ユーザのプロビジョニングとプロビジョニング解除とは

ユーザのプロビジョニングとプロビジョニング解除には、複数のアプリケーションとシステムでのユーザアカウントの作成、アップデート、削除のプロセスが含まれます。このアクセス管理では、ユーザの資格、グループのメンバーシップ、さらにはグループ自体などの関連情報が対象になることもあります。多くの組織はユーザのプロビジョニングを自動化しています。ユーザのプロビジョニングとは、1つ以上のシステムで利用できるアプリケーションなどのリソースに対するユーザのアクセス権に関連したユーザデータを体系的に作成し、管理することです。アクセス可能なシステムには、オンプレミス、クラウドベース、またはこれらのハイブリッドがあります。

自動ユーザプロビジョニングは、多くのIDおよびアクセス管理（IAM）ソリューションの主要な機能の1つです。プロビジョニングは、従業員が組織に加わったとき、別の部門や部署に異動したとき、または退職したときに行われます。これは新規採用/異動/退職（JML）プロセスと呼ばれます。IAMソリューションをHRおよび人事システムと直接統合することで、ユーザアカウントの作成/アップデート/削除のプロセスをHRアクションと結びつけることができます。従業員のオンボーディングやオフボーディングに関連するものなど、HRデータを変更するアクションによって、対応する従業員アカウントに関連のあるシステムやアプリケーションへのアクセスの許可を自動的に変更することができます。

ユーザのプロビジョニングとプロビジョニング解除には以下の主なメリットがあります。

• 従業員のオンボーディングとオフボーディングが容易: ユーザ名、ロール、プロファイルなど従業員のユーザ属性を作成してメンテナンスし、事前に定義したロールや柔軟な資格規則に基づいてアクセス権限やユーザアカウントを自動的に割り当てます。
• アプリケーション間でのユーザ管理を合理化: Active Directory（AD）、Lightweight Directory Access Protocol（LDAP）、その他のアプリからユーザを自動的にインポートします。プロビジョニングによってユーザプロファイルを継続的に伝搬させ、常にシステムに最新のアップデートがある状態にできます。
• セキュリティを向上し、コストを削減: HR主導型のID管理（IM）によって退職した従業員がオンラインアクセスを続けることを防ぎ、ゾンビアカウントがアイドル状態になってセキュリティ侵害のリスクが発生する可能性を完全に排除します。

基本的な自動プロビジョニングワークフローでは、特定のユーザロールに基づいてユーザをアプリに追加します。ユーザにロールが割り当てられると、関連するアプリでそのユーザが自動的に作成され、アクセス権限が付与されます。以下の図では、新しいユーザがプロビジョニングされると、Salesロールに追加され、その結果、このロールに関連するアプリへのアクセス権がこのユーザに付与されています。この例では、プロビジョニングされたユーザはSalesforce、Office 365、G Suiteにアクセスできます。

退職した従業員をアプリからプロビジョニング解除する場合は、設定されている基本設定に応じて、すべてのアプリのユーザのアカウントが削除または一時停止されるように、そのユーザのステータスを単純に変更できるソリューションが必要になります。図の例を詳しく見ると、ユーザをプロビジョニング解除した後、その従業員のロールに関連付けられていたアプリは、そのユーザからはアクセスできなくなっています。

プロビジョニングとプロビジョニング解除が適切かつ迅速にできない企業にとって、費用のかかるセキュリティ侵害のリスクはきわめて大きなものです。データ漏洩の平均コストは、米国では1レコードあたり148ドル、漏洩1回あたり791万ドルです。その結果、データ漏洩が発生した企業は、大規模な漏洩から数年間は市場での業績が落ち込むことが多く、小規模の企業の60%は攻撃の成功から6ヶ月以内に倒産しています。

自動ユーザプロビジョニングは、従業員のアクセスを必要なアプリだけに制限することで、企業のセキュリティ維持に役立ちます。自動ユーザプロビジョニング解除では、従業員が退職したときに、接続されていたすべてのアプリケーションからアクセスが自動的に削除されるため、企業のセキュリティ維持に役立ちます。さらに、既存のすべてのユーザセッションも削除されるため、セキュリティリスクが軽減されます。