目次
IDライフサイクル管理とは何か
ID ライフサイクル管理とは、アイデンティティ(ID)の作成から非アクティブ化に至るまでの過程を指します。従業員、契約社員、顧客、パートナーなど、あらゆる種類のユーザーのID、オンサイトとクラウドベースのアプリケーション、リソース、システムに対応します。特権アクセス権限の最初の割り当てから、アクセス要件の変更の追跡と実装、ユーザーと使用状況の監査、レポートの作成に至るまで、ライフサイクル中のID管理に関連するすべての機能が含まれます。
IDライフサイクル管理を自動化すべき理由
あらゆる企業は、何らかのID ライフサイクル管理システムを導入する必要があります。ID ライフサイクル管理は、企業全体のセキュリティ体制において重要な役割を果たし、多くの企業が対応しなければならないコンプライアンス要件を満たすために不可欠です。
一部の企業では、ID ライフサイクル管理を手動プロセスに依存し続けていますが、このアプローチは非効率的で、エラーが発生しやすいことが多いです。ID ライフサイクル管理の自動化は、多くの企業にとって必須のものとなっています。
ID ライフサイクル管理を自動化すると、IDの生成、更新、不要になったIDの非アクティブ化など、関連する多くのプロセスを簡素化できるようになります。これが重要な理由は、いくつかあります。
| メリット | 概要 |
|---|---|
| 監査とレポート | 誰がどのリソースにアクセスできるかを常時把握 |
| コンプライアンスの向上 | 規制要件の遵守の証明、監査対応を簡素化 |
| コストの削減 | マニュアル作業を削減し、コンプライアンス違反を削減 |
| 内部脅威の低減 | 最小権限の原則に則り、潜在的なリスクを抑制 |
| 内部脅威の低減 包括的なセキュリティ体制 | リソースから不正アクセスを防御 |
以下、それぞれ解説します。
- 監査とレポート
ID ライフサイクル管理システムとプロセスにより、企業はどのユーザーがどのリソースにアクセスできるのかに関する情報を維持し、容易にアクセスできるようになります。 - コンプライアンス
多くの企業は、デジタル資産の管理と保護に関する要件を含む規則と規制の対象となります。ID ライフサイクル管理システムを使用すれば、適切な保護が実施されることを保証し、デジタル アイデンティティとアクセス権限がどのように管理・制御されているのかを証明できます。 - コストの削減
ID ライフサイクル管理システムを自動化すると、エラーが発生しやすく、時間のかかるタスクを排除し、コストを大幅に削減できます。これにより、これらのタスクに費やす時間に伴うコストを削減し、コンプライアンス違反に関連する修正・罰金に伴う費用を最小限に抑えられます。 - 内部脅威の低減
ID ライフサイクル管理システム・プロセスは、職務の遂行に必要な最小限のアクセス権限のみをユーザーに付与することで(最小権限の原則、内部脅威による潜在的なリスクを最小限に抑えるのに役立ちます。また、アクセス要件の変更を監視し、最小限必要な権限を維持するために権限を調整します。 - 包括的なセキュリティ体制
他のセキュリティ対策を補完するためにID ライフサイクル管理を採用すれば、重大なギャップを解消できます。ID ライフサイクル管理システム・プロセスは、重要な制御を実装・実施し、露出を最小限に抑え、アタック サーフェス(攻撃対象領域)を減らすことで、リソースを不正アクセスから保護します。
ID ライフサイクル管理の3段階
ID ライフサイクル管理は、3つの主要な段階に分かれています。これらの段階は、IDの作成から非アクティブ化までの管理と、特権アクセス権限の変更という重要な側面に対応します。
- プロビジョニング(オンボーディング)
新しいユーザーをオンボーディングする際は、デジタル アイデンティティを作成し、ロール(役割)と責任に基づいてリソースへのアクセス権限をプロビジョニングする必要があります。この段階の主な要素は、次のとおりです。- IDの作成・検証・オンボーディング
- ロールと属性を文書化し、下流にマッピング
- リソースをまたいでアクセス権限の許可を構成
- 一括オンボーディング プロセスにおける外部ユーザーのインポートの自動化
- IDの管理 これは、ID ライフサイクル管理の重要な要素です。IDを管理することで、最適な特権アクセス権限をタイムリーに維持・更新できます。この段階では、変化するニーズに対応するために、各部門の責任者と協力する必要があります。
- プロビジョニング解除(オフボーディング) ID ライフサイクル管理の最終段階は、不要になったユーザー アカウントや退職したユーザーのアカウントを非アクティブ化することです。これは、孤立アカウントがアクセスできる状態のまま放置されないようにすることで、孤立アカウントがバックドアとして使用されたり、内部脅威によって悪用されたりしないようにするための重要なステップです。
