San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
閉じる
プライバシー設定
ウェブサイト運営に必要なCookieや類似技術を使用しています。追加のCookieは貴社の同意がある場合のみ利用されます。同意は「Agree」をクリックすることでいただけます。どのデータが収集され、どのようにパートナーと共有されているかの詳細は、Cookieポリシープライバシーポリシーをご確認ください。
Cookieは、貴社デバイスの特性や、IPアドレス、閲覧履歴、位置情報、固有識別子などの特定の個人情報を取得、解析、保存するために使用されます。これらのデータは様々な目的で利用されます。分析Cookieによりパフォーマンスを評価し、オンライン体験やキャンペーンの効果向上に役立てます。パーソナライズCookieは、利用状況に応じた情報やサポートを通じ、貴社専用の体験を提供します。広告Cookieは、第三者が貴社のデータをもとにオーディエンスリストを作成し、ソーシャルメディアやネット上でのターゲット広告に使用します。貴社は各ページ下部のリンクから、いつでも同意の許可、拒否、または撤回が可能です。
ご送信ありがとうございます。内容を受け付けました。
申し訳ありません。フォーム送信時にエラーが発生しました。
Wallarm
/
Wallarmラーニングセンター
/
CIAMとは? 顧客識別管理の意味
DevSecOps

CIAMとは? 顧客識別管理の意味

はじめに

顧客がウェブやモバイルなど、どのチャネルを利用しても、優れたCIAMソリューションは高い規模とパフォーマンスで安全かつ一貫した体験を実現します。しかし、CIAMのセキュリティについて詳しく知る前に、その意味を確認しましょう。

著者
CIAMとは? 顧客識別管理の意味

CIAMとは何か?

Identity and access management (IAM)は、認証と認可を顧客向けアプリに組み込んだ仕組みです。これを顧客認証管理(CIAM)と呼びます。CIAMは、以下の3点に重点を置いています:

  • 顧客のログインや登録プロセスを向上させ、パスワードの使い回しによるアカウント乗っ取りのリスクを低減する
  • 顧客、従業員、パートナーにパーソナライズされた優れた体験を提供する
  • 数百万、さらには数十億の顧客にも対応可能な柔軟な設計である
Customer Identity and Access Management

CIAMの主要要素

CIAMの仕組みは、5つの主要要素に基づいています:

SSOを利用すれば、顧客が1つのアプリにログインすると、その他のアプリにも自動的にログインできます。代表例として、Google G Suiteでは、Gmailにサインインすると直ちにYouTube、Google Drive、その他のGoogleサービスにアクセスできます。

  • Scalability

CIAMは、セール時や特別なイベントなど、一時的に大量の顧客がアクセスする状況にもしっかり対応できる必要があります。これは、従来の従業員向けIAMが比較的静的なアクセスを前提としているのとは対照的です。

  • Centralized user management

顧客データが最新かつアクセスしやすいと、顧客理解が深まります。CIAMは、一元管理された顧客プロファイルを通して正確な情報を集約する仕組みを提供します。これは、CIAM認証管理が複数のアプリやサービス間の連携APIとして機能し、異なる情報を1か所にまとめるためです。

従来のユーザー名とパスワードの組み合わせに比べ、多要素認証(MFA)は、顧客の本人確認をより安全に行えます。パスワードは攻撃者に推測されやすいため、MFAでは追加の認証を求めます。

  • API Access Management

APIを利用することで、異なるシステム同士の連携が容易になります。これにより、CIAMプロバイダは、CIAM統合の恩恵を受ける各システムと連携するためのAPIを提供できます。

elements of the CIAM
Elements of the CIAM

CIAMのメリット

  1. Obtain and Keep Customers

新規顧客を引き付けるには多大な費用がかかります。登録はその第一歩であり、正確に行うことが重要です。

  1. Enrollment

顧客が初めて接するのは登録時です。CIAMは、以下の方法で顧客体験を向上させます:

  • ソーシャルログインなど、簡単な登録方法を提供
  • 貴社ブランドに合ったカスタマイズされた登録画面の提供
  • すべてのアプリで統一された登録体験の実現
  1. Validation

CIAM認証は、顧客が各デジタル資産にアクセスする前に、必ず本人確認を行う仕組みです。異なるアプリごとに再認証が必要になると、貴社ブランドから離れて競合他社に流れるリスクがあります。

  1. Advance Loyalty and Sales

企業は新規および既存の顧客に対し、優れたオンライン体験を提供することに注力すべきです。CIAMにより、顧客には高品質な体験が、ブランド側には顧客の全体像が提供されます。

  1. Self-Service

すべてのチャネルで一貫した顧客データへのアクセスが求められます。各チャネルで統合された顧客プロファイルがなければ、SSOや統一されたログインプロセスがあっても混乱を招く恐れがあります。例えば、ウェブアプリで住所を更新しても、モバイルアプリで注文した際に旧住所に配送される場合があります。

