Keeper IAM 用語集

特定のシステムリソースへのアクセスを許可または拒否するユーザーやシステム、およびそれらのリソースに対して実行できる操作を指定した許可のリストです。

IT 管理者が、特定のシステムやデータへのユーザーアクセスを許可、制限するためのプロセスです。通常、職務上のロール、部署、プロジェクトチームなどのグループを設定し、ユーザーを適切なグループに割り当てることにより実現されます。アイデンティティ管理と連動して動作します。

Active Directory（AD）とは、Microsoft が開発した Windows ドメインネットワーク用のディレクトリサービスです。元々、AD はドメインの集中管理にのみ用いられていましたが、現在ではディレクトリベースのアイデンティティサービスを幅広く指す包括的な用語となっています。これにより、企業はユーザーごとに単一のアイデンティティを使用して、複数のオンプレミス・インフラコンポーネントやシステムを管理することができます。AD と組み合わせて使用する Azure Active Directory と混同しないでください。

組織の Active Directory は、すべてのシステムアクセスを制御するため、効果的な Active Directory セキュリティは、データ環境全体のセキュリティを確保するために非常に重要なものとなります。

Active Directory（AD）を補完し、オンプレミアのアイデンティティをクラウドアプリケーションに拡張するツールです。ウェブアプリケーションの SSO ツールに似ていますが、クラウドではなくオンプレミスで使用されます。Azure AD と同様に、AD FS は Active Directory の代替とするものではなく、併用するツールです。

適応型認証、リスクベース認証とも呼ばれます。特定のアクセス要求がもたらすリスクに応じて、ログインパラメータを動的に調整するメソッドです。例えば、いつも使っているデバイスでサービスにログインするユーザーはパスワードの入力だけで済むかもしれませんが、新しいデバイスあるいは新しいブラウザからログインしようとすると、セキュリティに関する質問への回答やワンタイムアクセスコードの入力が必要になることがあります。

異なるソフトウェアアプリケーションが互いに会話できるようにするための定義とプロトコルのセットです。例えば、天気予報のアプリは、気象庁からの API を使用して天気データを表示しています。最近のウェブサイトやアプリのほとんどは、少なくともいくつかのサードパーティ製 API を使用しています。

API には 4 つのタイプがあります：

公開 API は、誰でも利用することができます。ただし、公開 API の中には、事前の承認や利用料が必要なものもあります。

プライベート API は、まさに「プライベート」です。組織の内部にあり、ビジネスの内部でのみ使用されます。

パートナー API は、プライベート API と似ています。パートナー API は、プライベート API と同様に、企業間のアプリケーションやトランザクションを促進するために、許可された外部のビジネスパートナーによってのみ使用されます。

復号 API は、2 つ以上の API タイプを組み合わせたものです。

ユーザー、開発者、またはアプリケーションを API で認証するために使用される独自の識別子です。通常、API へのアクセス権も含まれます。

ユーザーが主張する本人であることを確認することです。「アイデンティティ管理」をご覧ください。

ユーザーが特定のシステムやデータへのアクセスを承認されていることを確認することです。「アクセス管理」をご覧ください。

API 鍵、デジタル証明書、特権アカウントのクレデンシャルなど、IT 環境におけるインフラストラクチャのシークレットを安全に保管、アクセス、管理するためのツールやメソッドです。アプリケーション間パスワード管理（AAPM）としても知られています。

クラウドとオンプレミスの両方のデータ環境において、組織がすべてのアプリケーションに使用できる Identity as a Service（IDaaS）ソリューションです。Azure Active Directory（Azure AD）は Active Directory の代替としてではなく、AD と連携して使用されます。

指紋、虹彩スキャン、顔認証など、ユーザー認証やアクセス制御に使用される、個人特有の身体的特徴のことです。

脅威者がスクリプトを使用して大量のパスワードやパスフレーズを送信し、有効なクレデンシャルのセットが見つかるまですべての可能な組み合わせを系統的にチェックする、自動化された攻撃です。

ビジネスプロセスオートメーション（BPA）とは、繰り返し行われる作業や手作業を自動化し、組織の効率化を図るソフトウェアのことです。例えば、注文確認やセルフサービス・パスワードリセット（SSPR）など、顧客のアクションに対する自動応答がこれにあたります。

定義されたネットワーク境界の内側のユーザーはすべて暗黙のうちに信頼され、外側のユーザーは信頼されないという、レガシー IAM フレームワークです。クラウドコンピューティング、モビリティ、リモートアクセスの普及により、城と堀は時代遅れとなり、ゼロトラストに取って代わられました。

FIDO2 仕様の主要コンポーネントである Client to Authenticator Protocol（CTAP）は、スマートフォンやセキュリティ鍵などの外部認証機能を、WebAuthn をサポートするブラウザと連携し、ウェブサービスやデスクトップアプリケーションの認証機能として動作させることができるようにするものです。

クラウドセキュリティとも呼ばれます。クラウドに保存され使用されるデータ、アプリケーション、サービス、および基盤となるクラウドインフラを保護するためのポリシー、手順、制御、ツールの総称です。

一般に、パブリッククラウドサービスは、クラウドサービスプロバイダーがクラウド*自体の*セキュリティに責任を持ち、サービスを購入する組織がクラウド*内の*セキュリティに責任を持つという責任共有モデルの下で運営されています。つまり、クラウドサービスプロバイダーは、物理データセンターとその中のすべてのサーバーや機器など、基盤となるインフラを保護し、企業は、クラウド展開に投入するデータとワークロードを保護します。