「SailPoint Identity Security Cloudの導入を機に、人事システムが持つ情報と連携してプロビジョニングを自動化できるようになったのは大きな前進です。」
株式会社セブン銀行 コーポレート・トランスフォーメーション部 コーポレートITデザイン室 室長 石原 健二氏
IDライフサイクル管理を支える4つの中核要素
ID ライフサイクル管理には、4つの主要な要素があります。これらの要素を連携させることで、リソースを保護しながらユーザーに必要なアクセス権限を提供できます。
| 要素 | 概要 |
|---|---|
| 認証 | 複数の要素で本人確認を行い、アクセス権限を付与 |
| 認可 | ユーザーを権限で定義し、アクセス権限を付与 |
| 管理 | アクセスガバナンスを重視 |
以下、それぞれ解説します。
認証
ユーザーがリソースにアクセスする前に、そのユーザーのIDを検証し、正当なユーザーであることを確認する必要があります。パスワード 、アクセス トークン、生体認証(顔認識、虹彩スキャン、指紋など)を含む、1つ以上の認証方法を使用して、IDを検証します。
ユーザーが認証されると、認可に基づいてリソースへのアクセスが許可されます。指定された期間が過ぎた後やユーザーがタスクを完了した後にタイムアウトするなど、認可を制限できます。
認可
認可は、ユーザーが持つ特権アクセス権限を定義します。ユーザーが認証されると、認可レベルに基づいてリソースへのアクセス権限が付与されます。
管理
ID ライフサイクル管理における管理(Administration)は、アクセス ガバナンスに重点を置いています。管理では、ユーザー アカウントの作成、ロールの割り当て、アクセス権許諾の構成に関連する詳細に対応します。
これは、ルールによるポリシーの確立と適用を含む、継続的なプロセスである必要があります。ロール、タスク、端末、場所、動作に基づいてアクセス権限を付与するルールを使用して、アクセス権限を制御できます。
監査とレポート
ID ライフサイクル管理全体のすべてのアクティビティを監視し、記録する必要があります。これにより、コンプライアンス要件(米国における医療保険の相互運用性と説明責任に関する法令(HIPAA法)、カリフォルニア州プライバシー権法(CPRA)、EU一般データ保護規則(GDPR)、ペイメント カード インダストリー データ セキュリティ基準(PCI DSS)など)および監査に対応するだけでなく、アイデンティティ システムやアクセス システムが期待どおりに動作していることを確認できます。さらに、監視により、攻撃やセキュリティ侵害の兆候となる可能性のある、異常なアクティビティを検出できます。
現場で直面しているID ライフサイクル管理の課題
ID ライフサイクル管理には多くの利点がありますが、課題がないわけではありません。ID ライフサイクル管理に関連する一般的な問題点を整理します。
| 課題 | 概要 |
|---|---|
| アクセス権限レビュー・再権限審査 | 権限審査のルール設計が複雑 |
| ユーザーアクセスの調整 | 権限変更のタイムリーな反映が困難 |
| UXとセキュリティの両立 | セキュリティと利便性の両立 |
| 継続的な監視 | 異常検知のための人員確保 |
| IT部門の負担 | 設定変更、トラブル対応でITリソースが逼迫 |
| 多様なユーザーグループ管理 | 社内、社外、ボットなど管理の統合的な連携 |
| オンボーディングと権限割当 | 大規模組織ほど権限決定が煩雑 |
| 特権の管理 | 最小権限の原則と生産性維持の両立 |
| セキュリティリスクとコンプライアンス | 過剰なプロビジョニングの設定によりリスク増大 |
以下、それぞれ解説します。
アクセス権限レビューと再権限審査(ID棚卸)
IDを作成したら、定期的なレビューと再権限審査(ID棚卸)を行う必要があります。これを管理するためのルールの設定は、複雑で時間がかかります。
ユーザー アクセスの調整
ユーザーのニーズが変化するにつれて、過度の露出や特権のクリープを避けるために、アクセス権限もそれに応じて調整する必要があります。これらの変更をタイムリーに行い、特権が正しく割り当てられるようにするのは、容易なことではありません。こうした変更には、ユーザーの退職や業務の完了に伴うアクセス権限の削除が含まれます。
ユーザー エクスペリエンスとセキュリティの両立
IT部門とセキュリティ部門は、セキュリティとユーザー エクスペリエンスを両立させるのに苦慮しています。階層化された認証を要求することは、セキュリティ要件を満たすのに役立ちますが、ボトルネックが生じ、ユーザーの不満につながる可能性があります。
継続的な監視
セキュリティ上の問題を示唆する可能性のある異常な動作を特定するには、ユーザーのアクティビティやアクセス権限のパターンを継続的に監視することが不可欠です。ただし、IDとそれに関連する特権を効果的に制御するには、検出・対応担当者を割り当てる必要があります。
