人間のユーザーに属することができます。

ユーザー特権は、時間の経過とともに進化します。従業員が昇進したり、新たな職務に就いた場合、そのネットワーク特権を調整する必要がある場合があります。従業員が退職する場合、そのアクセス権を直ちに取り消さなければなりません。このような場合が ILM の出番となります。

システムが、ユーザーが本人であることを確認するためのプロセスです。例としては、ユーザー名とパスワード、多要素認証があります。アクセス管理と連動して動作します。

JSON Web Token (JWT) は、クライアントとサーバーの間でセキュリティ情報を共有するために使用されるオープンスタンダードです。JWT はプライベートシークレットまたは公開鍵/秘密鍵を用いて署名されるため、トークン発行後にクレームが変更されることはありません。

必要最小限の特権 (Just Enough Privilege、JEP) は、ユーザーが業務を遂行するために必要な最小限のアクセス権のみを付与する仕組みです。役割に応じて権限を制限することで、不正アクセスや権限の不適切利用のリスクを低減できます。JEPはしばしばジャストインタイム (JIT) アクセスと併用され、最小権限の原則 (PoLP) に沿って、セキュリティの強化やコンプライアンス要件の達成に役立ちます。

ジャストインタイムアクセスは、JIT アクセスとも呼ばれ、特権アクセス管理（PAM）の 1 つで、人間および人間以外のユーザーの特権をリアルタイムに昇格させ、セッション時間をあらかじめ決められた時間に制限するものです。これにより、人間のユーザーやアプリケーションは、必要なときだけ特権のあるアプリケーションやシステムにアクセスし、その後は一定時間だけアクセスできるようになります。

オープンソースのネットワーク認証プロトコルで、共通鍵暗号方式を用いて、インターネットなどの信頼されないネットワークを介して通信している、信頼されたホスト間のリクエストを認証します。Kerberos は、Microsoft Windows のデフォルトの認証プロトコルであり、Windows Active Directory のコアコンポーネントです。Kerberos のサポートは、すべての主要なオペレーティングシステムに組み込まれています。これは、複数の認証メソッドをサポートする大規模な SSO の展開において広範囲に使用されています。

セキュリティのベストプラクティスで、人間のユーザーとアプリケーションが、タスクを実行するために必要な絶対最小レベルのシステムアクセス以上は持たないというものです。

Lightweight Directory Access Protocol（LDAP）とは、IP ネットワーク上で分散型ディレクトリ情報サービスにアクセスし、維持するためのオープンなアプリケーションプロトコル規格です。LDAP は、一般的にユーザー名とパスワードの単一情報源として使用されます。アプリケーションは、LDAP サーバーに接続し、従業員の入社や退職に合わせて自動的にユーザーの追加と削除を行うことができます。LDAP は、Microsoft Active Directory の基盤として使用されています。

LDAP に代わるものとして急速に普及しつつある SCIM も参照してください。

マシンアイデンティティ管理（MIM）は、人間以外のユーザーのデジタルアイデンティティ、つまりハードウェアデバイス（IoT デバイスを含む）、ワークロード、アプリケーション、コンテナなどが使用するデジタル証明書と鍵を管理します。MIM は、IAM とシークレット管理両方のサブセットです。

非人間ID (NHI) は、マシン、サービス、アプリケーション、自動化システムが人間の介入なしにデータへ安全にアクセスし、タスクを実行するために使用するデジタル認証情報です。NHIは現代のIT運用において不可欠な役割を果たしますが、同時に固有のセキュリティ課題ももたらします。

マルウェアとは、その名が示すように悪意のあるソフトウェアのことで、被害者がフィッシングメールをクリックしたり、ゲームや映画、ソフトウェアなどを通して悪意のあるファイルをダウンロードするなど、さまざまな手法でデバイスに感染します。

マスターパスワードは、MP と略されることもあり、エンドユーザーが Keeper のようなパスワードマネージャーのインストールとセットアップ時に作成するパスワードです。ユーザーのマスターパスワードは、覚えておかなければならない唯一のパスワードです。デジタルパスワードボルトへの鍵であるため、それが強力で独自なものであること、そしてユーザーがそれを紛失したり、忘れたりしないことが重要です。このため、パスフレーズはマスターパスワードの作成に適した方法です。

