Identity Management

การบริหารจัดการตัวตน: สิ่งที่คุณจำเป็นต้องรู้ (Identity Management: What you need to know)

การละเมิดความปลอดภัยในปัจจุบัน เช่น การโจมตีของ SolarWinds หรือ T-Mobile ไม่ใช่เหตุการณ์ที่เกิดขึ้นเพียงครั้งเดียว สิ่งเหล่านี้เป็นตัวอย่างที่สำคัญของการที่ใครบางคนสามารถขโมยข้อมูลระบุตัวตนขององค์กร/บุคคล และใช้ข้อมูลเหล่านั้นเพื่อรับสิทธิ์ในการเข้าถึงสินทรัพย์ที่มีความละเอียดอ่อนโดยไม่ชอบด้วยกฎหมาย การละเมิดข้อมูลเกิดขึ้นทุกวัน และเกิดขึ้นพร้อมกันหลายที่มากเกินกว่าจะนับได้ ซึ่งช่วยเตือนเราว่าไม่ว่าเราจะลงทุนในด้านความปลอดภัยของข้อมูลอย่างไร ทรัพยากรที่สำคัญต่อธุรกิจก็อาจถูกบุกรุกได้หากการเข้าถึงไม่ได้รับการปกป้อง

องค์กรต่างๆ ต้องพึ่งพาระบบ แอปพลิเคชัน และอุปกรณ์ต่างๆ เพื่อดำเนินการ และผู้ใช้จำเป็นต้องเข้าถึงทรัพยากรเหล่านี้เพื่อทำงานอย่างมีประสิทธิภาพ การจัดการเรื่องนี้จึงอาจเป็นเรื่องท้าทาย โดยเฉพาะในองค์กรขนาดใหญ่ที่มีผู้ใช้หลายร้อยหรือหลายพันรายที่ต้องการการเข้าถึงแบบส่วนตัว การจัดการข้อมูลระบุตัวตนและการเข้าถึงจะเพิ่มชั้นความปลอดภัยด้วยการติดตาม, จัดการ และรักษาความปลอดภัยข้อมูลระบุตัวตนของบุคคลและข้อมูลที่เกี่ยวข้อง ช่วยติดตามว่าใครเป็นใคร เพื่อให้ผู้คนสามารถเข้าถึงข้อมูลที่พวกเขาได้รับอนุญาตให้ดูและทำธุรกรรมที่พวกเขาได้รับอนุญาต

การบริหารจัดการตัวตนคืออะไร? (What is identity management?)

การบริหารจัดการตัวตน คือกระบวนการจัดการบริหารข้อมูลที่ระบุตัวตนของผู้ใช้และสิทธิ์ในการเข้าถึงแบบรวมศูนย์ ซึ่งเกี่ยวข้องกับการบันทึกและควบคุมข้อมูลระบุตัวตนภายในองค์กร และการบังคับใช้หลักการกำกับดูแลข้อมูลระบุตัวตน

พูดง่าย ๆ ก็คือ ตัวตนออนไลน์ คือโปรไฟล์ที่ระบุตัวตนเมื่อใช้งานเครือข่าย ในขณะที่การเข้าถึง หมายถึง สิทธิ์ที่มีเมื่อเข้าสู่ระบบแล้ว โดยเมื่อรวมกันแล้ว ทั้งสองอย่างนี้ถือว่ามีความสำคัญในโต้ตอบกับเทคโนโลยี ซึ่งเป็นวิธีที่คอมพิวเตอร์รู้ว่าเป็นเราในการที่พยายามเข้าสู่ระบบจริง ๆ แทนที่จะเป็นคนอื่น

การดำเนินการเพื่อบริหารจัดการตัวตน (Identity management in action)

การบริหารจัดการตัวตนและการเข้าถึง (Identity and access management, IAM) อนุญาตให้เฉพาะผู้ใช้ที่ระบุในองค์กรเท่านั้นที่สามารถเข้าถึงและจัดการข้อมูลที่ละเอียดอ่อนได้ ตัวอย่างบางส่วนของการบริหารจัดการตัวตน ในที่ทำงาน ดังนี้