  1. Support

小さな問題が大きなトラブルや顧客離れにつながらないよう、迅速かつ効果的なサポート対応が必要です。

サポート中に何度も本人確認を求められると、顧客は待たされることになり非常に煩わしく感じます。CIAM機能を利用すれば、再ログインなしでサポートスタッフが迅速に対応できます。

  1. Personalization

顧客は貴社と接する際、様々なアプリやチャネルで異なる情報が記録されることがあります。CIAMの具体例は次の通りです:

  • ウェブのビジネスアプリで、顧客の好みのファッション傾向を追跡
  • 処方薬のリフィル通知を希望する場合、その情報を薬局アプリに保存
  • 顧客の興味分野をロイヤリティアプリで記録
  1. Build Customer Trust

信頼は時間をかけて築くものであり、ロイヤリティと同様です。顧客に自分のデータへのアクセスと利用の管理権限を提供することで実現されます。

  1. Protection

GDPRやCCPAなどのセキュリティ基準を無視すると、企業は高額な罰金を科せられる可能性があります。しかし、これらは企業に顧客データの取り扱いに慎重になるよう促す役割も果たしています。顧客との信頼構築とデータ保護は、顧客識別管理に大きく依存します。

CIAMとIAMの違い

CIAMとIAMの要件は、スケーラビリティ、セキュリティ、柔軟性の面でほぼ同じです。内部スタッフと外部顧客双方に優れた体験を提供するには、いずれもこれらの基準を満たす必要があります。しかし、CIAMは従来のIAMと異なる点も多いため、その違いを以下で確認しましょう。

Comparison - CIAM vs IAM

CIAMIAM
A great many customers should be upheld by a CIAM entry. Also, it should have the option to endure abrupt expansions in rush hour gridlock (volume and recurrence). Despite the fact that utilization of the entryway can differ, there will be top periods when a ton of customers are attempting to get to your framework without a moment's delay, like on Black Friday, and your CIAM arrangement should have the option to deal with those spikes.10-100,000 greatest customers, with restricted ability to deal with request tops
Customers could have various identities.Customer explicit identity as it were
Self-enrollmentBusiness enlistment
Regardless of where the end customer is or what gadget they are utilizing, the exceptionally open framework is accessible on every one of them and gives a uniform login experience.Close down framework
The execution of CIAM should keep a low entry boundary. By giving passwordless login without forfeiting security, validation through outside sources like social suppliers (like Google and LinkedIn) brings down contact.Inward recognizable proof with thorough security guidelines
Basic bits of knowledge on advertising, business decisions, security, and consistence are given utilizing customer information.Profile data and worker access are utilized inside.

CIAMは顧客データを守る

信頼できるCIAMプロバイダは、顧客識別管理が個人と企業のセキュリティにとっていかに重要かを理解しており、顧客が覚えなければならないパスワードの数が多いことも承知しています。オンラインでの交流、ウェブサービス、銀行取引などにより、パスワードは急速に増加します。世界中で顧客サービスが利用される中、攻撃者はますます多くの顧客資格情報を集め、ボットネットを利用して大規模なパスワードリスト攻撃を仕掛けています。

パスワードを使い回す顧客は、より高いリスクにさらされます。CIAMは、追加認証やソーシャルログインの選択肢を提供することで、アカウント乗っ取りからの保護を強化します。

最新の安全なログインポータルでは、認証が必須となっています。IT部門は、セキュリティパッチや対策を常に最新の状態に保ち、攻撃者やマルウェアの脅威に備えています。

以前は企業がユーザー名とパスワードのみでのログインを提供していたのですが、現在では多くのアプリがMFAを採用し、少なくとも2要素の認証を求めるようになっています。CIAMを導入する際は、MFAを足してもログインの敷居が高くなり、体験が損なわれないようにすることが重要です。

リスクスコアは、適応認証においてログイン時にMFAが必要かどうかを判断するために用いられます。顧客の現在のリスク水準に基づき、アクセスを許可するか追加認証が必要かが決定され、地域、時間、頻度などの要因が影響します。

CIAM protects customer data
CIAM protects customer data

CIAMがビジネスに与える影響

CIAMの主要要素を見た後、これらが貴社のビジネス収益にどのような影響を及ぼすかを考えてみましょう。

  • CIAMとデータ保護法の遵守

GDPRやCCPAなど、新たなデータ保護法によって、企業が個人データを収集、保存、共有する手法は大きく変わりました。これらの法的義務に対応するため、CIAMの適切な管理が求められます。

データ保護規制の通知・削除要件を満たすためには、統合された顧客管理が不可欠です。GDPRやCCPAでは、顧客からの要請に応じ、データのコピーや利用履歴の提供が求められています。

