Webサイトを快適にご利用いただくためには、IE11以降、Chrome、Firefox、またはSafariをご使用ください。

IGA(IDガバナンスと管理)とは何か?

IDガバナンスと管理(IGA)によって、セキュリティ管理者は企業全体のユーザIDとアクセス権を効率的に管理できます。IDとアクセス特権の可視性が向上し、不適切なアクセスやリスクの高いアクセスを防止するために必要な制御を実装しやすくなります。

IGAは、IDガバナンスとID管理を組み合わせたものです。IDガバナンスで大切なのは、職務分掌、ロール管理、アテステーション、分析およびレポート作成です。一方ID管理は、アカウント管理、資格情報管理、ユーザおよびデバイスのプロビジョニング、および資格管理に関連します。

IGAの必要性

企業環境でデジタル化が進むと、オンプレミスやマルチクラウド、リモート環境に存在するデバイス、ユーザ、およびデータも増加することになります。そのように複雑なITセキュリティエコシステムでは、ユーザIDおよびアクセス権を効率的に管理することは困難です。ユーザにシステムへの余分な、あるいは不必要なアクセス権を与えてしまうと、セキュリティのリスクが高まり、サイバー脅威が増大し、組織がサイバー攻撃やデータ漏洩に対して脆弱になってしまいます。

IGAソリューションを使用すると、セキュリティ担当者は、クラウドガバナンスの取り組みの一環として、オンプレミスとクラウドベース両方のシステムのユーザアクセスを追跡および制御できます。また、適切なユーザアカウントが適切なシステムに適切にアクセスできるようにすることでユーザを保護し、不適切なアクセスを検知および防止できます。IGAにより、適切な制御を実装することで、企業はリスクを最小化し、法令順守を徹底できます。

IDセキュリティ戦略を刷新する

このe-bookのコピーを入手し、コストの節約、差別化の実現、プロセスの自動化を実現する方法を学びましょう。

IGAソリューションの特長

IGAソリューションにより、企業は正確かつ効率的に、ユーザIDのライフサイクル管理を合理化できます。セキュリティ管理者は、アクセス権のライフサイクル全体を通して、ユーザアクセスのプロビジョニングおよびプロビジョニング解除のプロセスを自動化できます。この自動化を実現するため、IGAソリューションはIDおよびアクセス管理(IAM)プロセスと連携して動作します。またIGAは、IAMとの連携で、管理者による権限の管理を支援し、正確なレポート作成によりコンプライアンスを維持します。

IGAには通常、ID管理(IA)に関する以下のような要素が含まれます。

1. 統合コネクタ

IGAツールはコネクタを使用することで、ユーザ情報、ユーザがアクセス権を持つアプリケーションとシステムの情報、およびシステム内の認証に関する情報を含む、ディレクトリやその他の企業のシステムと統合することができます。これらのコネクタは、対象のデータを読み取り、誰が何のアクセス権を持っているのかを把握して対象データを書き込み、新しいユーザを作成してアクセス権を付与します。

そこで利用されるのが、フェデレーションIDです。フェデレーションIDを使用すると、1つの資格情報セットを使用して、許可されたユーザが複数のアプリケーションとドメインにアクセスできるようになります。複数のID管理システムにユーザのIDをリンクして、異なるアプリケーションにセキュアかつ効率的にアクセスできるようにします。

2. 自動アクセス要求管理のワークフロー

自動ワークフローにより、ユーザが業務に必要なシステムへのアクセス権を要求しやすくなります。さら��、管理者はユーザの��ンボードとオフボード、ロールが必要とするアプリケーションやシステムへのアクセス権レベルの判断、およびユーザアクセスの承認を簡単に実行できます。

3. プロビジョニング

IGAは、オンプレミスとクラウドベースの両方のリソースに対し、ユーザおよびアプリケーションレベルで、アクセス許可の自動プロビジョニングおよびプロビジョニング解除プロセスを合理化します。

4. 資格管理

セキュリティ管理者は、さまざまなアプリケーションおよびシステムにおいて、ユーザに許可される作業の指定および検証ができます。例えば、あるユーザはデータの追加や編集ができるが、別のユーザはデータの閲覧のみを許可される、などです。また、ごく一部のユーザはデータを削除する権限を付与されます。

IGAとは何か: ID管理

IGAには通常、IDガバナンス(IG)に関する以下のような要素が含まれます。

職務分掌(SoD)

セキュリティチームは、エラーを回避して詐欺行為を防止するため、リスクの高い一連のアクセス権やトランザクション権限が1人の人物に付与されないようにするルールを作成できます。例えばSoD制御によって、不注意によるものか悪意によるものかを問わず、企業の銀行口座を閲覧することと、外部の口座に送金することの両方ができるようにならないようにします。SoD制御は、特定のアプリケーション内だけでなく、複数のシステムおよびIDアクセス管理アプリケーション全体にも設置する必要があります。

アクセス権のレビュー

IGAソリューションは、さまざまなアプリやリソースへの、ユーザアクセスのレビューと検証のプロセスを合理化します。また、アクセス権の取り消し(ユーザが退職した場合など)も簡素化します。

ここで登場するのが、強力な認証です。強力な認証とはコンピュータシステムやネットワークを保護するために使用される方法で、認証するために2つの要素(本人が知っている要素、本人自身が備えている要素、または本人が持っている要素)を要求することでユーザの身元を確認します。

ロールベースのアクセス管理

ロールベースのアクセス制御(RBAC)では、ユーザのアクセス権をロールによって決定します。したがって、ユーザは業務の実行に必要な情報のみにアクセスできるようになります。RBACでは、特に機密データへの不必要なアクセスを防止することで、企業のセキュリティを向上させ、データ漏洩を防止します。