IT部門の負担
各部門は、新しいユーザーの設定、既存ユーザーの設定の調整、ユーザーの非アクティブ化を行う必要があるため、IDの管理に時間がかかります。さらに、パスワードのリセットやアクセス権限付与の審査など、IDに関連するトラブルシューティングを処理する必要があります。
多様なユーザー グループの管理
IDは、人間のユーザーと人ではないユーザーに割り当てられます。人間のユーザーは、従業員から契約社員、パートナー、顧客に至るまで多岐にわたり、それぞれ認可を受けます。人ではないユーザーについても同様ですが、ポリシーに従ってアクセス制御を実施できるようにするために、多くの場合、統合連携が必要になります。
オンボーディングとアクセス権限の割り当て
企業が大きく複雑になるほど、新規ユーザーのオンボーディング プロセスもより難しくなります。認証システムの設定に加えて、特権アクセス権限の決定や割り当てにも注意が必要です。アクセス権限を必要とする外部ユーザーやインテグレーション システムを扱う場合は、特に煩雑になります。
特権の管理
最小権限アクセスの原則を実装しようとする企業は、多くの場合、その管理に苦慮します。ユーザーに必要な最小限のアクセス権限のみを付与することは、複雑で煩雑な作業になる可能性があります。ユーザーが必要なリソースにアクセスできない場合、生産性が低下する可能性があります。
セキュリティ リスクとコンプライアンスの問題
ID ライフサイクル管理システムとプロセスを設定すると、セキュリティの脆弱性が生じ、企業が露出やコンプライアンス違反に関連する悪影響にさらされる可能性があります。最も大きなリスク領域の例として、過剰なプロビジョニング、アクセス権限の監視・変更に関するルールの適用、アカウントの非アクティブ化が挙げられます。
「ネットワーク レベルや社内・社外で境界線を設けるのではなく、アイデンティティ レベルできめ細かにアクセスを制御していく必要があると感じていました。」
塩野義製薬株式会社 DX推進本部 IT&デジタルソリューション部
IT&デジタルソリューションユニット ITフロンティアグループ 那須 真良樹氏
ID ライフサイクル管理のソリューションとツール
ID ライフサイクル管理に関連する課題は、専用のソリューションで対処できます。ID ライフサイクル管理のソリューションとツールを検討する際は、包括的な評価を実施することが重要です。これには、企業に最適なソリューションを見つけるために、主要な特長・機能、コスト、利点を評価することが含まれます。
ID ライフサイクル管理ツールの主要な特長・機能
ID ライフサイクル管理ソリューションにとって何よりも必要なことは、高度な自動化を提供することです。ID ライフサイクル管理ソリューションに求められるその他の重要な特長と機能は、次のとおりです。
- アクセス権限付与ワークフロー(申請、レビュー、承認、ステータスなど)
- 監査・レポートツール
- 認証ツール
- プロビジョニング・デプロビジョニングの自動化
- 不審なアクティビティの継続的な監視
- セキュリティの強化
- パスワード管理(リソースをまたいだパスワードの同期、セルフサービスによるリセットと変更を含む)
- ポリシーの自動化
- 特権ユーザー管理
- ロール ベースのアクセス制御
- 簡素化された承認ワークフロー
- 厳格なアクセス制御
ID ライフサイクル管理ソリューションのコスト評価
ID ライフサイクル管理のソリューションとツールを評価する際に考慮すべきコストは、次のとおりです。
- 手動タスクを自動化することで実現できる潜在的なコスト削減
- 初期ライセンス料および新規ユーザーの追加に伴う追加料金
- 構成、カスタマイズ、統合連携を含む実装費用
- 継続的なメンテナンスとサポートのコスト
- シングル サイン オン(SSO)ベンダーへの接続料金などの隠れたコスト
ID ライフサイクル管理ツールの利点
ID ライフサイクル管理の自動化がもたらす利点は、数多くあります。最もよく挙げられる利点は、次のとおりです。
より迅速なプロビジョニングとプロビジョニング解除
新しいユーザーをすばやく追加し、適切なアクセス権限を付与します。アクセス権限が不要になった場合は、IDを自動的に削除し、関連するアクセス権限を取り消すことができます。
エンド ツー エンドの可視性
すべてのIDの概要を包括的に把握できます。この可視性には、特権アクセス権限の詳細、追加のアクセス権限を認証する権限を持つユーザー、ユーザーが実行したすべてのアクションの記録が含まれます。
ポリシーの適用
すべてのユーザーに対してポリシーを自動的に適用できます。ID ライフサイクル管理システムで適用されるポリシーの例には、一定の時間内の更新プログラムのインストール、強力なパスワードの要求、ロック画面時間の設定、リムーバブル ストレージ デバイスの使用のブロックなどがあります。
コンプライアンスの維持