二要素認証 (2FA)は、ユーザーがアカウントやシステムにアクセスする前に、2つの認証情報を提供する必要があるセキュリティプロセスです。
最初の要素は通常、パスワードや個人識別番号で、2番目の要素は、スマートカードやセキュリティトークンなどの物理的なものから、指紋や顔認識などの生体認証、または位置情報などが含まれます。2要素認証は、追加のセキュリティ層を提供することにより、パスワードが漏洩しても不正アクセスから保護します。

多要素認証（MFA）および二要素認証（2FA）は、アプリ、フォルダ、システムなどのリソースにアクセスするために、ユーザーに 2 つ以上の認証要素を提供することを要求する認証メソッドです。2FA/MFA として「認定」されるためには、各認証要素が以下のように異なる認証カテゴリに属している必要があります。

知識情報 - パスワードや PIN など。

所持情報 - セキュリティキーやカードなど。

生体情報 - 指紋や虹彩スキャンなどの生体認証。

位置情報 - IP アドレスと物理的位置。あまり使われない。

ATM は MFA の一例です。なぜなら、ユーザはカード（所持情報）を挿入し、PIN（知識情報） を入力しなければならないからです。

2FA と MFA は本質的に同義語であり、唯一の違いは、2FA が ATM の例のように 2 つの認証要素しか必要としないのに対し、MFA は理論上 3 つ以上の認証要素（スマートカード、PIN、指紋など）を必要とすることです。

ワンタイムパスワード（OTP）またはタイムベースワンタイムパスワード（TOTP）とは、1 回の取引やログインセッションでユーザーを認証するために自動的に生成される文字列です。OTP は、電子メール、SMS、認証アプリを通じて配信されます。2FA/MFA の認証要素としてよく使用されます。

TOTP は OTP と似ていますが、通常 30～60 秒という短い時間しか有効ではない点に違いがあります。

OpenID Connect（OIDC）は、OAuth 2.0 フレームワーク上にビルドされた、JSON Web tokens を使用する RESTful 認証システムです。サードパーティーアプリがユーザーの身元を確認し、基本的なユーザープロファイル情報を取得することを可能にし、複数のアプリケーション間でのシングルサインオンを実現します。

Pass-the-hash (PtH) 攻撃では、脅威者がハッシュ化されたパスワードを盗み、それをクラックせずに、システムを騙して新しい認証ユーザーセッションを作成しようとします。Pass-the-hash 攻撃は、通常、すでに侵入されたネットワーク内を横方向に移動するために使用されます。Windows マシンは、NTLM（New Technology Local Area Network Manager）ハッシュの脆弱性により、実際のパスワードを必要とせず、パスワードのハッシュ値のみで漏洩したドメインアカウントを利用できるため、特にパスザハッシュの影響を受けやすいと言えます。

パスフレーズは、ユーザーが強力な独自のパスワードを作成するための簡単な方法です。このため、パスフレーズはマスターパスワードの作成に頻繁に使用されています。

パスフレーズを作成するには、ユーザーは大文字と小文字、数字、特殊文字、句読点を組み合わせた文章またはフレーズを作成する必要があります。

許容できないパスフレーズの例：「My first apartment was in Alexandria, Virginia.」この場合、MfawiAV というパスワードが生成されますが、これはかなり短く（7文字のみ）、特殊文字や数字が含まれていません。自動化されたパスワードクラッカーを使っている脅威者は、このパスワードをすぐに見つけ出すことができます。

許容されるパスフレーズの例：「My first apartment was at 2630 Hegal Place #42 Alexandria, Virginia 23242.」この場合、Mfawa2630HP#42AV23242 というパスワードが生成されます。このパスワードは 21 文字あり、大文字と小文字、数字、特殊文字が含まれています。このパスワードを解読するのは、自動化されたパスワードクラッカーでも数十年はかかるでしょう。