• การสร้างและการบำรุงรักษาข้อมูลระบุตัวตน: โดยการสร้างเวิร์กโฟลว์อัตโนมัติสำหรับสถานการณ์ต่าง ๆ เช่น การจ้างงานใหม่หรือการเปลี่ยนบทบาท IAM จะรวมวงจรชีวิตการจัดการข้อมูลระบุตัวตนและการเข้าถึงของพนักงานในบริษัทไว้ที่ศูนย์กลาง ซึ่งจะช่วยปรับปรุงเวลาในการประมวลผลสำหรับการเข้าถึงและการเปลี่ยนแปลงข้อมูลระบุตัวตน และลดข้อผิดพลาด

• การจัดการการให้สิทธิ์: สิทธิ์ตลอดวงจรชีวิตจะถูกกำหนดให้กับบุคคลและบทบาทที่ได้รับ ตัวอย่างเช่น ผู้ปฏิบัติงานการผลิตสามารถดูขั้นตอนการทำงานออนไลน์ได้แต่ไม่สามารถแก้ไขขั้นตอนนั้นได้ ในทางกลับกัน หัวหน้างานจะมีอำนาจไม่เพียงแค่ดูเท่านั้น แต่ยังแก้ไขไฟล์หรือสร้างไฟล์ใหม่ได้อีกด้วย

• การพิสูจน์ตัวตน: ตัวตนเป็นหัวใจสำคัญของการกระทำในชีวิตประจำวันของพลเมือง เมื่อรัฐได้นำทะเบียนราษฎรมาใช้ IAM จะทำให้รัฐบาลสามารถให้สิทธิแก่ประชาชนในการเข้าถึงข้อมูล (ใบสูติบัตร, ใบอนุญาตขับขี่ เป็นต้น) และพิสูจน์ตัวตนได้

ระบบบริหารการจัดการตัวตนและการเข้าถึงจำนวนหนึ่งใช้การควบคุมการเข้าถึงตามบทบาท (Role-based access control, RBAC) ภายใต้แนวทางนี้ มีบทบาทหน้าที่ ที่กำหนดไว้ล่วงหน้าพร้อมชุดสิทธิ์การเข้าถึงที่เฉพาะเจาะจง ตัวอย่างเช่น หากพนักงานฝ่ายทรัพยากรบุคคลได้รับมอบหมายให้รับผิดชอบการฝึกอบรม การให้สิทธิ์เข้าถึงไฟล์บทบาทการจ่ายเงินและเงินเดือนแก่พนักงานก็ไม่สมเหตุสมผลนัก มีการควบคุมการเข้าถึงอัตโนมัติรูปแบบอื่นๆ อีกมากมาย ซึ่งแต่ละระบบมีคุณลักษณะและเทคโนโลยีที่หลากหลาย

คุณสมบัติโดยทั่วไปของการบริหารจัดการตัวตน

มีซอฟต์แวร์การจัดการข้อมูลระบุตัวตนรูปแบบต่างๆ มากมายในตลาด และไม่มีคำจำกัดความอย่างเป็นทางการว่าซอฟต์แวร์เหล่านี้ต้องมีและห้ามมีอะไรบ้าง อย่างไรก็ตาม มีคุณลักษณะสำคัญสองสามประการที่โดดเด่น:

• การลงชื่อเข้าใช้ครั้งเดียว (Single Sign-on, SSO): วิธีนี้ช่วยให้ผู้ใช้สามารถเข้าถึงแอปพลิเคชันและบริการต่างๆ จากสถานที่เดียวได้ โดยไม่ต้องมีชื่อผู้ใช้และรหัสผ่านที่แตกต่างกัน

• การพิสูจน์ตัวตนแบบสองปัจจัย (2FA): วิธีนี้เกี่ยวข้องกับการยืนยันตัวตนของบุคคล ไม่ใช่แค่ด้วยชื่อผู้ใช้และรหัสผ่านเท่านั้น แต่ยังรวมถึงข้อมูลอื่นๆ เช่น PIN หรือโทเค็นด้วย