ID ライフサイクル管理ソリューションは、セキュリティ ポリシーとアクセス制御を適用することで、企業が規制や業界標準を継続的に遵守するのに役立ちます。
生産性の向上
ID ライフサイクル管理機能を自動化すると、ユーザーのオンボーディング、非アクティブ化、更新を簡素化できます。これにより、IT部門の負担を軽減できるだけでなく、これらのタスクを手動で処理するときに発生する、時間のかかるエラーも排除できます。さらに、自動化により、ユーザーは必要なリソースに迅速にアクセスして作業を開始できます。
内部脅威からの保護
ID ライフサイクル管理により、特権アクセス権限を厳密に制御できるため、ユーザーが必要最小限のリソースのみにアクセスすることを徹底できます。また、これらのソリューションにより、特権クリープのリスクを低減し、特権アクセス権限を持つユーザーを監視できます。
効果的なID ライフサイクル管理のベスト プラクティス
セキュリティとユーザー エクスペリエンスの両立
セキュリティ プロトコルを実装する際は、ユーザー エクスペリエンスを考慮しましょう。ユーザーの生産性を妨げず、IT部門に不要なオーバーヘッドを生じさせないセキュリティ制御を採用・適用します。
セキュリティに対する意識向上のための研修を実施
すべてのユーザーが、アイデンティティ セキュリティ システムが導入されている理由と、不正アクセスからIDを保護するうえでそれらのシステムが果たす役割を理解できるように、様々な形式の定期的なトレーニング セッションや提供します。
人事部門とIT部門のコラボレーションを促進
明確なコミュニケーション チャネルとワークフローを作成し、人事部門とIT部門や、その他の関連グループ間のコラボレーションを促進します。各部門のコラボレーションを強化することで、より効果的、効率的、安全なID ライフサイクル管理を実現できます。
明確なポリシーの策定
ID ライフサイクル管理を開発・伝達します。最新の状態に保ち、すべてのユーザーが簡単にアクセスできるようにします。
最小権限の原則を実装
ID ライフサイクル管理に最小権限の原則を組み込むことで、職務の遂行に必要なリソースに対する、最小限のアクセス権限のみをユーザーに付与することを徹底できます。また、特権アクセス権限を定期的に評価し、最小権限の原則の継続的な適用に必要な調整を行うためのプロセスも導入する必要があります。
ロール ベース アクセス制御(RBAC)の使用
RBACを活用して、ユーザーのロールや職務に応じてアクセス権限を付与・管理します。RBACは、アクセス権限管理を簡素化し、ロールや責任の変更に応じて、アクセス権限の割り当てや取り消しを容易に行えるようにします。
他のシステムとの統合連携
ID ライフサイクル管理ソリューションを、アプリケーション、ディレクトリ、クラウド サービスなどの他のセキュリティ システムやITツールと統合連携します。
IDの監視
継続的な監視を使用して、ユーザーのアクティビティを追跡します。すべてのアクティビティを記録し、高度な分析を使用して、セキュリティ リスクや侵害の兆候となる可能性のある異常やパターンを検出します。
実務で生かすID ライフサイクル管理のユース ケース
一般的なID ライフサイクル管理の例には、ユーザーのオンボーディング・オフボーディング、人事(HR)システムに変更があった場合のアイデンティティ レコードの更新などがあります。
ユーザーのオンボーディング
新しいユーザーのオンボーディングでは、IT部門と連携して新しいIDを確立します。ID ライフサイクル管理システムは、アクセス権限の認証・認可プロセスを自動化できます。
ユーザーのオフボーディング
ユーザー アカウントが不要になった場合、ID ライフサイクル管理ソリューションは、IDを自動的に無効化または削除できます。また、すべてのリソースをまたいで、IDのすべての特権アクセス権限を取り消すことができます。
人事変更に基づいたレコードの更新
人事システムでユーザーのロールが変更されると、ID ライフサイクル管理との統合連携により、関連する特権アクセス権限が自動的に更新されます。これにより、煩雑で時間のかかるタスクを排除し、更新をタイムリーに行えるようになります。
まとめ
ID ライフサイクル管理では、すべてのユーザーとアプリケーションに対応し、作成から非アクティブ化に至るまで、IDを包括的に管理することが求められます。これは、セキュリティとコンプライアンスにとって非常に重要です。手動による管理ではエラーが発生しやすいため、効率性を高めるために自動化が推奨されます。
ID ライフサイクル管理の利点には、プロセスの簡素化、監査の効率化、コストの削減、脅威の緩和、セキュリティの向上などがあります。課題としては、アクセス権限レビュー、ニーズの変化に応じたアクセス権限の調整、セキュリティとユーザー エクスペリエンスの両立、継続的な監視、多様なユーザー グループの処理などが挙げられます。自動化、監視、厳格な制御を提供する高度なツールは、これらの課題に対処するのに役立ちます。
