アイデンティティ・ガバナンス/管理(IGA)とは
アイデンティティ・ガバナンス/管理とはIGA(Identity Governance and Administration)とも呼ばれ、従来から重要視されてきたアイデンティティ管理(ID管理)に加え、アイデンティティ・ガバナンスの概念を取り込むことで、アイデンティティに対するセキュリティソリューションの中核と位置付けられています。
アイデンティティ管理としては、ユーザーが所持する様々なアプリケーションのアカウントに対するライフサイクルの管理、アクセス権の自動プロビジョニング、オンデマンドでのアクセス権の申請/承認機能、パスワード管理などを提供します。
アイデンティティ・ガバナンスとは
アイデンティティ・ガバナンスとは、「誰が、何に対する、どのようなレベルの権限を持っているのか」、「その権限を持っていることは正常か」、といった観点の機能を提供します。つまり、ユーザーが所持する様々なアプリケーションのアカウントのアクセス権限の可視化を実現します。こうしたアクセス権限が可視化されることで不適切な権限や高リスクのアカウントを速やかに発見し、適切な制御に繋げられるようになります。このようなアクセス権限の付与状況の見直し作業のことを「棚卸」と言い、定期的に実施されることが企業に求められています。
企業は従業員を雇用すると、メールアドレスや各種業務アプリケーションのアカウントを必要な権限とともに発行します。従業員は、提供されたアカウントを使用して企業のITリソースにアクセスします。一方、従業員が異動したり退職したりした場合、必要なアカウントや権限を付与したり、不必要になった権限を剥奪したりする必要が生じます。アイデンティティ・ガバナンス/管理の究極的な目的は、適切なタイミングで適切なユーザーに対し適切な権限のみを持つように正しく制御することです。
アイデンティティ・ガバナンス/管理はなぜ必要なのか?
働き方の多様化により、企業のアプリケーションの利用者は、オフィス内にいる社員だけとは限らなくなりました。また、クラウドサービスの浸透やSaaSアプリの普及に伴い、ビジネスで利用するアプリケーションの数も一段と増加しました。これらの膨大なユーザーアカウント情報の変更をマニュアルで行うことは、作業ミスの発生や大幅な遅れが生じる可能性が増加します。そのため、きめ細かい権限の制御が行われず、過剰な権限を持つユーザーが多数存在しているケースも少なくありません。結果として、悪意を持った社員や元社員が企業の機密情報を外部に持ち出すリスクや、外部からの不正アクセスにより、ID情報を起点とした情報漏洩のリスクも高まります。
アイデンティティ・ガバナンス/管理を導入することで、特に社員の異動や昇進、退職など属性の変更に伴うアクセス権限の変更作業を自動化し、適切な人に適切な権限付与を行うとともに、過剰な権限が付与された状態の発生を抑制します。
従来のID管理の課題
従来のID管理では、社員の「入社」時の対応しか考慮されていなかったため、異動や退職の結果、過剰または不適切なアクセス権限を持つことにつながったり、社員以外のユーザーへの対応が手作業になっていたり、ユーザーが所持する権限の組み合わせがコンプライアンス違反になっていたりと、様々な課題があります。また、部門単位でSaaSを利用するようなケースも散見され、ID管理ソリューションの管理下にないばかりか、IT部門ですら把握していないケースもあります。これらの問題は企業のコンプライアンスを悪化させるだけでなく、セキュリティのリスクを増大させます。
アイデンティティ・ガバナンス/管理は、企業のアクセス権の承認ワークフローを自動化し、業務負荷を軽減することができます。また、職務分掌のポリシーを作成することにより、利益相反の可能性を検知し、コンプライアンス違反のリスクを低減することができます。
従来のID管理とアイデンティティ・ガバナンス/管理の違い
| 従来のID管理 | アイデンティティ・ガバナンス/管理 | |
|---|---|---|
| 管理対象のシステム | プロビジョニングできないものは対象外 | 全て管理対象 |
| アカウントの変更の検知 | 不可 | 可能 |