คุณสมบัติอื่นๆ ของการบริหารจัดการตัวตน อาจรวมถึง การจัดเตรียมบัญชีผู้ใช้โดยอัตโนมัติ, การจัดการรหัสผ่าน, เวิร์กโฟลว์ และบริการการปฏิบัติตามกฎและการตรวจประเมิน

ในช่วงไม่กี่ปีที่ผ่านมา เทคโนโลยีการบริหารจัดการตัวตนรุ่นใหม่ได้ถือกำเนิดขึ้น ซึ่งเน้นที่ความสะดวกในการใช้งานนอกเหนือจากความปลอดภัย ตัวอย่างบางส่วนได้แก่ การตรวจสอบความถูกต้องทางชีวมาตร (Biomatric authentication) (เช่น ลายนิ้วมือหรือการจดจำใบหน้า) การตรวจสอบความถูกต้องหลายปัจจัย (MFA) (ต้องมีปัจจัยการตรวจสอบหลายปัจจัย) และการรวมการบริหารการจัดการตัวตน โดยที่ความรับผิดชอบในการตรวจสอบความถูกต้องของบุคคลหรือหน่วยงานจะถูกมอบหมายให้กับบุคคลภายนอกที่เชื่อถือได้ 

SSO เป็นรูปแบบสำคัญของการบริหารจัดการตัวตนแบบรวม

คุณสมบัติหลักเหล่านี้ของการบริหารจัดการตัวตน มีอยู่ในระบบการบริหารจัดการตัวตน (Identity Management System, IMS) เกือบทั้งหมดในปัจจุบัน 

IMS (Identity Management System) คือแพลตฟอร์มออนไลน์ที่ช่วยให้องค์กรต่างๆ จัดการบริหารจัดการตัวตนต่างๆ ในลักษณะที่ปลอดภัยและมีประสิทธิภาพ โดยสามารถบูรณาการกับระบบอื่นๆ ภายในองค์กรได้ เช่น ระบบทรัพยากรบุคคล, แพลตฟอร์มอีคอมเมิร์ซ และซอฟต์แวร์บัญชี

การบริหารจัดการตัวตนทำงานอย่างไร? (How does identity management work?)

โดยทั่วไป ระบบการบริหารจัดการตัวตนจะทำหน้าที่หลัก 3 อย่าง ได้แก่ การระบุตัวตน(Identification), การรับรองความถูกต้อง(Authentication) และการอนุญาต(Authorization) ซึ่งจะทำให้บุคลากรที่เหมาะสมสามารถเข้าถึงเครื่องมือที่จำเป็นในการปฏิบัติหน้าที่ที่ได้รับมอบหมายได้ โดยขึ้นอยู่กับหน้าที่การงาน โดยไม่ต้องให้สิทธิ์เข้าถึงเครื่องมือที่ไม่จำเป็น

การระบุตัวตนและการเข้าถึง มีความแตกต่างกันอย่างไร?

คำว่า "การบริหารจัดการตัวตน" และ "การจัดการการเข้าถึง" มักใช้แทนกันได้ แต่ทั้งสองเป็นแนวคิดที่แตกต่างกัน ความแตกต่างที่สำคัญ คือ การบริหารจัดการตัวตนเกี่ยวข้องกับบัญชีผู้ใช้ (การรับรองความถูกต้อง - Authentication) ในขณะที่การจัดการการเข้าถึงเกี่ยวข้องกับสิทธิ์และสิทธิพิเศษ (การอนุญาต - Authorization) 

มาดูตัวอย่างกัน เมื่อผู้ใช้ป้อนข้อมูล login การเข้าสู่ระบบ ข้อมูลระบุตัวตนจะถูกตรวจสอบกับฐานข้อมูลเพื่อยืนยันว่าข้อมูล login ที่ป้อนตรงกับข้อมูลที่จัดเก็บไว้ในฐานข้อมูลหรือไม่ ซึ่งเรียกว่าการรับรองความถูกต้อง (Authentication) เมื่อระบุตัวตนของผู้ใช้ได้แล้ว ผู้ใช้จะได้รับสิทธิ์เข้าถึงทรัพยากรที่บัญชีของตนได้รับการอนุญาต ซึ่งเรียกว่าการอนุญาต (Authorization)