多くのパスワードがユーザーの間で非常に「人気」であることを利用したブルートフォース（総当り）攻撃です。例えば、多くの人が「qwerty」というキーボードパターンや、単に「password」という単語を使っています。パスワードスプレー攻撃は、「人気のある」パスワードのリストを使い、システム内のすべてのユーザー名との組み合わせでそれらを試行します。

生体認証、セキュリティキー、ワンタイムパスワード（OTP）などの手段により、パスワードを使用せずに本人確認を行うメソッドです。

スーパーユーザー特権管理（SUPM）とも呼ばれる特権昇格と委任管理（PEDM）は、PAM のサブセットで、非管理ユーザーに特定の制限に基づく特権システムへの一時的アクセスを提供します。例えば、あるユーザーには、特定のアプリケーションへのアクセスが指定された期間だけ許可されることがあります。セッションの制限時間が過ぎると、そのユーザーのアクセス権は自動的に取り消されます。

PEDM ソリューションにより、企業はジャストインタイムアクセスを活用して、管理許可を持つユーザー数を削減することができます。

特権アクセスガバナンス（PAG）は、特権ユーザーに IAM ルールを適用し、特権ユーザーのアクセスでも最小特権の原則に従うことを保証します。PAG に関連するプロセスとしては、アカウントの自動プロビジョニングとプロビジョニング解除、新規特権アクセスを許可するための正式な承認プロセス、特権アカウントの定期的なレビューによりアクセスレベルが適切なのを確認することなどがあります。

Privileged account discovery is the process of finding all privileged accounts across IT environments to minimize security vulnerabilities, meet compliance standards and enable Privileged Access Management (PAM).

特権アクセス管理（PAM）とは、組織が最も重要な情報やリソース（ローカルやドメインの管理者アカウントなど）へのアクセスを保護、制御、モニタリングするために使用するツールや技術のことを指します。

PAM-as-a-Service と呼ばれることもある Privileged Access Management as a Service（PAMaaS）は、クラウド型の特権アクセス管理ソリューションです。

特権アクセスワークステーション（PAW）は、セキュアアクセスワークステーション（SAW）と呼ばれることもあり、高度な特権タスクを実行するためだけに特別に設計された堅牢なワークステーションです。PAW は、ローカル管理アクセスを制限し、電子メール、オフィス生産性ツール、ウェブブラウジングをブロックするセキュリティ制御とポリシーで構成され、高度な特権タスクを実行するために絶対に必要なツールのみが装備されています。これにより、フィッシング攻撃の最も一般的なベクトルである電子メールとウェブブラウジングをブロックし、PAW が危険にさらされるリスクを劇的に低減しています。

特権アカウントは、標準的なユーザーアカウントよりもはるかに高いネットワークアクセスレベルを持っています。例えば、特権アカウントは、ユーザーのプロビジョニングとプロビジョニング解除、ユーザーのアクセスレベルの変更、システムやアプリケーションのコンフィギュレーションの変更を行うことができます。

特権アカウントは、しばしば管理者アカウントと呼ばれますが、すべての特権アカウントが人間によって使用されるわけではありません。アプリケーションにより使用されるサービスアカウントは、特権アカウントです。

さらに、「特権アカウント」という用語は、政府の機密ファイル、医療記録、組織の財務情報など、極めてセンシティブなデータにアクセスできる CEO や CFO など、技術者ではないハイレベルのユーザーを指す場合もあります。

特権アカウントとセッション管理（PASM）は、特権アクセス管理（PAM）の一部であり、特権ユーザーアカウントの保護、制御、モニタリングを行う方法を組織に提供するものです。これにより、IT チームは重要な管理ユーザーセッションに対する強力なガバナンスを持つことができます。

Privileged Identity Management（PIM）は、PAM と連動して動作します。PAM が特権ユーザーのアカウントを管理するためのポリシーと技術的ソリューションを指すのに対し、PIM は特権ユーザーがどのリソースにアクセスできるかを管理するものです。PIM によって、組織は特権ユーザーの特定のデータやシステムへのアクセス権を制御、管理、モニタリングすることができます。