別のクラウドベースのサービスに IAM ソリューションを提供するクラウドベースのサービスです。

システムがセッション中のユーザーの行動をモニタリングし、ベースラインと比較して異常を探し、異常が検出された場合にユーザーに再認証を要求するプロセスです。

多くの人が複数のアカウントで同じログイン情報を使用することを利用した攻撃です。クレデンシャルスタッフィング攻撃では、脅威者はあるサイトから有効なログイン情報のセットを取得することに成功すると、できるだけ多くのサイトで試します。

組織がカスタマーアイデンティティとアクセスレベルを管理するためのプロセスです。基本的に、内部ユーザーやビジネスパートナーとは対照的に、カスタマーのみを参照する IAM のサブタイプです。

Defense-in-Depth（DiD）とは、サイバーセキュリティに対する多層的なアプローチであり、各層は異なるタイプのセキュリティに焦点を当て、サイバー脅威に対する包括的で堅牢な防御を実現するものです。1 つのレイヤーが失敗しても、次のレイヤーが脅威者の行く手を阻むという考え方です。DiD 戦略の最も一般的な要素は、アンチウイルスソフトウェア、ネットワークセキュリティツールと制御、IAM ソリューション、データ損失防止ソリューションです。

システム全体または個々のアプリケーションへのユーザーアクセスを削除するプロセスです。会社を辞める社員はシステム全体から、別の場所や部署に異動する社員は以前の場所や部署のシステムからそれぞれプロビジョニング解除されます。

DevOps セキュリティは、DevSecOps とも呼ばれ、安全なアプリケーションを構築することを目的に、ソフトウェア開発ライフサイクル（SDLC）のできるだけ早い段階でセキュリティを導入する「セキュリティのシフトレフト」を目指すアプリケーションセキュリティの実践方法です。さらに、DevOps と同様に、DevSecOps は組織のサイロを破壊し、SDLC 全体を通して開発、運用、セキュリティチーム間のコミュニケーションとコラボレーションを強化します。

EDR ソリューションは、エンドポイント脅威の検出と対応（ETDR）と呼ばれることもあり、リアルタイムの継続的なモニタリングとエンドポイントデータの収集、ルールベースの自動応答と分析を組み合わせた統合エンドポイントセキュリティツールです。EDR ソリューションは、すべてのエンドポイントアクティビティをモニタリングし、それを分析して脅威のパターンを特定し、特定された脅威を除去または抑制するために自動的に対応し、人間のセキュリティ担当者に通知します。EDR システムの目標は、脅威をリアルタイムで特定し、可能であれば自動的に緩和または抑制し、人間の担当者による迅速な対応を促進することです。

エンドポイント特権管理とは、アプリケーション制御と最小特権アクセスを組み合わせて、ユーザーが信頼できるアプリケーションのみを可能な限り小さな特権で実行できるようにするものです。

歴史的に、組織内のネットワークアクセスは、標準ユーザーと管理者の 2 つのカテゴリに大別されていました。しかし、これでは今日の非常に複雑な分散型データ環境におけるクレデンシャル関連のサイバー攻撃から身を守るには全くもって不十分となります。エンドポイント特権管理は、ユーザーのアクセスレベルを管理し、管理特権ができるだけ少数のユーザーにしか付与されないようにします。エンドポイント特権管理は、内部脅威からの保護に加え、外部の脅威者が作業しているユーザークレデンシャルのセットを侵害しようとした場合に、ネットワーク内で横方向に移動する能力を制限することができます。

エンドポイント保護プラットフォーム（EPP）とは、エンドポイントデバイス上の悪意のあるアクティビティを検出し、不正アクセス、フィッシング、ファイルベースのマルウェア攻撃から保護する統合ソリューションです。最新の EPP は通常クラウドベースで、パーソナルファイアウォール、データ保護およびデータ損失防止機能、デバイス制御、脆弱性、パッチ、構成管理ソリューションとの統合を含むものもあります。

エンタープライズパスワードマネージャ（EPM）は、とりわけ商用利用を目的として設計されたパスワード管理プラットフォームです。EPM は、あらゆる組織のセキュリティと IAM スタックの基本的な部分です。

EPM は、強力なパスワードの自動生成や、パスワードの保管と複数のデバイスからのアクセスに使用できる安全なデジタルボルトの提供など、消費者向けパスワードマネージャーが行うすべての機能を備えています。EPM には、IT およびセキュリティスタッフがユーザーアカウントのプロビジョニングとプロビジョニング解除に使用できる管理パネル、組織全体におけるパスワード使用のモニタリングとコントロール、ロールベースのアクセス制御（RBAC）と最小特権アクセスの設定、監査レポートの実行、共有パスワードの管理など、組織に固有の機能も豊富に含まれています。

さらに、一部の EPM はマネージドサービスプロバイダー（KeeperMSP など）や米国政府機関（Keeper Security Government Cloud、別名 KSGC など）のニーズを満たすように特別に調整されたソリューションを提供しています。

Federated Identity Management（FIM）とは、複数のソフトウェアシステムがより大きな中央システムから ID データを共有する認証メソッドで、ユーザーは 1 組のログイン情報で複数のアプリケーションやシステムにアクセスできるようになります。連合アイデンティティ管理はしばしば SSO と同義に使われますが、SSO が単一ドメイン内でのアクセスを可能にするのに対し、FIM はドメイン（「連合組織」として知られる）間でのシステムやアプリへのアクセスを可能にします。

組織は大抵 SSO と FIM の両方を使用しています。

「世界的なパスワードへの過度な依存を減らすための認証標準を推進すること」をミッションに掲げる、オープンな業界団体です。

FIDO アライアンスと World Wide Web Consortium（W3C）の共同プロジェクトで、スマートフォンやハードウェアセキュリティトークンなどの一般的なデバイスを活用し、デスクトップとモバイル環境の両方においてオンラインサービスへの認証を可能にしようとするものです。FIDO2 は、U2F 認証規格をベースに、WebAuthn 規格と FIDO Client to Authenticator Protocol（CTAP）から構成されています。