การบริหารจัดการตัวตนมีประโยชน์อย่างไร? (Beneficial of identity management)

ระบบการบริหารจัดการตัวตน เป็นเครื่องมือที่มีค่าสำหรับการปกป้องข้อมูลและทรัพยากรขององค์กรทุกขนาด ช่วยให้องค์กรจัดเก็บข้อมูลผู้ใช้และจัดการสิทธิ์การเข้าถึงของผู้ใช้ได้อย่างปลอดภัย ซึ่งเป็นวิธีที่ปลอดภัยและเชื่อถือได้ในการทำให้การดำเนินงานขององค์กรดำเนินไปอย่างราบรื่น

ประโยชน์ของการบริหารจัดการตัวตน มีดังนี้

• ความปลอดภัยที่เพิ่มขึ้น: IMS ช่วยปกป้ององค์กรจากการเข้าถึงโดยไม่ได้รับอนุญาตและการขโมยข้อมูลผู้ใช้ 

• ประสิทธิภาพที่เพิ่มขึ้น: ด้วย IMS สามารถจัดการขั้นตอนการเข้าสู่ระบบของผู้ใช้และติดตามกิจกรรมของผู้ใช้ได้อย่างมีประสิทธิภาพบนแพลตฟอร์มต่างๆ โดยใช้ข้อมูลตัวตนชุดเดียว

• ลดเวลา/ต้นทุนในการประมวลผล: เวิร์กโฟลว์อัตโนมัติของ IMS ช่วยให้จัดการและดูแลบัญชีผู้ใช้ได้อย่างง่ายดาย ช่วยประหยัดเวลาและเงินสำหรับงานดูแลระบบ

• การปฏิบัติตามกฎระเบียบที่ดีขึ้น: ด้วย IMS สามารถรับรองความสอดคล้องกับกฎระเบียบและมาตรฐานต่างๆ เช่น GDPR และ HIPAA ได้อย่างง่ายดาย

การนำระบบการบริหารจัดการตัวตนมาใช้งาน

การนำโซลูชันการบริหารจัดการตัวตนที่มีประสิทธิภาพมาใช้ ไม่ได้รับประกันความปลอดภัยอย่างสมบูรณ์ แต่การนำหลักการต่อไปนี้มาใช้จะทำให้ความเสี่ยงต่อการถูกบุกรุกและถูกโจมตีจากผู้ไม่หวังดีน้อยลง เคล็ดลับบางประการที่ควรพิจารณาประกอบด้วย

• ใช้วิธีการรับรองความถูกต้องที่รัดกุม (Strong authentication method) (เช่น การรับรองความถูกต้องแบบหลายปัจจัย (MFA)) เพื่อลดความเสี่ยงของการเข้าถึงโดยไม่ได้รับอนุญาต

• ทบทวนนโยบายการควบคุมการเข้าถึงเป็นประจำ เพื่อให้แน่ใจว่าผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่มีสิทธิ์เข้าถึงข้อมูลและทรัพยากรที่ละเอียดอ่อน

• ตรวจประเมินและเฝ้าระวังสิทธิ์ การเข้าถึงข้อมูลและทรัพยากรที่ละเอียดอ่อน เพื่อตรวจจับและป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต

• อัปเดตบัญชีผู้ใช้บ่อยครั้ง เพื่อให้แน่ใจว่าข้อมูลยังคงมีความเกี่ยวข้องและถูกต้อง

• ใช้โซลูชันการจัดการรหัสผ่าน เพื่อลดความเสี่ยงจากเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับรหัสผ่าน เช่น การใช้รหัสผ่านซ้ำหรือการขโมยรหัสผ่าน