特権セッション管理（PSM）は、特権アクセス管理（PAM）と連動して、組織で最も機密性の高い重要なシステムやデータへのアクセスを保護します。PAM が特権ユーザーのクレデンシャル保護に重点を置いているのに対し、PSM は特権セッションの制御、モニタリング、記録、つまり特権ユーザーがネットワークにログインした後に取る行動のすべてを対象としています。

PSM は、特権ユーザーによるアクセスの悪用を防止するだけでなく、SOX、HIPAA、PCI DSS、ICS CERT、GLBA、FDCC、FISMA など、特権ユーザーの行動が記録され、モニタリングされることが求められるコンプライアンス規制への対応を可能にします。

システム全体または個々のアプリへのユーザーアクセスを確立するプロセスです。新入社員は、業務を遂行するために必要なすべてのシステムとアプリにプロビジョニングされます。また、新たな職責を担う社員は、追加のアプリとシステムにプロビジョニングする必要があるかもしれません。

公開鍵暗号化または非対称暗号とも呼ばれます。誰でも利用できる公開鍵と、秘密鍵の 2 つの鍵を用いてデータを暗号化する方法です。公開鍵で暗号化されたデータは、秘密鍵でのみ復号することができ、その逆もまた可能です。

PWN とは、オンラインゲームコミュニティで生まれたハッカースラングで、「owned」のスペルを間違えたものです。（このため、PWN は「pawn」ではなく「own」と発音されます。）アカウントやネットワークへの侵入に成功するなどして、征服する、支配する、という意味を持ちます。

Remote Authentication Dial-In User Service（RADIUS）は、リモートおよびワイヤレスネットワークアクセスの認証、承認、およびアカウンティング管理を一元化できるクライアントサーバープロトコルです。RADIUS はアプリケーション層で実行され、組織はすべてのリモートサーバーで共有される中央リポジトリにユーザープロファイルを維持することができます。

リモートデスクトッププロトコル（RDP）とは、Microsoft が開発した独自のネットワーク通信プロトコルであり、RDP はワークステーションやサーバーへの安全なリモートアクセスを可能にします。RDP は、技術的なバックグラウンドを持たないエンドユーザーが自分のワークステーションにリモートアクセスしたり、IT 管理者や DevOps チームがリモートでシステムメンテナンスや、問題の診断と修復を行うために使用することができます。グラフィカルユーザーインターフェースを使用することで、リモートユーザーは、リモートマシンの前に座っているときと同じように、アプリケーションを開いたり、ファイルを編集することができます。

Windows のほか、Mac OS、Linux/Unix、Google Android、Apple iOS 用の RDP クライアントが利用可能です。オープンソース版の RDP ソフトウェアも利用可能です。

Representational State Transfer の略で、GET、PUT、DELETE など、クライアントがサーバーのデータにアクセスするための一連の関数を定義した、最新でステートレスで非常に柔軟な API です。クライアントとサーバーは HTTP を使用してデータを交換します。

ロボティックプロセスオートメーション (RPA) とは、人手による反復的な作業を自動化するためのソフトウェアを指します。RPAは人工知能と機械学習を活用し、ボットが人間の操作を模倣しながら、状況の変化に適応できるようにします。たとえば、RPAは顧客からの問い合わせをリアルタイムで分析し、応答するインタラクティブなチャットボットの構築などに利用されています。

リモート特権アクセス管理 (RPAM) は、リモート環境で作業するユーザーの特権アクセスを保護、制御し、承認されたユーザーのみが重要なシステムにアクセスできるようにする仕組みです。RPAMは、ゼロトラストセキュリティ、ジャストインタイム (JIT) アクセス、認証情報のマスキング (秘匿化) を実施することで、内部脅威や外部からのサイバー攻撃のリスクを低減します。ハイブリッドワークや分散型ワーク環境でリモートアクセスを安全に管理したい組織にとって、RPAMは不可欠な仕組みです。

