IDガバナンスと管理(IGA)によって、セキュリティ管理者は企業全体のユーザIDとアクセス権を効率的に管理できます。IDとアクセス特権の可視性が向上し、不適切なアクセスやリスクの高いアクセスを防止するために必要な制御を実装しやすくなります。
IGAは、IDガバナンスとID管理を組み合わせたものです。IDガバナンスで大切なのは、職務分掌、ロール管理、ログ記録、分析およびレポート作成です。一方ID管理は、アカウント管理、資格情報管理、ユーザおよびデバイスのプロビジョニング、および資格管理に関連します。
企業環境でデジタル化が進むと、オンプレミスやマルチクラウド、リモート環境に存在するデバイス、ユーザ、およびデータも増加することになります。そのように複雑なITエコシステムでは、ユーザIDおよびアクセス権を効率的に管理することは困難です。ただし、ユーザにシステムへの余分または不必要なアクセス権を与えると、セキュリティのリスクが高まり、組織がサイバー攻撃やデータ漏洩に対して脆弱になってしまいます。
IGAツールを使用すると、セキュリティ担当者は、オンプレミスとクラウドベース両方のシステムのユーザアクセスを追跡および制御できます。また、適切なユーザが、適切なシステムに、適切なアクセス権を付与されるようにして、不適切なアクセスを検知および防止できます。IGAにより、適切な制御を実装することで、企業はリスクを最小化し、法令順守を徹底できます。
IGAツールにより、企業は正確かつ効率的に、ユーザIDのライフサイクル管理を合理化できます。セキュリティ管理者は、アクセス権のライフサイクル全体を通して、ユーザアクセスのプロビジョニングおよびプロビジョニング解除のプロセスを自動化できます。この自動化を実現するため、IGAソリューションはIDおよびアクセス管理(IAM)プロセスと連携して動作します。またIGAは、IAMとの連携で、管理者による権限の管理を支援し、正確なレポート作成によりコンプライアンスを維持します。
IGAには通常、ID管理(IA)に関する以下のような要素が含まれます。
パスワードボールトなどのIGAツールは、複数のアプリケーション用のユーザ名とパスワードをセキュアに保存します。ユーザはパスワードを1つ覚えるだけでよく、盗難や漏洩が発生しづらい、複雑な固有のパスワードを使用することになるため、外部からの脅威に対する組織の脆弱性を最小化できます。
また、OneLoginのシングルサインオン(SSO)のようなIGAツールを採用する組織も増えています。SSOにより、ユーザは1つの資格情報のみを使用して、複数のアカウントにログインできるようになります。ログインの頻度や保存する資格情報の数が減少するため、組織を侵入の可能性から保護できます。
IGAツールはコネクタを使用することで、ユーザ情報、ユーザがアクセス権を持つアプリケーションとシステムの情報、およびシステム内の認証に関する情報を含む、ディレクトリやその他の企業のシステムと統合することができます。これらのコネクタは、対象のデータを読み取り、誰が何のアクセス権を持っているのかを把握して、新しいユーザを作成しアクセス権を付与するために対象データを書き込みます。
自動ワークフローにより、ユーザが業務に必要なシステムへのアクセス権を要求しやすくなります。さらに、管理者はユーザのオンボードとオフボード、ロールが必要とするアプリケーションやシステムへのアクセス権レベルの判断、およびユーザアクセスの承認を簡単に実行できます。
IGAは、オンプレミスとクラウドベースの両方のリソースに対し、ユーザおよびアプリケーションレベルで、アクセス許可のプロビジョニングおよびプロビジョニング解除プロセスを合理化します。
セキュリティ管理者は、さまざまなアプリケーションおよびシステムにおいて、ユーザに許可される作業の指定および検証ができます。例えば、あるユーザはデータの追加や編集ができるが、別のユーザはデータの閲覧のみを許可される、などです。また、ごく一部のユーザはデータを削除する権限を付与されます。
IGAには通常、IDガバナンス(IG)に関する以下のような要素が含まれます。
セキュリティチームは、エラーを回避して詐欺行為を防止するため、リスクの高い一連のアクセス権やトランザクション権限が1人の人物に付与されないようにするルールを作成できます。例えばSoD制御によって、不注意によるものか悪意によるものかを問わず、企業の銀行口座を閲覧することと、外部の口座に送金することの両方ができるようにならないようにします。SoD制御は、特定のアプリケーション内と、複数のシステムおよびアプリケーション全体に設置する必要があります。
IGAツールは、さまざまなアプリやリソースへの、ユーザアクセスのレビューと検証のプロセスを合理化します。また、ユーザが退職した場合などのアクセス権の取り消しも簡素化します。
ロールベースのアクセス制御(RBAC)では、ユーザのアクセス権をロールによって決定します。したがって、ユーザは業務の実行に必要な情報のみにアクセスできるようになります。RBACでは、特に機密データへの不必要なアクセスを防止することで、企業のセキュリティを向上させ、データ漏洩を防止します。