| 異動、退職時のアカウント制御 | なし | あり |
| ユーザーIDの統一 | 必要 | 不要 |
| 依存関係 | 密結合 | 疎結合 |
| 同一アプリの複数アカウント | 想定されていない | 想定されている |
| 最新のアカウントの状態 | システムごとに確認が必要 | 常に最新情報が一箇所に集約 |
| 構築の期間 | 長い | 短い |
アイデンティティ・ガバナンス/管理のメリット
アイデンティティ・ガバナンス/管理は、「運用コスト削減」「セキュリティ強化」「コンプライアンス向上」「アクセス権限付与の迅速化」という4つの重要な役割を提供します。
1. 運用コスト削減
アイデンティティ・ガバナンス/管理では、従来手作業で行っていたIDの棚卸やアクセス権の付与、パスワード管理を自動化またはセルフサービス化するため、特にIT部門の運用コストを削減できます。また、ダッシュボードやレポート作成、分析ツールが利用できるため、組織の内部統制の強化やリスクの軽減に繋がるアクセス権限情報を可視化することができます。
2. セキュリティ強化
定期的なID棚卸を実施することにより、過剰な権限や不必要な権限がユーザーに付与されている状態を抑制することができます。また、高リスクな権限や不適切な権限の組み合わせを重点的に監視することにより、リスクの要因を未然に排除することが可能となります。
3. コンプライアンス向上
企業は、J-SOXやGDPR等の内部統制制度やデータ保護規則の基準に対応することが求められます。アイデンティティ・ガバナンス/管理は、監査に必要なアクセス権情報や内部統制を可視化し、適切に統制がなされていることを確認できます。また、ロール(役割)を適切に定義し、割り当てることで、一貫性のあるアクセス権限付与が可能となり、コンプライアンス向上にも寄与します。
4. アクセス権限付与の迅速化
アイデンティティ・ガバナンス/管理では、人事情報に基づく自動化機能および業務部門に対しセルフサービス機能を提供することで、業務上必要なリソースへ迅速かつ効率的にアクセス権を付与することができます。更に、権限のポリシー適用を自動化することにより、企業は、コンプライアンスやセキュリティを低下させることなくサービスレベル要件を満たすことができます。
まとめ
多くの企業では、ID管理ソリューションが使われているかどうかに関わらず、必要なアカウントの作成や権限の付与しか考慮されていません。その結果、不正やセキュリティ事故への対応が十分とは言えない状況です。アイデンティティ・ガバナンス/管理は、アクセス権の可視化により不適切または過剰な権限の付与を、効率よく実現します。これにより、企業はセキュリティリスクを低減でき、コンプライアンスの向上が図れます。
よくある質問
従来から重要視されてきたアイデンティティ管理(ID管理)に加え、アイデンティティ・ガバナンスの概念を取り込むことで、アイデンティティに対するセキュリティソリューションの中核と位置付けられています。
Identity Governance and Administration(アイデンティティ・ガバナンス/管理)の略称で、アイデンティティ管理(ID管理)に加え、アイデンティティ・ガバナンスの概念を取り込むことで、アイデンティティに対するセキュリティソリューションの中核と位置付けられています。
「誰が、何に対する、どのようなレベルの権限を持っているのか」、「その権限を持っていることは正常か」、といった観点の機能を提供します。
はい、SailPointのIGAソリューションはクラウドベースでの提供です。 SailPoint IdentityNow では、ID棚卸、アクセス権申請・付与、プロビジョニング、パスワード管理、職務分掌/ポリシー管理などの機能をクラウドベースで提供しています。
法規制への対応は、グローバル展開する大企業だけの課題と思われるかもしれませんが、実際はGDPRやJ-SOX法は規模や業界に関係なく、あらゆる企業に影響します。どのような場合でも、組織は機密性の高いデータやアプリケーションへのアクセス制御を強化する必要があります。
SailPointのアイデンティティ・ガバナンス/管理(IGA)についてお問い合わせ
*必須フィールド