ロールベースのアクセス制御（RBAC）とは、ロールベースのセキュリティとも呼ばれ、組織内のユーザーのロールによってアクセスできるネットワーク資源を決定するアクセス制御モデルです。RBAC の目的は、ユーザーが自分の職務と無関係なシステムやデータにアクセスできないようにすることで、コンプライアンスを強化し、データ漏洩を防ぎ、ユーザーのクレデンシャルが漏洩した場合には、脅威者がネットワーク内で横方向に移動する能力を阻害することです。最小特権アクセスと連動します。

Security Assertion Markup Language（セキュリティアサーション・マークアップランゲージ）の略で、当事者間で認証と承認のデータを交換するためのオープンスタンダードです。通常、SSO のアイデンティティプロバイダがサービスプロバイダと通信するために使用され、SSO をセキュリティドメイン間で拡張し、ウェブブラウザによるシングルサインオンを可能にします。

IT 環境において、機密のまま保持する必要があるコンパクトなデータのことです。一般的に、人間以外が高い特権を持つシステムやデータへの認証する際に使用されます。IT シークレットの例としては、RDP クレデンシャル、SSH 鍵、API 鍵、特権アカウントクレデンシャルなどがあります。

APIキー、デジタル証明書、特権アカウント認証情報など、IT環境におけるインフラストラクチャシークレットの保管、アクセス、管理を安全に行うためのツールとメソッドのことです。アプリケーション間パスワード管理 (AAPM) とも呼ばれます。

SSH (Secure Shell) プロトコルは、2台のコンピューター間で安全に通信を行うための暗号化通信プロトコルです。従来のTelnetやその他の旧式のUnixリモートシェルプロトコルは、通信内容を平文で送信するため傍受される危険性がありましたが、SSHはそれらに代わる安全な手段として開発されました。SSHは公開鍵暗号方式を用いて、リモートシステムとユーザーを認証し、通信全体を暗号化します。主な用途としては、リモートログインや安全なコマンドライン操作の実行が挙げられます。

Security as a Service（SaaS / SecaaS）は、企業が社内のリソースを使用する代わりに、サイバーセキュリティソリューションとサービスをアウトソーシングするビジネスモデルです。SecaaS は、クラウドベースの PAM または IAM プラットフォームを展開するという最小限のものから、組織のセキュリティ機能をすべてアウトソーシングするという大規模なものまで、さまざまな形態があります。

Security Information and Event Management（SIEM）システムは、組織のデータ環境全体からセキュリティデータを集約、分析し、潜在的な脅威を人間のセキュリティ担当者に通知するソフトウェアプラットフォームです。SIEM は、ネットワーク機器、サーバー、ドメインコントローラーなど、ハードウェアとアプリケーションの両方からデータを収集し、分析します。

エンドユーザーが自分の身元を証明し、デジタルリソースにアクセスするために利用する物理的または論理的なデバイスです。セキュリティトークンは、パスワードに加えて、2FA/MFA 認証要素として、またはパスワードレス認証設定におけるパスワードの代わりとして使用することができます。

物理的なセキュリティトークンには、キーカードやセキュリティキー（YubiKey など）があります。デジタルセキュリティトークンには、認証アプリが生成する OTP/TOTP が含まれます。

セルフサービスパスワードリセット（SSPR）は、ビジネスプロセスの自動化機能で、ユーザーが人間の IT スタッフと対話することなくパスワードをリセットすることができ、エンドユーザーとヘルプデスク両方の時間を節約することができます。SSPR は通常、紛失したパスワード、忘れたパスワード、期限切れのパスワードをリセットするために使用されます。

サービスアカウントとは、アプリケーションなどの非人間アイデンティティ (NHI) によって自動化されたタスクを実行するために使用される特権アカウントのことです。これらは、仮想マシンやオンプレミス環境、APIを呼び出す際などによく利用されます。

