IAM・PAM・PRAの違いとは?|自社に適したアクセス管理の選び方と判断軸
index
2023/05/25(※2026/05/19 更新)
本記事ではIAM・PAM・PRAという3つの仕組みについて、それぞれの役割・具体的な構築方法をまとめています。なお、PAMとPRAの役割や構築方法について、IIJのエキスパートプログラムマネジャーが解説しているコンテンツも公開中です。実践的な知識をさらに深めたい場合は下記コンテンツも併せてご一読ください。
IAM・PAM・PRAの違いや関係性
まずは簡単にIAM・PAM・PRAの違いや関係性について解説します。それぞれの概要や機能を把握するために役立ちます。
| 名称 | IAM(Identity and Access Management) | PAM(Privileged Access Management) | PRA(Privileged Remote Access) |
|---|---|---|---|
| 特徴 | 全ユーザが利用するアクセス管理基盤 | 社内アクセス管理の最上位の仕組み | 社外からのアクセスの個別制御システム |
| 主な機能 |
|
|
|
| 導入時のデメリット・注意点 |
|
|
|
| 利用シーン |
|
|
|
3つの違いは以上です。例えるなら「IAMで全体の入館管理を行い、入館後の特別な金庫室へのメンバーのアクセスをPAMで管理、特別な金庫室への社外アクセスをPRAで一時的に許可・制御」とイメージすると良いでしょう。
本コンテンツではここからIAM・PAM・PRAがどのような仕組みなのか詳しく解説していきますが、関心に合わせて下記の2通りから読み方を選択ください。
IAM(Identity and Access Management)とは情報セキュリティの必須の基盤
まず、IAM(Identity and Access Management)とは、組織内の情報システムへのアクセスを管理・制御するための仕組みであり、情報セキュリティの基盤となる概念です。従業員が適切な権限でシステムにアクセスできるように、ユーザIDやパスワードの管理、アクセス権限の割り当てなどを行います。
IAMによって一元的にアクセス権限を管理することで、社内の情報セキュリティの強化やコンプライアンスの遵守を実現できます。また、権限を適切に管理することで不正アクセス・情報漏えいリスクの防止・軽減ができるため、セキュリティ対策という面でも効果的です。
IAMの3つの構成要素(認証・認可・監査)と役割
IAMの構成要素は、認証、認可、および監査の3つです。これらの要素を組み合わせることにより、アクセス管理のプロセスを効率化し、情報セキュリティを向上させています。
| 認証 | 認証は、ユーザーが本人であることを確認するプロセスです。システムやアプリケーションにアクセスする際に、ユーザー名やパスワード、またはワンタイムパスワードや生体認証などの多要素認証を介して、その人物が本当にアクセス権限を持つユーザーであるかどうかを証明します。認証は、不正アクセスやなりすましを防ぐために重要です。 |
|---|---|
| 認可 | 認可は、認証されたユーザーに対して適切なアクセス権限を与えるプロセスです。ユーザーの役割や権限に基づいて、どのリソースにアクセスできるかを制御できるため、社員を必要最小限のリソースにのみアクセスさせることで権限の不適切な使用を防止し、セキュリティを向上させます。 |
| 監査 | 監査は、システムへのアクセスや操作履歴を記録・管理し、万が一不正アクセスや情報漏洩があった場合に証跡を辿るためのプロセスです。監査を通じて、社外からの攻撃だけではなく社内のコンプライアンス違反の特定・解析も可能になるため、コンプライアンスの面でもより確かな対策を講じることができます。 |
認証により正当なユーザーであることを確認、認可により適切な権限を制御、最後に監査によりアクセス状況を把握・評価というこれらの構成要素が連携して機能することで、IAMは企業の情報セキュリティを強化し、適切で効果的なアクセス管理を行う事ができます。
PAM(Privileged Access Management)とはセキュリティ管理の仕組みの一つ
次に、PAM(Privileged Access Management)は、特権アクセスを管理するためのセキュリティの仕組みであり、ユーザの認証や権限管理、操作履歴などを監視・制御できるのが特徴です。
システム・アプリケーションの管理者や運用責任者に「特権アクセス」を付与し、アクセス権のある「スーパーユーザ」と呼ばれるアカウントによって下記のような管理を実施できます。
- システムの設定変更
- アカウントの追加・削除・変更
- セキュリティ設定の管理
以上のような管理や制御をスーパーユーザのみが実施することで、不適切なシステム使用や不正アクセスを防止できます。また、一部の管理者に権限を集約するため、権限の可視化・迅速な設定変更などを実現。業務負荷を低減し、業務効率化に寄与するのも特徴です。
PAMの機能を活用して社内のアクセス管理・権限を徹底監視・制御