ความสอดคล้องตามข้อกำหนด

หากกระบวนการบริหารจัดการตัวตนและการเข้าถึงไม่ได้รับการควบคุมอย่างมีประสิทธิภาพ องค์กรอาจไม่ปฏิบัติตามมาตรฐานอุตสาหกรรมหรือระเบียบข้อบังคับของรัฐบาล โลกกำลังมุ่งหน้าสู่ระเบียบข้อบังคับและมาตรฐานที่เข้มงวดยิ่งขึ้นสำหรับการจัดการตัวตน และข้อมูลส่วนบุคคล เช่น GDPR ของยุโรป (ซึ่งต้องได้รับความยินยอมอย่างชัดเจนจากผู้ใช้ ในการรวบรวมข้อมูล) และ NIST 800-63 Digital Identity Guidelines ในสหรัฐอเมริกา (แผนงานสำหรับแนวทางปฏิบัติที่ดีที่สุดของ IAM)

มีโปรโตคอลหลายตัวที่รองรับนโยบาย IAM ที่เข้มงวด โดยรักษาความปลอดภัยข้อมูลและรับรองความสมบูรณ์ของข้อมูล ในระหว่างการถ่ายโอน โปรโตคอลการจัดการตัวตนและการเข้าถึงเหล่านี้เรียกกันทั่วไปว่า "การพิสูจน์ตัวตน (Authentication), การอนุญาต (Authrization), ภาระรับผิดชอบ (Accounting)" หรือ AAA ซึ่งเป็นมาตรฐานความปลอดภัย เพื่อลดความซับซ้อนในการจัดการการเข้าถึง, ช่วยให้ปฏิบัติตามข้อกำหนด และสร้างระบบที่เป็นมาตรฐานเดียวกันสำหรับการจัดการการโต้ตอบระหว่างผู้ใช้และระบบ

แม้ว่าการปฏิบัติตามมาตรฐาน ISO จะไม่ใช่ข้อกำหนดทางกฎหมาย แต่มาตรฐาน ISO ก็สอดคล้องกับระเบียบข้อบังคับของหลายภาคส่วน ดังนั้น การปฏิบัติตามมาตรฐาน ISO/IEC 27001 สำหรับการรักษาความปลอดภัยสารสนเทศ ก็สามารถป้องกันไม่ให้องค์กรประสบปัญหาทางกฎหมายเกี่ยวกับประเด็นสำคัญของการจัดการตัวตน  โดยยึดหลักการแบ่งแยกหน้าที่และนโยบาย “ผู้ใช้หนึ่งราย หนึ่ง ID” แสดงให้เห็นว่าข้อมูลองค์กรได้รับการควบคุมอย่างเหมาะสม

มาตรฐานที่เกี่ยวข้องประกอบไปด้วย

ISO/IEC 27001 ระบบบริหารความมั่นคงปลอดภัยสารสนเทศ

ISO/IEC 24760-1 ระบบบริหารความปลอดภัยด้านไอทีและความเป็นส่วนตัว — กรอบการทำงานสำหรับการจัดการตัวตน

ISO/IEC 27018 การปกป้องข้อมูลระบุตัวตนส่วนบุคคล (PII) ในระบบคลาวด์สาธารณะซึ่งทำหน้าที่เป็นตัวประมวลผล PII

ตัวอย่างของ Identity and Access Management Solution ที่มีการใช้งานอย่างแพร่หลายในปัจจุบัน

การนำระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (ISO/IEC27001:2022 Information Security Management System) มาประยุกต์ใช้เป็นหนึ่งในเครื่องมือที่ช่วยให้องค์กร เสริมสร้างความปลอดภัยทางด้านไอที เพิ่มความเชื่อมั่นให้กับลูกค้า, ผู้บริหารและผู้มีส่วนได้ส่วนเสียต่าง ๆ 

สนใจฝึกอบรมจัดทำระบบ ติดต่อเรา ยินดีให้คำปรึกษากับทุกองค์กร

ติดต่อที่ปรึกษาจัดทำระบบ ISO27001, ISO27701, ISO9001 หรืออื่น ๆ  โทร. 084-1147666 

#Cybersecurity, #IdentityManagement, #ISMS, #ISO27001, #IAM