MFAもまた重要なポイントです。GDPR、CCPA、そしてニューヨークのSHIELD法は明確にMFAを要求していませんが、「適切」または「合理的」なセキュリティ対策の一環として、多くの専門家がMFAの導入を推奨しています。MFA未導入で罰金を受けた事例もこの見解を裏付けています。

顧客データの暗号化とアクセス制限は、機密情報へのアクセス管理に直結するため、重要な対策です。これらの要素および、データ収集やプライバシーポリシーの調整は、CIAMソリューションによって実現されるべきです。

貴社の収益への影響は、法令違反による罰金のコストとして現れます。EUの大企業や中堅企業は、2020年5月時点でGDPR違反により1億5300万ユーロ以上の罰金を受けています。さらに、カリフォルニアでは11月に『CCPA 2.0』、正式にはCalifornia Privacy Rights and Enforcement Act (CPREA)が議題に挙がっており、新法はコンプライアンスを一層重視することになります。新たな規制が相次ぐ中、違反によるコストは急速に増加する可能性があります。

  • CIAMとデータセキュリティ

不正な手に渡らなければ、顧客データは貴社にとって最も価値ある資産となります。堅牢なCIAMソリューションは、各種のセキュリティ機能を統合し、なりすまし、ハッキング、データの悪用から守ります。

近年、ログインポータルは不正侵入に対する最前線の防御となっています。攻撃者は弱い認証方式を狙い、顧客資格情報を推測または盗み、本物のユーザーとしてログインします。1度の情報流出から複数サイトへのアクセスを狙うパスワードリスト攻撃は、最も危険な手法のひとつです。多くのユーザーがパスワードを使い回すため、この手法は効果的です。暗闇ウェブでは、何十億もの盗まれた資格情報が取引されています。2019年のPonemon Instituteの報告によれば、パスワードリスト攻撃は企業に年間平均400万ドルの損害を与えています。

MFAとブルートフォース防御を備えたCIAMソリューションは、パスワードリスト攻撃やその他の認証関連のリスクに対する最善の防御策です。ブルートフォース対策により、攻撃者が何度もログインを試みることを防ぎ、サイトのサービス停止を回避します。さらに、MFAは、盗まれた資格情報を用いた自動アクセスを阻止します。

バックエンドシステムへのアクセスが認められると、攻撃者は迅速に被害を及ぼす可能性があります。しかし、Disney+のロビーで見られるように、こうした攻撃は顧客との信頼関係を損ない、悪質な報道につながる恐れもあります。

万が一、情報漏洩やハッキングが発生した場合でも、CIAMソリューションはバックエンド攻撃から顧客データを守る手助けをします。CIAM技術により、個人データは暗号化され匿名化されるため、窃盗犯にとっては無用の情報となります。ただし、最新の暗号化アルゴリズムを使わない場合、機微な情報は平文で保存されることもあります。さらに、CIAMソリューションは、社内の誰が顧客データにアクセスできるか管理し、不審な行動を管理者に通知します。これにより、IT担当者や悪意ある第三者が、貴社の最も大切な資産である顧客データを持ち出すことは防がれます。

貴社の収益に与える影響は、情報漏洩によるコストです。2019年のPonemon調査によれば、平均的なデータ漏洩事故の損害額は392万ドルですが、CIAMの活用によりこれらのコストを低減可能です。

結論

貴社と取引するかどうかは、結局は顧客次第です。顧客は、期待する体験が得られなかったり、データが危険にさらされると感じれば、すぐに他社に移ってしまいます。しかし、継続的な体験と各段階でのデータ保護を実現できれば、より多くの顧客を引き付け維持し、収益や信頼の向上につながります。

FAQ

参考資料

最新情報を購読

更新日:
April 7, 2025
学習目標
最新情報を購読
購読
著者 |
認定エキスパート
IvanはPython、Java、C++などのプログラミング言語に精通していて、セキュリティフレームワークやテクノロジー、製品管理手法を深く理解しています。細部に気を配り、情報セキュリティの基本原則を幅広く理解しているため、情報セキュリティプログラムを運用しながら営業施策を推進し、セキュリティ製品の開発・ローンチを成功させてきた実績があります。
レビュー担当 |
認定エキスパート
StepanはPython、Java、C++に精通したサイバーセキュリティのエキスパートです。セキュリティフレームワーク、各種テクノロジー、製品管理に関する深い理解を持ち、堅牢な情報セキュリティプログラムを実現しています。CI/CDやAPI、アプリのセキュリティにも精通し、機械学習やデータサイエンスを活用して新しいソリューションを生み出しています。セールスや事業開発の戦略的洞察とコンプライアンス知識をあわせ持ち、変化の激しいサイバーセキュリティの分野でWallarmの成功を支えています。
関連トピック
<