ユーザーアカウントとは異なり、サービスアカウントは通常、ソフトウェアのインストール時に自動的に作成、設定されます。アプリケーションはこれを用いて認証を行い、人の操作を介さずに必要な処理を実行します。サービスアカウントは運用を効率化し、ITチームの作業時間を削減する一方で、重大なセキュリティリスクを伴うため、厳格な管理と監視が不可欠です。

パスキーとは、パスワードの代わりに暗号鍵を使用してアカウントやアプリにログインできる、最新のパスワードレス認証技術です。パスキーは、生体認証（指紋、顔認証など）を利用することで、ユーザーの本人確認を行います。

シークレット管理のサブセットであるサービスアカウントガバナンス（SAG）は、プロビジョニングとプロビジョニング解除、パスワード管理、依存関係管理など、サービスアカウントのセキュリティと管理に使用するポリシー、手順、技術的なツールを指します。

Shared Account Password Management（SAPM）は、特権ユーザー管理（PUM）と似ており、共有特権アカウントの管理を指します。これは、組織としては何とか避けるべきものです。なぜなら、特権アカウントは、セキュリティとコンプライアンス両方の目的で厳重に管理、モニタリングされなければならないからです。

シングルサインオン（SSO）とは、ユーザーが 1 つの認証情報を利用して複数のアプリやシステムにアクセスできるようにする認証メソッドです。SSO は federated identity management（FIM）と同義で使われることが多いですが、SSO は単一ドメイン内でのアクセスを可能にし、federated identity management はドメインをまたいだシステムやアプリへのアクセスを可能にします。

SSO の例：従業員が、1 組のクレデンシャルを使用して、職場の電子メール、人事ポータル、その他の社内リソースにアクセスする。

FIM の例：従業員が、1 組のクレデンシャルを使用して、ビデオ会議アプリや発券システムなどのサードパーティアプリケーションにアクセスする。

SSO と FIM は、互いに組み合わせて使用されることが多くあります。

REST のような柔軟性の高いオプションが優先されることで使われなくなった古い API です。Simple Object Access Protocol を使用し、クライアントとサーバーは XML を使用してメッセージを交換します。

ガートナー社は、ソフトウェア変更および構成管理（SCCM）を、ソフトウェアのバージョニングと構成を管理および制御するために使用されるツールと定義しています。また、ガートナー社は「開発変更管理、不具合追跡、変更自動化、開発リリース管理、統合テスト管理、統合ビルド管理、その他関連プロセス」のためのソリューションも SCCM の一部とみなしています。

System for Cross-Domain Identity Management（SCIM）とは、ユーザーのプロビジョニングとプロビジョニング解除を自動化するためのオープンスタンダードです。SCIM は、JSON または XML でフォーマットされたデータで、REST を通じて標準化された API を介して、アイデンティティドメインまたは IT システム間でユーザー ID 情報を交換することを可能にします。組織は SCIM を使用して、オフィス生産性スイート、CRM（顧客関係管理）、発券システムなどのサードパーティプラットフォームから、従業員の入社や退職に合わせて自動的にユーザーを追加、削除しています。

組織がより多くの SaaS ソリューションを採用するにつれて、SCIM は LDAP の代替手段として急速に普及しています。Microsoft Entra ID などの主要なアイデンティティプロバイダーが SCIM をサポートしており、Microsoft Office や Google Workspace など、人気の高い SaaS プラットフォームも SCIM をサポートしています。

TLS（Transport Layer Security）と SSL（Secure Socket Layers）は、インターネット上でデータを転送する際に、データの暗号化や接続の認証を行う暗号化プロトコルです。

TLS は SSL から発展したもので、TLS プロトコルは当初 SSL 3.0 と呼ばれる予定でした。この名称は、SSL を開発した、今は現存しない Netscape 社との関連付けをなくすため、公開前に変更されました。TLS と SSL はしばしば同じ意味で使われますが、SSL にはセキュリティの脆弱性があるため現在では使用されず、TLS はそれを修正するために開発されました。

セッション状態の情報を含む署名されたクッキーを使用して、ユーザーがアプリケーションに認証できるメソッドです。トークンベース認証は、一般的に他の認証メソッドと組み合わせて使用されます。このシナリオでは、最初のアイデンティティ認証に別の方法を使用し、ユーザーがウェブサイトやアプリケーションに戻った際、再認証するためにトークンベースの認証を使用します。