アイデンティティとアクセス管理（IAM）は、組織がエンドユーザーのデジタルアイデンティティを管理し、組織のネットワーク、アプリケーション、データへのアクセスを制御するために使用するポリシー、手順、制御、技術的ツールを包含する総称です。IAM は、多層防御（DiD）の基本的な部分です。

特権アクセス管理（PAM）、特権セッション管理（PSM）、アイデンティティガバナンスと管理（IGA）、カスタマーアイデンティティとアクセス管理（CIAM）はすべて IAM のサブカテゴリです。

Identity as a Service（IDaaS）は、クラウドベースの認証ソリューションです。SaaS-delivered IAM（Gartner）または IAM-as-a-Service（IaaS）と呼ばれることもあります。IDaaS は、SSO プラットフォームからパスワードマネージャーまで、IAM のための多種多様な SaaS ソリューションを指す総称です。

アイデンティティガバナンスと管理（IGA）は、IAM のサブカテゴリで、組織が IAM ポリシーをデータ環境全体で一貫して普遍的に強制できるようにするためのポリシーと技術的なツールを指します。IGA ツールを使用すると、組織は、ユーザーアカウント、ロール、アクセス権の作成、管理、認証を自動化することにより、デジタルアイデンティティをより効果的に管理でき、アイデンティティ関連のアクセスリスクを軽減することができます。

IGA と IAM は同じ意味で使われることもありますが、IGA は IAM とは異なり、ガートナー社は「組織が IAM ポリシーを定義、強制できるようにするだけでなく、IAM 機能を連携させて監査やコンプライアンスの要件に対応できるようにする」ものとしています。

アイデンティティライフサイクル管理（ILM）は、IAM のサブカテゴリで、デジタルアイデンティティとそれに関連する許可を作成し、そのライフサイクルを通じた管理およびアップデートをし、不要になったら削除するためのポリシー、手順、技術的ツールを指すものです。デジタルアイデンティティは、従業員、請負業者、ベンダー、ビジネスパートナー、アプリケーションなど、人間のユーザーに属することができます。

ユーザー特権は、時間の経過とともに進化します。従業員が昇進したり、新たな職務に就いた場合、そのネットワーク特権を調整する必要がある場合があります。従業員が退職する場合、そのアクセス権を直ちに取り消さなければなりません。このような場合が ILM の出番となります。

システムが、ユーザーが本人であることを確認するためのプロセスです。例としては、ユーザー名とパスワード、多要素認証があります。アクセス管理と連動して動作します。

アイデンティティプロバイダー（IdP）は、ユーザーアイデンティティの保存と管理を行うサービ スです。IdP は、保存されているユーザー名とパスワードの組み合わせのリストに対してユーザーを照合することもあれば、他のプロバイダーが照合するユーザー ID のリストを提供することもあります。SSO プロバイダーは IdP です。

JSON Web Token (JWT) は、クライアントとサーバーの間でセキュリティ情報を共有するために使用されるオープンスタンダードです。JWT はプライベートシークレットまたは公開鍵/秘密鍵を用いて署名されるため、トークン発行後にクレームが変更されることはありません。

ジャストインタイムアクセスは、JIT アクセスとも呼ばれ、特権アクセス管理（PAM）の 1 つで、人間および人間以外のユーザーの特権をリアルタイムに昇格させ、セッション時間をあらかじめ決められた時間に制限するものです。これにより、人間のユーザーやアプリケーションは、必要なときだけ特権のあるアプリケーションやシステムにアクセスし、その後は一定時間だけアクセスできるようになります。

オープンソースのネットワーク認証プロトコルで、共通鍵暗号方式を用いて、インターネットなどの信頼されないネットワークを介して通信している、信頼されたホスト間のリクエストを認証します。Kerberos は、Microsoft Windows のデフォルトの認証プロトコルであり、Windows Active Directory のコアコンポーネントです。Kerberos のサポートは、すべての主要なオペレーティングシステムに組み込まれています。これは、複数の認証メソッドをサポートする大規模な SSO の展開において広範囲に使用されています。

セキュリティのベストプラクティスで、人間のユーザーとアプリケーションが、タスクを実行するために必要な絶対最小レベルのシステムアクセス以上は持たないというものです。

Lightweight Directory Access Protocol（LDAP）とは、IP ネットワーク上で分散型ディレクトリ情報サービスにアクセスし、維持するためのオープンなアプリケーションプロトコル規格です。LDAP は、一般的にユーザー名とパスワードの単一情報源として使用されます。アプリケーションは、LDAP サーバーに接続し、従業員の入社や退職に合わせて自動的にユーザーの追加と削除を行うことができます。LDAP は、Microsoft Active Directory の基盤として使用されています。

LDAP に代わるものとして急速に普及しつつある SCIM も参照してください。

マシンアイデンティティ管理（MIM）は、人間以外のユーザーのデジタルアイデンティティ、つまりハードウェアデバイス（IoT デバイスを含む）、ワークロード、アプリケーション、コンテナなどが使用するデジタル証明書と鍵を管理します。MIM は、IAM とシークレット管理両方のサブセットです。

マルウェアとは、その名が示すように悪意のあるソフトウェアのことで、被害者がフィッシングメールをクリックしたり、ゲームや映画、ソフトウェアなどを通して悪意のあるファイルをダウンロードするなど、さまざまな手法でデバイスに感染します。

