皆様、こんにちは。
今回は表題にあるようにIBM Security VerifyというIDaaS製品に備わっているガバナンスの機能を紹介したいと思います。
IBM Security Verifyというと多要素認証やSSOなどの機能を真っ先に思い浮かべる方も多いのではないでしょうか。私自身もそうでした。しかしIBM Security Verifyにはガバナンスの機能もあるのです。ガバナンスの製品といえばIBM Verify Identity Governanceというオンプレの製品がありますが、2つの製品のガバナンス機能における差異は近年どんどん埋まってきております。IBM Verify Identity Governanceとほぼ同じ形でIBM Security Verifyが提供している機能のうちの一つとして今回は認証キャンペーンについてご紹介したいと思います。
IBM Verify Identity Governanceの認証キャンペーン機能についてご紹介している過去のBlogはこちら
→認証キャンペーン機能について(IBM Verify Identity Governance)
1. 認証キャンペーンとは
認証キャンペーンは、IDの管理者が設定する包括的なプロセスであり、以下の要素を定義しながら作成・実行します。
- どのアクセス権限がレビューされるべきか(例:すべてのアカウント、特定のエンタイトルメント、ユーザーとロールの割り当てなど)
- 誰がレビューの責任者か(例:直属のマネージャー、アプリケーションのオーナー、特定のセキュリティチームなど)。
- レビューをどのくらいの頻度で行うか(例:四半期ごと、毎年、オンデマンドなど)
- 認証キャンペーン終了後に、レビューされていない資格がどのように処理されるか?(例:アクションなし、すべて承認、すべて拒否)
2. 認証キャンペーンの作成・実行
認証キャンペーンはIBM Security Verifyの管理者画面のアプリケーションタブから「アクセス認証」をクリックして設定していきます。
さっそく画面右上の「キャンペーンの作成」をクリックして認証キャンペーンを作成していきましょう。
- 一般的なセットアップ
ここではキャンペーンの名前やキャンペーンタイプ、優先順位を定義します。
キャンペーンタイプは以下3つの中から指定します。
アカウント、、、Verifyに紐づけられたアプリケーションの中のアカウントと同期したアカウントに対するキャンペーン
ユーザーの資格、、、Verifyに紐づけられたアプリケーションに割り当てられたユーザー資格に対するキャンペーン
グループの資格、、、Verifyに紐づけられたアプリケーションに割り当てられたグループ資格に対するキャンペーン
優先順位は複数のキャンペーンが走った際の優先度をここで定義することができます。
・アプリケーションの有効範囲
キャンペーンを実行するアプリケーションの対象範囲を定義します。アプリケーションを少なくとも1つ以上選択する必要があります。
・ユーザー有効範囲
キャンペーンを実行するユーザーの対象範囲を定義します。有効範囲を指定しない場合は、定義したアプリケーションにアクセス権限をもつすべてのユーザーが対象範囲に含まれます。
・グループの有効範囲
キャンペーンを実行するグループの対象範囲を定義します。有効範囲を指定しない場合は、定義したアプリケーションにアクセス権限をもつすべてのグループが対象範囲に含まれます。
・レビューアー設定
ここではレビューアーを誰にするか指定したり、レビューアーやレビューアーの承認または拒否アクションをプロビジョニングに反映させるタイミングを定義したりします。レビューアーの決定をプロビジョニングに反映させずにログとしてレポートに記録するような設定もできます。
・キャンペーン・スーパーバイザーの設定
キャンペーンの進捗状況を追跡できるメンバーを指定できます。スーパーバイザーに指定されたメンバーにはメールで通知が送られ、メールに記載のリンクをクリックするとキャンペーンの進捗状況を確認することができます。(アクセス権限の承認や拒否などのキャンペーンアクションはできません)
・スケジュール
キャンペーンの開始日や実行期間、定期的にキャンペーンを走らせたい場合はその間隔を設定します。
・リマインダーとキャンペーンの終了
キャンペーンの終了前にレビューアーにリマインドメールを送信する設定やレビューアーからの監査が行われなかったアクセス権限に対するキャンペーン終了時の処理を設定することができます。
以上がキャンペーンの作成手順になります。
「キャンペーンのスケジュール」をクリックして設定を終了し、キャンペーンを作成します。
認証キャンペーンが作成されました。
管理者には認証キャンペーンが作成され実行中である旨が以下のようにメールで通知されます。
レビューアーには認証キャンペーンのレビューアーに指定された
こと、アクセス権限への監査アクションをとるよう促す旨が以下のようにメールで通知されます。メールにあるリンクをクリックしてレビューアクションを実行していきましょう。
3. 認証キャンペーンの実施
リンクをクリックするとレビュアーのVerifyランチパッドに飛びます。
今回設定したtestという名前の認証キャンペーンをクリックします。
ここでキャンペーン対象となっているアクセス権限を確認し、承認or拒否のアクションをとっていくことができます。
承認する場合でも拒否する場合でも以下のようにコメントを残すことができます。
すべてのアクセス権限に対するレビューが完了すると以下のように100%レビュー済みとなり、認証キャンペーンは完了となります。
4.まとめ
ここまででIBM Security Verifyでガバナンスの機能として認証キャンペーンを設定し、実施する流れをご説明させていただきました。
認証キャンペーン機能について(IBM Verify Identity Governance)と比較してみると、IBM Security Verifyでもほぼ同じような形で認証キャンペーンを実行できることがお分かりいただけたと思います。
ただIBM Verify Identity Governanceでは、IBM Verify Identity Governanceが活用できるユースケースについて(1/2)でご紹介した"アクセス・リスクの管理"機能で定義したSODリスク定義が自動的に判定し、職務分掌の観点を踏まえた承認アクションをとることができますが、IBM Security Verifyではそのようなレビューはできませんので、そこはご留意いただければと思います。