Universal Authentication Framework（UAF）は、FIDO アライアンスによって開発されたオープンスタンダードで、二次認証ではなく、一次認証としてパスワードレス認証を可能にすることを目的としています。

Universal Second Factor (U2F) は、2FA/MFA の追加要素として、USB または近距離無線通信（NFC）で接続されたハードウェアセキュリティトークンを使用するオープンスタンダードです。当初は Google と Yubico が開発し、NXP セミコンダクターズが貢献しましたが、現在 U2F 規格は FIDO アライアンスによってホストされており、FIDO2 プロジェクトに引き継がれました。

ユーザーアカウント制御（UAC）は、Microsoft Windows システムに含まれる強制的なアクセス制御の実施機能です。UAC は、人間のユーザー、アプリケーション、マルウェアがオペレーティングシステムに不正な変更を加えるのを防ぐことで、マルウェアの影響を軽減するのに役立ちます。この機能は、管理者アクセストークンを必要とするすべてのアプリケーションに対して、新しいソフトウェアのインストールなどの特定のプロセスを実行する前に同意を求めるプロンプトを表示するように強制することで機能します。

User and Entity Behavior Analytics（UEBA）は、人工知能と機械学習アルゴリズムを活用して、組織ネットワーク内の人間ユーザー、ルーター、サーバー、エンドポイントの行動ベースラインを作成し、そのベースラインからの逸脱をモニタリングするものです。UEBA の一般的な活用例としては、クレジットカード会社が顧客の口座を一時的に凍結するケースがあります。これは、ある顧客が突然大量の注文をするなど、ユーザーの行動が劇的に変化したことをアルゴリズムが察知したためです。

Vendor Privileged Access Management (VPAM) is a component of Privileged Access Management (PAM) that focuses on managing, controlling and monitoring the access third-party vendors and contractors have to an organization’s systems, networks and data.

Privileged task automation is the use of automated workflows to securely perform tasks that require privileged access, such as provisioning or credential management, without exposing privileged credentials.

仮想ネットワークコンピューティング（VNC）は、他のコンピュータからデスクトップをリモートで操作するために使用されるクロスプラットフォームの画面共有システムです。VNC を使用すると、リモートユーザーは、コンピュータの画面、キーボード、マウスをコンピュータの前に座っているかのように使用することができます。

VNC は、クライアント/サーバーモデルで動作し、アクセスするリモートマシン上にサーバーコンポーネントをインストールし、リモートマシンにアクセスするデバイス上に VNC ビューア、またはクライアントをインストールする必要があります。VNC は、クライアントとサーバ間のデータ転送の形式を管理するために、リモートフレームバッファ（RFB）プロトコルを利用します。

VNC は RDP と似ていますが、VNC は複数のオペレーティングシステムで動作し、サーバーを経由するのとは対照的にリモートコンピューターに直接接続します。

Web Access Management（WAM）とは、1990 年代から 2000 年代初頭にかけて一般的だった IAM の前身です。WAM ソリューションは、企業のデータセンターでオンプレミスでホストされているウェブリソースへのユーザーアクセスに対する制御とガバナンスを提供していました。WAM ツールは、クラウドコンピューティング、モビリティ、API、リモートアクセスの出現に適応できなかったため、より堅牢な IAM ソリューションに取って代わられました。

WebAuthn (Web Authentication) は、World Wide Web Consortium (W3C) によって公開されたウェブベースの API で、FIDO2 仕様の主要コンポーネントです。WebAuthn によってウェブサイトはログインページをアップデートし、サポートされているブラウザとプラットフォーム上で FIDO ベースの認証を追加することができます。

eXtensible Access Control Markup Language（拡張可能なアクセス制御マークアップ言語）の略です。属性ベースのアクセス制御（ABAC）、ポリシーベースのアクセス制御（PBAC）、その他の非常に複雑な認証メカニズムをサポートする IAM ソリューションにおいて活用される構造化言語であり、相互作用する一連の詳細なユーザー属性に従ってアクセス権を付与します。