マスターパスワードは、MP と略されることもあり、エンドユーザーが Keeper のようなパスワードマネージャーのインストールとセットアップ時に作成するパスワードです。ユーザーのマスターパスワードは、覚えておかなければならない唯一のパスワードです。デジタルパスワードボルトへの鍵であるため、それが強力で独自なものであること、そしてユーザーがそれを紛失したり、忘れたりしないことが重要です。このため、パスフレーズはマスターパスワードの作成に適した方法です。

多要素認証（MFA）および二要素認証（2FA）は、アプリ、フォルダ、システムなどのリソースにアクセスするために、ユーザーに 2 つ以上の認証要素を提供することを要求する認証メソッドです。2FA/MFA として「認定」されるためには、各認証要素が以下のように異なる認証カテゴリに属している必要があります。

知識情報 - パスワードや PIN など。

所持情報 - セキュリティキーやカードなど。

生体情報 - 指紋や虹彩スキャンなどの生体認証。

位置情報 - IP アドレスと物理的位置。あまり使われない。

ATM は MFA の一例です。なぜなら、ユーザはカード（所持情報）を挿入し、PIN（知識情報） を入力しなければならないからです。

2FA と MFA は本質的に同義語であり、唯一の違いは、2FA が ATM の例のように 2 つの認証要素しか必要としないのに対し、MFA は理論上 3 つ以上の認証要素（スマートカード、PIN、指紋など）を必要とすることです。

ウェブアプリケーションやウェブサイトにおけるユーザー情報へのアクセスを委任するためのオープンスタンダードです。Amazon、Google、Facebook、Microsoft、Twitter などの企業が使用しており、ユーザーがサードパーティーのアプリケーションやウェブサイトで自分のアカウントに関する情報を共有でき、それらサードパーティーにパスワードを教える必要がないようにするためのものです。

ワンタイムパスワード（OTP）またはタイムベースワンタイムパスワード（TOTP）とは、1 回の取引やログインセッションでユーザーを認証するために自動的に生成される文字列です。OTP は、電子メール、SMS、認証アプリを通じて配信されます。2FA/MFA の認証要素としてよく使用されます。

TOTP は OTP と似ていますが、通常 30～60 秒という短い時間しか有効ではない点に違いがあります。

OpenID Connect（OIDC）は、OAuth 2.0 フレームワーク上にビルドされた、JSON Web tokens を使用する RESTful 認証システムです。サードパーティーアプリがユーザーの身元を確認し、基本的なユーザープロファイル情報を取得することを可能にし、複数のアプリケーション間でのシングルサインオンを実現します。

Pass-the-hash (PtH) 攻撃では、脅威者がハッシュ化されたパスワードを盗み、それをクラックせずに、システムを騙して新しい認証ユーザーセッションを作成しようとします。Pass-the-hash 攻撃は、通常、すでに侵入されたネットワーク内を横方向に移動するために使用されます。Windows マシンは、NTLM（New Technology Local Area Network Manager）ハッシュの脆弱性により、実際のパスワードを必要とせず、パスワードのハッシュ値のみで漏洩したドメインアカウントを利用できるため、特にパスザハッシュの影響を受けやすいと言えます。

パスフレーズは、ユーザーが強力な独自のパスワードを作成するための簡単な方法です。このため、パスフレーズはマスターパスワードの作成に頻繁に使用されています。

パスフレーズを作成するには、ユーザーは大文字と小文字、数字、特殊文字、句読点を組み合わせた文章またはフレーズを作成する必要があります。

許容できないパスフレーズの例：「My first apartment was in Alexandria, Virginia.」この場合、MfawiAV というパスワードが生成されますが、これはかなり短く（7文字のみ）、特殊文字や数字が含まれていません。自動化されたパスワードクラッカーを使っている脅威者は、このパスワードをすぐに見つけ出すことができます。

許容されるパスフレーズの例：「My first apartment was at 2630 Hegal Place #42 Alexandria, Virginia 23242.」この場合、Mfawa2630HP#42AV23242 というパスワードが生成されます。このパスワードは 21 文字あり、大文字と小文字、数字、特殊文字が含まれています。このパスワードを解読するのは、自動化されたパスワードクラッカーでも数十年はかかるでしょう。

多くのパスワードがユーザーの間で非常に「人気」であることを利用したブルートフォース（総当り）攻撃です。例えば、多くの人が「qwerty」というキーボードパターンや、単に「password」という単語を使っています。パスワードスプレー攻撃は、「人気のある」パスワードのリストを使い、システム内のすべてのユーザー名との組み合わせでそれらを試行します。

生体認証、セキュリティキー、ワンタイムパスワード（OTP）などの手段により、パスワードを使用せずに本人確認を行うメソッドです。

スーパーユーザー特権管理（SUPM）とも呼ばれる特権昇格と委任管理（PEDM）は、PAM のサブセットで、非管理ユーザーに特定の制限に基づく特権システムへの一時的アクセスを提供します。例えば、あるユーザーには、特定のアプリケーションへのアクセスが指定された期間だけ許可されることがあります。セッションの制限時間が過ぎると、そのユーザーのアクセス権は自動的に取り消されます。

PEDM ソリューションにより、企業はジャストインタイムアクセスを活用して、管理許可を持つユーザー数を削減することができます。

特権アクセスガバナンス（PAG）は、特権ユーザーに IAM ルールを適用し、特権ユーザーのアクセスでも最小特権の原則に従うことを保証します。PAG に関連するプロセスとしては、アカウントの自動プロビジョニングとプロビジョニング解除、新規特権アクセスを許可するための正式な承認プロセス、特権アカウントの定期的なレビューによりアクセスレベルが適切なのを確認することなどがあります。