PAMの機能と目的は、特権アクセスを持つユーザのアクセス管理、権限の監視・制御、アクセスログの監査を行い、情報セキュリティの強化、コンプライアンス遵守、業務効率の向上を実現させることです。
| アクセス管理 | 特権アクセスを持つユーザーのアクセス管理を行い、認証や権限割り当てを適切に実施します。これにより、不正アクセスの防止や適切な権限管理が可能になります。 |
|---|---|
| 権限の監視・制御 | 特権アクセスを持つユーザーのアクセス権限の監視と制御を行う事で、権限の不適切な使用や悪意ある攻撃者による権限の悪用を防止し、情報セキュリティを向上させます。 |
| アクセスログの監査 | PAMは特権アクセスを持つユーザーのアクセスログを収集し、監査を行います。これにより、セキュリティ違反やコンプライアンス違反が発生した場合に原因を特定し、適切な対策を講じることができます。 |
| 一時的な権限の付与 | PAMでは、特定のタスクやプロジェクトに対して一時的な特権アクセス権限を付与することができます。権限の追加削除が頻繁に必要な場合でも、セキュリティリスクを軽減しつつ柔軟な運用を行うことができます。 |
| パスワード管理 | PAMは特権アカウントのパスワード管理を効率化し、定期的な変更や特定の強度をもつパスワードポリシーの適用をサポートする事で、不正アクセスのリスクを軽減します。 |
PRA(Privileged Remote Access)とは社外からのリモートアクセスを制御する仕組み
PRA(Privileged Remote Access)は特権アクセスを管理するためのセキュリティの仕組みの一つで、子会社・海外現地法人や業務委託先などの外部事業者によるリモートアクセスを管理・制御できます。外部からのアクセス時には「MFA(多要素認証)」などで認証を強化します。さらに、作業内容や時間を事前承認で制御し、作業中の操作はレコーディング機能で記録します。これにより、インシデント発生時の追跡・検証が可能です。
PRAには、社内システムへのリモートアクセスを制御する機能が揃っています。例えば、IIJが提供する「Safous」は、事前アクセス承認・MFA・SSO・レコーディング機能を備えています。Safousを例にPRAの機能・使い方、業界・業種別のユースケースを無料のホワイトペーパーにまとめていますのでぜひご確認ください。
IAM・PAM・PRAの基本構成イメージ
ここからはIAM・PAM・PRAの基本構成イメージを持つために、3つの仕組みの基本的な組み合わせ方を解説します。まず、認証基盤の根幹であるIAMを導入することで、一般ユーザ向けのアプリケーションに対する認証設計を整備します。その次に、PAMで社内の特権ID管理の対象リソースを保護します。IAMで社内全体を保護、その中でも重要な領域をPAMで監視するといった構成です。
また、特権ID管理の対象リソースに対する社外からのリモートアクセスが日常的に生じる場合は、PAMとPRAのプラットフォームを分けて構築します。
PAMのみで特権ID管理をする懸念点
社内システムへの特権アクセスに対する制御・管理に真価を発揮するPAMですが、導入・運用面に落とし穴があります。最も代表的な懸念点が「内部の社員と外部事業者の認証フロー・作業制御・作業時間帯などをシステム内で区分けしにくい」ことです。
多くの企業では外部事業者と委任契約を締結し、その契約内容に則った権限・作業制御を実施することが望まれますが、PAMのみでは「特定の事業者に対して特定のシステムへの特定の作業を制御する」ことが難しい場合もあります。そのため、別のシステムを持つPRAを導入して、外部事業者のリモートアクセスのみに特化した制御を行う必要があります。
PAMとPRAの構築は2パターン
実際の構築方法は以下のような2パターンです。外部事業者の関与度やアクセス制御の正確性を念頭に置いて、自社に最適なパターンを想定してみてください。
パターン1:PAMとPRAを同じシステムで構築する
特定のセキュリティベンダーのソリューションではPAMとPRAの両方を実現可能です。PAMにオプション機能としてPRAのような仕組みを追加契約し、同一プラットフォームまたは統合されたシステム上で効率的に併用・管理します。
同一思想・管理体系で機能モジュールを積み上げられる一方、社内外の関係者を共通の認証システムで管理するため煩雑になります。このため、別のシステムを利用して立場に応じたアクセス権限の定義など、ポリシー設定が必要なことも留意点です。
パターン2:PAMとPRAを別のシステムで構築する
PAMとPRAを別々のベンダーと契約し、異なった管理体系で運用するパターンです。複数のベンダーを選定する工数がかかりますが、社内外で関係者を分けて管理することで、外部事業者に特化したポリシー適用・制御設定が可能になります。外部事業者ごとにアクセス権限を設定できるため、不適切な権限付与や内部ネットワークへの侵入リスクを軽減できます。
IIJ編集部解説メモ
PRAを独自に構築するパターン2の場合、以下のような業界・業種の特権ID管理の課題を解決する有効な手段になります。