ゼロ知識とは、独自の暗号化とデータ分離フレームワークを利用したセキュリティモデルで、IT サービスプロバイダーがサーバーに保存された顧客データを一切の知識を持たないようにすることで、リモートでのデータ漏洩から保護するものです。

ゼロ知識においては、データはサーバーではなく、デバイスレベルで暗号化および復号されます。サーバーがプレーンテキストでデータを受信または保存することはなく、IT サービスプロバイダは顧客の暗号鍵にアクセスすることはできません。その結果、顧客以外は誰も暗号化されていないデータにアクセスすることはできません。IT サービスプロバイダの従業員でさえもアクセスできません。

Keeper Security は、ゼロ知識セキュリティプロバイダです。データは転送される前にユーザーのデバイス上で暗号化され、Keeper のデジタルボルトに保存されます。データが他のデバイスに同期される場合、データは他のデバイスで復号されるまで暗号化されたままとなります。Keeper は顧客のマスターパスワードにアクセスすることはできず、顧客のデータを復号するために顧客の暗号鍵にアクセスすることもできません。

すべてのユーザーとデバイスが潜在的に侵害される可能性があることを前提とした最新の IAM フレームワークで、人間または機械の誰もがネットワークにアクセスする前に検証されなければならず、ネットワークリソースへの最小特権アクセスを持たなければなりません。

ゼロトラストネットワークアクセス（ZTNA）は、ユーザーやデバイスがネットワーク境界の内外に関係なく、厳格なアクセス制御と認証メカニズムを維持することに重点を置いたネットワーク・セキュリティ・フレームワークです。

Discoverable credentials は Resident keys とも呼ばれ、WebAuthn API がパスワードレスのログイン体験で高保証の MFA を提供することを可能にします。

「従来の」認証設定では、ユーザーのクレデンシャルが依拠当事者のサーバーに保存されます。このため、認証器が認証情報を復号して使用する前に、サーバーが認証器に認証情報を返す必要があります。さらに、ユーザーは自分のアイデンティティを確認するために、ユーザー名と、多くの場合はパスワードを入力する必要があります。

discoverable credential のセットアップでは、ユーザーの秘密鍵と関連するメタデータは、 依拠当事者のサーバーではなく、認証器に保管されます。最初の登録プロセスで、依拠当事者のサーバーは、独自の識別子を含むユーザーハンドルを生成します。このユーザーハンドルは、秘密鍵とともに認証器に保管されます。

次に、認証プロセスにおいて、認証器はユーザーハンドルを返し、サーバーは、ユーザーがログインするためにユーザー名を入力する代わりに、関連するユーザーを検索することができます。認証器が PIN や生体認証もサポートする場合、依拠当事者はパスワードを送信することなく、1 回のログインで高保証の MFA を取得することができます。

Attestation（アテステーション）とは、証拠や証明のようなものを指します。FIDO 2.0 のセキュリティ仕様では、attestation を使用して、依拠当事者に認証器モデルの暗号化証明書を提供し、そこから依拠当事者は認証器のセキュリティ特性を派生させることができます。

FIDO 2.0 では、attestation statements（認証ステートメント）はコンテキストデータと結合されます。データは、署名要求がサーバーから認証器に渡される際に観察され、追加されます。署名を検証するために、サーバーは受信したデータを期待される値と照合します。

FIDO 2.0 の文脈においては、依拠当事者とは、FIDO プロトコルを使用してユーザーを直接認証するウェブサイトまたはその他のエンティティを指します。

FIDO が SAML や OpenID Connect などの連合アイデンティティ管理プロトコルと組み合わされる場合、アイデンティティプロバイダも FIDO の依拠当事者となります。

An open standard for secure authorization, allowing users to grant third-party applications limited access to their information without sharing their passwords. Widely used by companies like Amazon, Google, Facebook, Microsoft and X to enable safe data sharing across services.