特権アクセス管理（PAM）とは、組織が最も重要な情報やリソース（ローカルやドメインの管理者アカウントなど）へのアクセスを保護、制御、モニタリングするために使用するツールや技術のことを指します。

PAM-as-a-Service と呼ばれることもある Privileged Access Management as a Service（PAMaaS）は、クラウド型の特権アクセス管理ソリューションです。

特権アクセスワークステーション（PAW）は、セキュアアクセスワークステーション（SAW）と呼ばれることもあり、高度な特権タスクを実行するためだけに特別に設計された堅牢なワークステーションです。PAW は、ローカル管理アクセスを制限し、電子メール、オフィス生産性ツール、ウェブブラウジングをブロックするセキュリティ制御とポリシーで構成され、高度な特権タスクを実行するために絶対に必要なツールのみが装備されています。これにより、フィッシング攻撃の最も一般的なベクトルである電子メールとウェブブラウジングをブロックし、PAW が危険にさらされるリスクを劇的に低減しています。

特権アカウントは、標準的なユーザーアカウントよりもはるかに高いネットワークアクセスレベルを持っています。例えば、特権アカウントは、ユーザーのプロビジョニングとプロビジョニング解除、ユーザーのアクセスレベルの変更、システムやアプリケーションのコンフィギュレーションの変更を行うことができます。

特権アカウントは、しばしば管理者アカウントと呼ばれますが、すべての特権アカウントが人間によって使用されるわけではありません。アプリケーションにより使用されるサービスアカウントは、特権アカウントです。

さらに、「特権アカウント」という用語は、政府の機密ファイル、医療記録、組織の財務情報など、極めてセンシティブなデータにアクセスできる CEO や CFO など、技術者ではないハイレベルのユーザーを指す場合もあります。

特権アカウントとセッション管理（PASM）は、特権アクセス管理（PAM）の一部であり、特権ユーザーアカウントの保護、制御、モニタリングを行う方法を組織に提供するものです。これにより、IT チームは重要な管理ユーザーセッションに対する強力なガバナンスを持つことができます。

Privileged Identity Management（PIM）は、PAM と連動して動作します。PAM が特権ユーザーのアカウントを管理するためのポリシーと技術的ソリューションを指すのに対し、PIM は特権ユーザーがどのリソースにアクセスできるかを管理するものです。PIM によって、組織は特権ユーザーの特定のデータやシステムへのアクセス権を制御、管理、モニタリングすることができます。

特権セッション管理（PSM）は、特権アクセス管理（PAM）と連動して、組織で最も機密性の高い重要なシステムやデータへのアクセスを保護します。PAM が特権ユーザーのクレデンシャル保護に重点を置いているのに対し、PSM は特権セッションの制御、モニタリング、記録、つまり特権ユーザーがネットワークにログインした後に取る行動のすべてを対象としています。

PSM は、特権ユーザーによるアクセスの悪用を防止するだけでなく、SOX、HIPAA、PCI DSS、ICS CERT、GLBA、FDCC、FISMA など、特権ユーザーの行動が記録され、モニタリングされることが求められるコンプライアンス規制への対応を可能にします。

特権ユーザー管理（PUM）は、特権アクセス管理（PAM）や特権アイデンティティ管理（PIM）と同義語として使われることがあります。しかし、重要な違いがあります。PAM アカウントとは異なり、PUM アカウントは通常共有され、2FA/MFA を使用しません。ユーザーはパスワードだけで PUM アカウントにアクセスします。この理由から、PUM アカウントは避けるべきでしょう。

システム全体または個々のアプリへのユーザーアクセスを確立するプロセスです。新入社員は、業務を遂行するために必要なすべてのシステムとアプリにプロビジョニングされます。また、新たな職責を担う社員は、追加のアプリとシステムにプロビジョニングする必要があるかもしれません。

公開鍵暗号化または非対称暗号とも呼ばれます。誰でも利用できる公開鍵と、秘密鍵の 2 つの鍵を用いてデータを暗号化する方法です。公開鍵で暗号化されたデータは、秘密鍵でのみ復号することができ、その逆もまた可能です。

PWN とは、オンラインゲームコミュニティで生まれたハッカースラングで、「owned」のスペルを間違えたものです。（このため、PWN は「pawn」ではなく「own」と発音されます。）アカウントやネットワークへの侵入に成功するなどして、征服する、支配する、という意味を持ちます。

Remote Authentication Dial-In User Service（RADIUS）は、リモートおよびワイヤレスネットワークアクセスの認証、承認、およびアカウンティング管理を一元化できるクライアントサーバープロトコルです。RADIUS はアプリケーション層で実行され、組織はすべてのリモートサーバーで共有される中央リポジトリにユーザープロファイルを維持することができます。

リモートデスクトッププロトコル（RDP）とは、Microsoft が開発した独自のネットワーク通信プロトコルであり、RDP はワークステーションやサーバーへの安全なリモートアクセスを可能にします。RDP は、技術的なバックグラウンドを持たないエンドユーザーが自分のワークステーションにリモートアクセスしたり、IT 管理者や DevOps チームがリモートでシステムメンテナンスや、問題の診断と修復を行うために使用することができます。グラフィカルユーザーインターフェースを使用することで、リモートユーザーは、リモートマシンの前に座っているときと同じように、アプリケーションを開いたり、ファイルを編集することができます。

Windows のほか、Mac OS、Linux/Unix、Google Android、Apple iOS 用の RDP クライアントが利用可能です。オープンソース版の RDP ソフトウェアも利用可能です。