- 医療業界
- 医療従事者や患者など多数の個人情報を抱えており、悪意のあるリモートアクセスを制御して、院内ネットワークを保護する必要がある。PRAで不正アクセスを遮断し、関係者のみがアクセスできる環境を構築できる。
- 教育業界
- 学生や非常勤講師などがBYODで学内システムへアクセスする機会が多く、ガバナンスを徹底しにくい。PRAのもつプライベートアクセスを通すことでどのようなデバイスからのアクセスでも、制御可能になる。
設計思想別でPAMとPRAの構築事例を紹介
最後にPAMとPRAの構築について、前述した構築パターンが向いている条件とそれぞれの類似事例を紹介します。
【同一のシステムでの構築が向いている条件】
- IT担当の人的リソースの兼ね合いから、PRA構築に際して新たなベンダー選定の手間を省きたい
- PAMとPRAの機能モジュールを同一思想で積み上げていきたい
- PRAとPAMを同じシステムにすることで一元的な管理をしたい
【別のシステムでの構築が向いている条件】
- 外部事業者ごとに柔軟なポリシー設定や制御設定を行いたい
- 外部事業者を分けて制御することで、管理者の作業をシンプルにしたい(煩雑さの軽減)
- 外部事業者や対象システムの増加などを見越して、拡張性のある制御システムで運用したい
上記の条件を踏まえて、社内向けのPAMを構築した2社の事例を通して、自社に最適な構築方法を検討ください。
【ケース1】同一のシステムで効率的に構築できたがリスク面では懸念が残る
中規模の人材派遣業A社では正社員向けの特権ID管理システムとしてPAMを導入しています。自社に登録している派遣社員や業務で関わるITベンダーのリモートアクセスの増加に対するセキュリティ強化策として、PRAの導入を検討しました。
課題
リモートアクセスの増加に伴って、正社員・派遣社員・ITベンダーなどの効率的な管理が喫緊の課題になった。社内のIT担当のリソース確保が難しいため、導入・運用の工数がかからないPRA構築が望まれる。
解決方法
既存のPAMの提供元であるセキュリティベンダーに相談し、PAMのオプション機能であるPRAのような仕組みを追加で契約する。
効果
改善点:
- 新たなベンダー選定などが不要なため、導入前のIT担当やバックオフィスの手間を削減
- 同一のプラットフォームでPAM・PRAを構築することで、同一思想・管理体系で機能モジュールを積み上げできた
留意点:
- 立場に応じた細かなポリシー設定や権限付与ができていない
- 社外の人に対して既存のIDPに連携させているためセキュリティリスクを払しょくできていない
- 派遣登録者の登録や抹消、対象システムの増加などに柔軟に対応できない
- オプション機能であるPRA構築に際して、外部向けコンポーネントを追加するためコストが高くなっている
【ケース2】別のシステム構築によって情報漏えいリスク・コストの課題を解決
賃貸物件サービス運営B社では複数の社内システムを使用しています。既存のPAMを活用して社内のアクセスを管理していましたが、外部事業者による各システムへのリモートアクセスの制御は不十分であり、外部事業者向けのPRA構築の検討を行いました。
課題
物件メンテナンス管理業者や会計システム業者など外部からのリモートアクセス時に、適切な権限管理ができず情報漏えいリスクを抱えている。
解決方法
既存のPAMとは異なるPRAソリューションを比較検討し、PAMとは別にPRAのシステムを構築する。
効果
改善点:
- 複数ある社内システムへのリモートアクセス管理を一つのPRAシステムに集約して、管理者の操作を効率化して人的ミスの削減につなげた
- 外部事業者ごとにアクセス先や操作範囲、作業時間を柔軟に設定
- 認証強化や権限の最小化、作業時の監査ログにより、外部事業者による情報漏えいを抑制
留意点:
- 導入検討段階で複数のベンダーを選定する工数が発生
PAMとPRAを分けて構築することで特権ID管理は確立できる
本記事ではIAM・PAM・PRAの特徴や違いについて解説しました。それぞれの役割・機能は異なりますが、社内外のアクセスを適切に制御・監視するために必要不可欠な存在です。3つの仕組みは下記のように使い分けましょう。
| IAM | 社内全体を守る認証システムであり、一定以上の規模がある企業・組織には必須の仕組み。セキュリティ対策であるとともに、管理者の業務効率化にも繋がる。 |
|---|---|
| PAM | 重要なシステムを守る仕組みで、一部のメンバーに「特権アクセス」を付与して権限を集約してシステムを守る。システムを一般ユーザと切り離して管理・制御したい、社内セキュリティ強度を向上したい場合に有効。 |
| PRA | 社外リモートアクセス特化のPAMのようなシステム。PAMと別のシステム上で構築することで、外部事業者のリモートアクセスを社内の特権IDとは分離して、安全に管理し適切に制御したい時に活用できる。 |