分析とレポート作成

これらのIGAソリューションでは、ユーザのアクティビティを可視化し、セキュリティ担当者がセキュリティの問題やリスクを特定して、高リスクの状況が発生した場合に警告できるようにします。また、セキュリティ改善の提案、修復プロセスの開始、ポリシー違反への対処、およびコンプライアンスレポートの生成も可能です。

ガバナンス管理

IGAのメリット

1. ユーザIDのライフサイクル管理を簡素化

部署の異動や退職などにより、ユーザの組織内での立場が変わると、アクセス要件も変わることになります。IGAによって、プロビジョニングからプロビジョニング解除まで、こうした変更を管理しやすくなります。また、パスワード管理、権限管理、およびアクセス要求管理を通じたユーザ、デバイス、ネットワーク、およびその他のITリソースの管理体制も維持しやすくなります。

2. 危険なアクセス要求を追跡

IGAシステムは、一元管理型の承認機構を提供し、職務遂行のために必要なアクセス権の承認要求をユーザが簡単にできるようにします。一元管理により、管理者は権限の管理、疑わしいアクティビティの追跡と検知、および潜在的な犯罪者による企業システムやデータへのアクセス防止が可能になります。

3. レポート作成によるセキュリティおよびコンプライアンスの向上

詳細なレポートおよび分析により、IT管理者は企業の環境全体で起こっていることを把握しやすくなり、問題やリスクを迅速に発見できるようになります。発見後は問題をトラブルシューティングして、ビジネスクリティカルなリソースを保護することができます。また、データの一元管理により、管理者はアクセスレポートを監査し、コンプライアンス要件を満たすことができます。

4. 柔軟なアクセスがユーザの生産性を向上

堅牢なIGAソリューションにより、組織はリモートアクセスを安全に許可して制御し、ビジネスの継続性を維持しつつ侵害を防止することができます。この柔軟性により、従業員は場所を選ばずに作業ができるため、生産性とパフォーマンスが向上します。

5. 企業の拡張性をサポート

IGAソリューションは、運用コスト削減に役立つ一元管理ポリシーおよび自動化ワークフローをサポートしており、従業員が必要とするリソースへのアクセス権を確保し、リスクを低減して、コンプライアンスを改善します。このようなメリットにより、組織は本質的にスケーリングできます。これは手動のプロセスや、ユーザ、ID、およびシステムの可視性が制限されている状態では不可能なことです。

IDガバナンスと管理の2022 KuppingerCole Leadership Compass分析レポート:

法令順守が重要な理由

規制はユーザおよびデータの保護と、さまざまなエンティティ間の信頼向上を目的としています。例えば、GDPRは個人データの保護を、医療保険の携行性と責任に関する法律(HIPAA)は、ユーザの医療情報の保護を目的として制定されました。この法律では、患者のデータのセキュリティとプライバシーを確保するため、適切な保護手段を実装することが医療機関に求められています。

同様に、サーベンスオクスリー法(SOX)では、株式公開企業における財務記録と監査を改善するよう義務付けられています。この目的は、企業の財務情報の信頼性を強化し、詐欺行為を防止することです。規制の制定後、ペイメントカード業界データセキュリティ基準(PCI DSS)では、顧客のクレジットカード情報保護のためのセキュリティ管理、ポリシー、および手順に関連する要件を指定しています。

組織がコンプライアンス不履行による法的な罰則または罰金を回避するためには、適用されるすべての規制に準拠することが重要です。コンプライアンスに準拠することで、顧客の信頼を得て、ビジネスを成長させることもできます。規制に準拠しているということは、システムおよびデータを保護する管理システムを導入しており、サイバー攻撃やデータ漏洩から守られているということでもあります。

IGAとIAMの違い

IGAは、IDおよびアクセス管理(IAM)のサブカテゴリに当たります。ただし、IGAシステムでは、標準のIAMソリューションを上回る追加機能を提供しており、一般的なIAM課題への対応に役立てることができます。

例えば、企業のリソースへの不適切なアクセス権や古いアクセス権が存在することは、IAMでよく見られる問題です。ID管理システムにおけるその他の課題には、リモートワーカー、時間のかかるプロビジョニングプロセス、個人所有デバイスの業務利用(BYOD)の脆弱なポリシー、厳格なコンプライアンス要件などがあります。このような問題はセキュリティのリスクを増大させ、組織のコンプライアンスの状態も悪化させます。しかしながら、組織はIGAでIDソリューションを強化することで、このような課題に対処できます。

IGAにより、組織はアクセス承認ワークフローを自動化し、リスクを低減できます。また、IAMポリシーを定義および強制適用し、コンプライアンスのレポート作成用にユーザアクセスのプロセスを監査することもできます。そのため、多くの組織では、GDPR、HIPAA、SOX、およびPCI DSSの提示するコンプライアンス要件に準拠するためにIGAを使用しています。

まとめ

あらゆる組織がIGAソリューションの恩恵を受けることができます。IGAにより、ユーザがアクセスできる対象とできない対象の可視性が改善されるため、IT管理者はID管理とアクセス制御を合理化し、リスクを効率的に低減して、ビジネスクリティカルなシステムとデータを保護することができます。IGAは、コンプライアンスの改善と維持にも役立ちます。現代の複雑なITとサイバーセキュリティの状況において、IGAツールは組織に、自らを保護し、耐障害性を改善して、拡張性に優れた成長を達成する力を与えてくれるのです。