Representational State Transfer の略で、GET、PUT、DELETE など、クライアントがサーバーのデータにアクセスするための一連の関数を定義した、最新でステートレスで非常に柔軟な API です。クライアントとサーバーは HTTP を使用してデータを交換します。

ビジネスプロセスオートメーション（BPA）と同様に、ロボティックプロセスオートメーション（RPA）は、手作業や反復作業を自動化するソフトウェアのことを指します。しかし、BPA とは異なり、RPA では人工知能や機械学習を多用することで、ボットが人間のユーザーを模倣し、動的な状況に適応できるようにします。例えば、BPA は定型文（注文や出荷確認など）をメールで送信するために使用されますが、RPA は顧客からの問い合わせをリアルタイムで分析できる対話型のチャットボットを構築するために使用されます。

ロールベースのアクセス制御（RBAC）とは、ロールベースのセキュリティとも呼ばれ、組織内のユーザーのロールによってアクセスできるネットワーク資源を決定するアクセス制御モデルです。RBAC の目的は、ユーザーが自分の職務と無関係なシステムやデータにアクセスできないようにすることで、コンプライアンスを強化し、データ漏洩を防ぎ、ユーザーのクレデンシャルが漏洩した場合には、脅威者がネットワーク内で横方向に移動する能力を阻害することです。最小特権アクセスと連動します。

Security Assertion Markup Language（セキュリティアサーション・マークアップランゲージ）の略で、当事者間で認証と承認のデータを交換するためのオープンスタンダードです。通常、SSO のアイデンティティプロバイダがサービスプロバイダと通信するために使用され、SSO をセキュリティドメイン間で拡張し、ウェブブラウザによるシングルサインオンを可能にします。

IT 環境において、機密のまま保持する必要があるコンパクトなデータのことです。一般的に、人間以外が高い特権を持つシステムやデータへの認証する際に使用されます。IT シークレットの例としては、RDP クレデンシャル、SSH 鍵、API 鍵、特権アカウントクレデンシャルなどがあります。

API 鍵、デジタル証明書、特権アカウントのクレデンシャルなど、IT 環境におけるインフラストラクチャのシークレットを安全に保管、アクセス、管理するためのツールやメソッドです。アプリケーション間パスワード管理（AAPM）としても知られています。

Secure Shell プロトコル（SSH）は、2 台のコンピュータが安全に通信できるようにする暗号化されたネットワークプロトコルです。SSH は、データ（パスワードを含む）をプレーンテキストで転送する Telnet や安全ではない Unix リモートシェルプロトコルに代わる安全なプロトコルとして開発されました。SSH は公開鍵暗号方式を使用してリモートコンピュータを認証し、リモートコンピュータがユーザーを認証できるようにし、2 台のコンピュータ間のすべての通信を暗号化します。SSH の最も一般的な使用法は、リモートログインとコマンドラインの実行です。

Security as a Service（SaaS / SecaaS）は、企業が社内のリソースを使用する代わりに、サイバーセキュリティソリューションとサービスをアウトソーシングするビジネスモデルです。SecaaS は、クラウドベースの PAM または IAM プラットフォームを展開するという最小限のものから、組織のセキュリティ機能をすべてアウトソーシングするという大規模なものまで、さまざまな形態があります。

Security Information and Event Management（SIEM）システムは、組織のデータ環境全体からセキュリティデータを集約、分析し、潜在的な脅威を人間のセキュリティ担当者に通知するソフトウェアプラットフォームです。SIEM は、ネットワーク機器、サーバー、ドメインコントローラーなど、ハードウェアとアプリケーションの両方からデータを収集し、分析します。

エンドユーザーが自分の身元を証明し、デジタルリソースにアクセスするために利用する物理的または論理的なデバイスです。セキュリティトークンは、パスワードに加えて、2FA/MFA 認証要素として、またはパスワードレス認証設定におけるパスワードの代わりとして使用することができます。

物理的なセキュリティトークンには、キーカードやセキュリティキー（YubiKey など）があります。デジタルセキュリティトークンには、認証アプリが生成する OTP/TOTP が含まれます。

セルフサービスパスワードリセット（SSPR）は、ビジネスプロセスの自動化機能で、ユーザーが人間の IT スタッフと対話することなくパスワードをリセットすることができ、エンドユーザーとヘルプデスク両方の時間を節約することができます。SSPR は通常、紛失したパスワード、忘れたパスワード、期限切れのパスワードをリセットするために使用されます。

人間以外のユーザー、特にアプリケーションによって使用される特別なタイプの特権アカウントです。サービスアカウントは、仮想マシン（VM）インスタンスでのワークロードの実行、オンプレミスのワークステーションやデータセンターでのワークロードの実行、API の呼び出しやその他の自動化されたプロセスなどによく使用されます。

人間のユーザーは、サービスアカウントを作成したり使用することに直接関与しません。通常、ソフトウェアのインストール時にパッケージマネージャーによって作成、設定され、アプリケーションはサービスアカウントのアイデンティティを想定して API を呼び出したり、他のプロセスを実行します。この自動化により、IT チームは時間を節約できますが、サービスアカウントは、他の特権アカウントと同様にサイバーセキュリティ上の大きなリスクをもたらすため、厳重に管理、制御する必要があります。

パスキーとは、パスワードの代わりに暗号鍵を使用してアカウントやアプリにログインできる、最新のパスワードレス認証技術です。パスキーは、生体認証（指紋、顔認証など）を利用することで、ユーザーの本人確認を行います。

シークレット管理のサブセットであるサービスアカウントガバナンス（SAG）は、プロビジョニングとプロビジョニング解除、パスワード管理、依存関係管理など、サービスアカウントのセキュリティと管理に使用するポリシー、手順、技術的なツールを指します。