これらのIGAツールでは、ユーザのアクティビティを記録し、セキュリティ担当者がセキュリティの問題やリスクを特定して、高リスクの状況でアラームを発することができるようにします。また、セキュリティ改善の提案、修復プロセスの開始、ポリシー違反への対処、およびコンプライアンスレポートの生成も可能です。
部署の異動や退職などにより、ユーザの組織内での立場が変わると、アクセス要件も変わることになります。IGAによって、プロビジョニングからプロビジョニング解除まで、こうした変更を管理しやすくなります。また、パスワード管理、権限管理、およびアクセス要求管理を通じたユーザ、デバイス、ネットワーク、およびその他のITリソースの管理体制も維持しやすくなります。
IGAシステムは、一元管理型の承認機構を提供し、職務遂行のために必要なアクセス権の承認要求をユーザが簡単にできるようにします。一元管理により、管理者は権限の管理、疑わしいアクティビティの追跡と検知、および犯罪者の企業システムやデータへのアクセス防止が可能になります。
詳細なイベントロギング、レポート、および分析により、IT管理者は企業の環境全体で起こっていることを把握しやすくなり、問題やリスクを迅速に発見できるようになります。発見後は問題をトラブルシューティングして、ビジネスクリティカルなリソースを保護することができます。また、データの一元管理により、管理者はアクセスレポートを監査し、コンプライアンス要件を満たすことができます。
堅牢なIGAツールにより、組織はリモートアクセスを安全に許可して制御し、ビジネスの継続性を維持しつつ侵害を防止することができます。この柔軟性により、従業員は場所を選ばずに作業ができるため、生産性とパフォーマンスが向上します。
IGAソリューションは、運用コスト削減に役立つ一元管理ポリシーおよび自動化ワークフローをサポートしており、従業員が必要とするリソースへのアクセス権を確保し、リスクを低減し、コンプライアンスを改善します。このようなメリットにより、組織は本質的にスケーリングできます。これは手動のプロセスや、ユーザ、ID、およびシステムの可視性が制限されている状態では不可能なことです。
規制はユーザおよびデータの保護と、さまざまなエンティティ間の信頼向上を目的としています。例えば、医療保険の携行性と責任に関する法律(HIPAA)は、ユーザの医療情報を保護するために制定されました。この法律では、患者のデータのセキュリティとプライバシーを確保するため、適切な保護手段を実装することが医療機関に求められています。
同様に、サーベンスオクスリー法(SOX)では、株式公開企業における財務記録と監査を改善するよう義務付けられています。この目的は、企業の財務情報の信頼性を強化し、詐欺行為を防止することです。規制の制定後、ペイメントカード業界データセキュリティ基準(PCI DSS)では、顧客のクレジットカード情報保護のためのセキュリティ管理、ポリシー、および手順に関連する要件を指定しています。
組織がコンプライアンス不履行による法的な罰則または罰金を回避するためには、適用されるすべての規制に準拠することが重要です。コンプライアンスに準拠することで、顧客の信頼を得て、ビジネスを成長させることもできます。規制に準拠しているということは、システムおよびデータを保護する管理システムを導入しており、サイバー攻撃やデータ漏洩から守られているということでもあります。
IGAは、IDおよびアクセス管理(IAM)のサブカテゴリに当たります。ただし、IGAシステムでは、標準のIAMシステムを上回る追加機能を提供しており、一般的なIAM課題への対応に役立てることができます。
例えば、企業のリソースへの不適切なアクセス権や古いアクセス権が存在することは、IAMでよく見られる問題です。IAMにおけるその他の課題には、リモートワーカー、時間のかかるプロビジョニングプロセス、個人所有デバイスの業務利用(BYOD)の貧弱なポリシー、および厳格なコンプライアンス要件などがあります。このような問題はセキュリティのリスクを増大させ、組織のコンプライアンスの状態も悪化させます。しかしながら、IGAでIAMシステムを強化することで、このような課題に対処できます。
IGAにより、組織はアクセス承認ワークフローを自動化し、リスクを低減できます。また、IAMポリシーを定義および強制し、コンプライアンスのレポート作成用にユーザアクセスのプロセスを監査することもできます。そのため、多くの組織では、HIPAA、SOX、およびPCI DSSに示されたコンプライアンス要件に準拠するためにIGAを使用しています。
あらゆる組織がIGAソリューションの恩恵を受けることができます。IGAにより、ユーザが何にアクセスできて何にできないのかの可視性が改善されるため、IT管理者はID管理とアクセス制御を合理化し、リスクを効率的に低減して、ビジネスクリティカルなシステムとデータを保護することができます。IGAは、コンプライアンスの改善と維持にも役立ちます。現代の複雑なITとサイバーセキュリティの状況において、IGAツールは組織に、自らを保護し、耐障害性を改善し、拡張性に優れた成長を達成する力を与えてくれるのです。