IAM・PAMはセットで導入し、それに加えて外部事業者によるアクセスが多い場合はPRAをPAMから分離して構築することが重要です。IIJでは独自のシステムをもつPRA「IIJ Safous」を提供しています。MFA・SSO・レコーディング機能・事前アクセス承認といった豊富な制御機能、エージェントレスによるシンプルな導入などが大きな魅力です。IDP連携が可能なため、前述のパターン2のように別のシステム上で管理可能です。
下記コンテンツではIIJ Safousのエキスパートプログラムマネジャーが、外部事業者のアクセス管理や特権IDの可視化などの課題について詳しく解説しています。PAM・PRAといった特権ID管理や、外部からのリモートアクセスの制御方法への理解を深めたい方の参考になります。
また、PRA及びIIJ Safousに関するFAQも公開中です。PRAについて簡単に概要を掴める内容になっています。
IIJ Safousについてサービスの詳細やご質問などがあれば、下記の専用フォームからお気軽にお問合せください。サービスやセキュリティに関する資料も無料で多数ご用意しております。
サービスの詳細やお見積りなど担当者よりご返事します
%22%3E%20%3Crect%20id%3D%22%E9%95%B7%E6%96%B9%E5%BD%A2_906%22%20data-name%3D%22%E9%95%B7%E6%96%B9%E5%BD%A2%20906%22%20width%3D%2231.999%22%20height%3D%2231.999%22%20transform%3D%22translate(1128%20592)%22%20fill%3D%22%23d7063b%22%20opacity%3D%220%22%2F%3E%20%3Cg%20id%3D%22%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97_746%22%20data-name%3D%22%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97%20746%22%20transform%3D%22translate(1128%20596.923)%22%20clip-path%3D%22url(%23clip-path)%22%3E%20%3Cpath%20id%3D%22%E3%83%91%E3%82%B9_272%22%20data-name%3D%22%E3%83%91%E3%82%B9%20272%22%20d%3D%22M31.738%2C102.583l-8.277%2C8.431a.149.149%2C0%2C0%2C0%2C0%2C.215l5.792%2C6.169a1%2C1%2C0%2C0%2C1%2C0%2C1.415%2C1%2C1%2C0%2C0%2C1-1.415%2C0l-5.769-6.146a.158.158%2C0%2C0%2C0-.223%2C0L20.438%2C114.1a6.193%2C6.193%2C0%2C0%2C1-4.415%2C1.861%2C6.317%2C6.317%2C0%2C0%2C1-4.508-1.915l-1.354-1.377a.158.158%2C0%2C0%2C0-.223%2C0l-5.769%2C6.146a1%2C1%2C0%2C0%2C1-1.415%2C0%2C1%2C1%2C0%2C0%2C1%2C0-1.415l5.792-6.169a.164.164%2C0%2C0%2C0%2C0-.215L.262%2C102.583a.152.152%2C0%2C0%2C0-.262.108V119.56a2.469%2C2.469%2C0%2C0%2C0%2C2.461%2C2.462H29.538A2.469%2C2.469%2C0%2C0%2C0%2C32%2C119.56V102.691a.154.154%2C0%2C0%2C0-.262-.108%22%20transform%3D%22translate(0%20-99.868)%22%20fill%3D%22%23d7063b%22%2F%3E%20%3Cpath%20id%3D%22%E3%83%91%E3%82%B9_273%22%20data-name%3D%22%E3%83%91%E3%82%B9%20273%22%20d%3D%22M50.839%2C14.084a4.182%2C4.182%2C0%2C0%2C0%2C3.008-1.262L65.916.538A2.418%2C2.418%2C0%2C0%2C0%2C64.393%2C0h-27.1A2.4%2C2.4%2C0%2C0%2C0%2C35.77.538L47.839%2C12.823a4.182%2C4.182%2C0%2C0%2C0%2C3%2C1.262%22%20transform%3D%22translate(-34.839)%22%20fill%3D%22%23d7063b%22%2F%3E%20%3C%2Fg%3E%20%3C%2Fg%3E%3C%2Fsvg%3E)
フォームでのお問い合わせ