Shared Account Password Management（SAPM）は、特権ユーザー管理（PUM）と似ており、共有特権アカウントの管理を指します。これは、組織としては何とか避けるべきものです。なぜなら、特権アカウントは、セキュリティとコンプライアンス両方の目的で厳重に管理、モニタリングされなければならないからです。

シングルサインオン（SSO）とは、ユーザーが 1 つの認証情報を利用して複数のアプリやシステムにアクセスできるようにする認証メソッドです。SSO は federated identity management（FIM）と同義で使われることが多いですが、SSO は単一ドメイン内でのアクセスを可能にし、federated identity management はドメインをまたいだシステムやアプリへのアクセスを可能にします。

SSO の例：従業員が、1 組のクレデンシャルを使用して、職場の電子メール、人事ポータル、その他の社内リソースにアクセスする。

FIM の例：従業員が、1 組のクレデンシャルを使用して、ビデオ会議アプリや発券システムなどのサードパーティアプリケーションにアクセスする。

SSO と FIM は、互いに組み合わせて使用されることが多くあります。

REST のような柔軟性の高いオプションが優先されることで使われなくなった古い API です。Simple Object Access Protocol を使用し、クライアントとサーバーは XML を使用してメッセージを交換します。

ガートナー社は、ソフトウェア変更および構成管理（SCCM）を、ソフトウェアのバージョニングと構成を管理および制御するために使用されるツールと定義しています。また、ガートナー社は「開発変更管理、不具合追跡、変更自動化、開発リリース管理、統合テスト管理、統合ビルド管理、その他関連プロセス」のためのソリューションも SCCM の一部とみなしています。

System for Cross-Domain Identity Management（SCIM）とは、ユーザーのプロビジョニングとプロビジョニング解除を自動化するためのオープンスタンダードです。SCIM は、JSON または XML でフォーマットされたデータで、REST を通じて標準化された API を介して、アイデンティティドメインまたは IT システム間でユーザー ID 情報を交換することを可能にします。組織は SCIM を使用して、オフィス生産性スイート、CRM（顧客関係管理）、発券システムなどのサードパーティプラットフォームから、従業員の入社や退職に合わせて自動的にユーザーを追加、削除しています。

組織がより多くの SaaS ソリューションを採用するにつれて、SCIM は LDAP の代替手段として急速に普及しています。Azure Active Directory などの主要なアイデンティティプロバイダーが SCIM をサポートしており、Microsoft Office や Google Workspace など、人気の高い SaaS プラットフォームも SCIM をサポートしています。

TLS（Transport Layer Security）と SSL（Secure Socket Layers）は、インターネット上でデータを転送する際に、データの暗号化や接続の認証を行う暗号化プロトコルです。

TLS は SSL から発展したもので、TLS プロトコルは当初 SSL 3.0 と呼ばれる予定でした。この名称は、SSL を開発した、今は現存しない Netscape 社との関連付けをなくすため、公開前に変更されました。TLS と SSL はしばしば同じ意味で使われますが、SSL にはセキュリティの脆弱性があるため現在では使用されず、TLS はそれを修正するために開発されました。

セッション状態の情報を含む署名されたクッキーを使用して、ユーザーがアプリケーションに認証できるメソッドです。トークンベース認証は、一般的に他の認証メソッドと組み合わせて使用されます。このシナリオでは、最初のアイデンティティ認証に別の方法を使用し、ユーザーがウェブサイトやアプリケーションに戻った際、再認証するためにトークンベースの認証を使用します。

Universal Authentication Framework（UAF）は、FIDO アライアンスによって開発されたオープンスタンダードで、二次認証ではなく、一次認証としてパスワードレス認証を可能にすることを目的としています。

Universal Second Factor (U2F) は、2FA/MFA の追加要素として、USB または近距離無線通信（NFC）で接続されたハードウェアセキュリティトークンを使用するオープンスタンダードです。当初は Google と Yubico が開発し、NXP セミコンダクターズが貢献しましたが、現在 U2F 規格は FIDO アライアンスによってホストされており、FIDO2 プロジェクトに引き継がれました。

ユーザーアカウント制御（UAC）は、Microsoft Windows システムに含まれる強制的なアクセス制御の実施機能です。UAC は、人間のユーザー、アプリケーション、マルウェアがオペレーティングシステムに不正な変更を加えるのを防ぐことで、マルウェアの影響を軽減するのに役立ちます。この機能は、管理者アクセストークンを必要とするすべてのアプリケーションに対して、新しいソフトウェアのインストールなどの特定のプロセスを実行する前に同意を求めるプロンプトを表示するように強制することで機能します。

User and Entity Behavior Analytics（UEBA）は、人工知能と機械学習アルゴリズムを活用して、組織ネットワーク内の人間ユーザー、ルーター、サーバー、エンドポイントの行動ベースラインを作成し、そのベースラインからの逸脱をモニタリングするものです。UEBA の一般的な活用例としては、クレジットカード会社が顧客の口座を一時的に凍結するケースがあります。これは、ある顧客が突然大量の注文をするなど、ユーザーの行動が劇的に変化したことをアルゴリズムが察知したためです。

Vendor Privileged Access Management（VPAM）は、PAM のサブセットで、機密性の高いシステムへのアクセスを必要とするベンダーに対応するものです。例えば、サードパーティの開発者、セキュリティベンダー、給与計算会社などです。VPAM ソリューションは、ベンダーの特権アクセスが、最小特権、ジャストインタイムアクセス、セッションの記録/モニタリングなど、組織の PAM アカウントと同じ制限に従うことを保証するものです。

仮想ネットワークコンピューティング（VNC）は、他のコンピュータからデスクトップをリモートで操作するために使用されるクロスプラットフォームの画面共有システムです。VNC を使用すると、リモートユーザーは、コンピュータの画面、キーボード、マウスをコンピュータの前に座っているかのように使用することができます。

VNC は、クライアント/サーバーモデルで動作し、アクセスするリモートマシン上にサーバーコンポーネントをインストールし、リモートマシンにアクセスするデバイス上に VNC ビューア、またはクライアントをインストールする必要があります。VNC は、クライアントとサーバ間のデータ転送の形式を管理するために、リモートフレームバッファ（RFB）プロトコルを利用します。

VNC は RDP と似ていますが、VNC は複数のオペレーティングシステムで動作し、サーバーを経由するのとは対照的にリモートコンピューターに直接接続します。

Web Access Management（WAM）とは、1990 年代から 2000 年代初頭にかけて一般的だった IAM の前身です。WAM ソリューションは、企業のデータセンターでオンプレミスでホストされているウェブリソースへのユーザーアクセスに対する制御とガバナンスを提供していました。WAM ツールは、クラウドコンピューティング、モビリティ、API、リモートアクセスの出現に適応できなかったため、より堅牢な IAM ソリューションに取って代わられました。

WebAuthn (Web Authentication) は、World Wide Web Consortium (W3C) によって公開されたウェブベースの API で、FIDO2 仕様の主要コンポーネントです。WebAuthn によってウェブサイトはログインページをアップデートし、サポートされているブラウザとプラットフォーム上で FIDO ベースの認証を追加することができます。

eXtensible Access Control Markup Language（拡張可能なアクセス制御マークアップ言語）の略です。属性ベースのアクセス制御（ABAC）、ポリシーベースのアクセス制御（PBAC）、その他の非常に複雑な認証メカニズムをサポートする IAM ソリューションにおいて活用される構造化言語であり、相互作用する一連の詳細なユーザー属性に従ってアクセス権を付与します。

ゼロ知識とは、独自の暗号化とデータ分離フレームワークを利用したセキュリティモデルで、IT サービスプロバイダーがサーバーに保存された顧客データを一切の知識を持たないようにすることで、リモートでのデータ漏洩から保護するものです。

ゼロ知識においては、データはサーバーではなく、デバイスレベルで暗号化および復号されます。サーバーがプレーンテキストでデータを受信または保存することはなく、IT サービスプロバイダは顧客の暗号鍵にアクセスすることはできません。その結果、顧客以外は誰も暗号化されていないデータにアクセスすることはできません。IT サービスプロバイダの従業員でさえもアクセスできません。

Keeper Security は、ゼロ知識セキュリティプロバイダです。データは転送される前にユーザーのデバイス上で暗号化され、Keeper のデジタルボルトに保存されます。データが他のデバイスに同期される場合、データは他のデバイスで復号されるまで暗号化されたままとなります。Keeper は顧客のマスターパスワードにアクセスすることはできず、顧客のデータを復号するために顧客の暗号鍵にアクセスすることもできません。

すべてのユーザーとデバイスが潜在的に侵害される可能性があることを前提とした最新の IAM フレームワークで、人間または機械の誰もがネットワークにアクセスする前に検証されなければならず、ネットワークリソースへの最小特権アクセスを持たなければなりません。

ゼロトラストネットワークアクセス（ZTNA）は、ユーザーやデバイスがネットワーク境界の内外に関係なく、厳格なアクセス制御と認証メカニズムを維持することに重点を置いたネットワーク・セキュリティ・フレームワークです。

Discoverable credentials は Resident keys とも呼ばれ、WebAuthn API がパスワードレスのログイン体験で高保証の MFA を提供することを可能にします。

「従来の」認証設定では、ユーザーのクレデンシャルが依拠当事者のサーバーに保存されます。このため、認証器が認証情報を復号して使用する前に、サーバーが認証器に認証情報を返す必要があります。さらに、ユーザーは自分のアイデンティティを確認するために、ユーザー名と、多くの場合はパスワードを入力する必要があります。

discoverable credential のセットアップでは、ユーザーの秘密鍵と関連するメタデータは、 依拠当事者のサーバーではなく、認証器に保管されます。最初の登録プロセスで、依拠当事者のサーバーは、独自の識別子を含むユーザーハンドルを生成します。このユーザーハンドルは、秘密鍵とともに認証器に保管されます。

次に、認証プロセスにおいて、認証器はユーザーハンドルを返し、サーバーは、ユーザーがログインするためにユーザー名を入力する代わりに、関連するユーザーを検索することができます。認証器が PIN や生体認証もサポートする場合、依拠当事者はパスワードを送信することなく、1 回のログインで高保証の MFA を取得することができます。

Attestation（アテステーション）とは、証拠や証明のようなものを指します。FIDO 2.0 のセキュリティ仕様では、attestation を使用して、依拠当事者に認証器モデルの暗号化証明書を提供し、そこから依拠当事者は認証器のセキュリティ特性を派生させることができます。

FIDO 2.0 では、attestation statements（認証ステートメント）はコンテキストデータと結合されます。データは、署名要求がサーバーから認証器に渡される際に観察され、追加されます。署名を検証するために、サーバーは受信したデータを期待される値と照合します。

FIDO 2.0 の文脈においては、依拠当事者とは、FIDO プロトコルを使用してユーザーを直接認証するウェブサイトまたはその他のエンティティを指します。

FIDO が SAML や OpenID Connect などの連合アイデンティティ管理プロトコルと組み合わされる場合、アイデンティティプロバイダも FIDO の依拠当事者となります。