こんにちは。前回のIBM Verify Identity Governanceのご紹介の続きとしてこのブログでは、IBM Verify Identity Governance (IBM VIG)のいくつかの機能とご活用いただけるユースケースをご紹介させていただきます。
Identity Governance and Administration(IGA)は組織におけるIDおよびアクセス管理戦略の基本的な構成要素であり、プロセスの改善と合理化、コンプライアンスの遵守、不正アクセスによるリスク軽減およびIDライフサイクル管理の効率的な制御と自動化を目指します。IBM Verify Identity Governance (IBM VIG)のようなアイデンティティ・ガバナンスおよびアイデンティティ・ライフサイクル管理のためのソリューションを活用することで、組織はビジネスの存続と成功に不可欠な重要なアプリケーションや、最重要情報資産(Crown Jewels)へのアクセスを保護できます。
例として、IBM VIGのガバナンス・リスク・ダッシュボード(ID分析機能)、認証キャンペーンおよびビジネスアクティビティー(事業活動)をベースにした職務分掌モデリングなどが活用できます。また、ユーザー・エンタイトルメント(ユーザーがアクセスできる特定のシステム、アプリケーション、リソースおよびそれらに対する操作権限)のリスクをより明確に把握できるため、手動タスクが削減され、ビジネスユーザーがより適切な意思決定を行えるようになるというメリットもあります。
ブログでは、次のような機能とユースケースについて今回と次回の2回に分けてご紹介させていただきます。
[A]モダナイズされた管理者ユーザー用ダッシュボード
1.運用の可視性ダッシュボード - Operational Visibility Dashboard
2.ガバナンス・リスク・ダッシュボード
3.役割の管理
4.アクセス・リスクの管理
----ここから次回分----
[B]モダナイズされたマネージャー/エンドユーザー体験 - Identity Service Center
1.認証キャンペーンの活動をレビューする
2.アクセスのリクエスト
3.パスワードの変更
----ここまで次回分----
[A]モダナイズされた管理者ユーザー用ダッシュボード
1.運用の可視性ダッシュボード - Operational Visibility Dashboard
Identity and Access Management (IAM)管理者は、対話型のダッシュボードを通してIDプロビョニングやアクセス要求の成否、実行状況、ガバナンス維持のための各タスクの実施状況について深い洞察を得ることができます。
企業や組織のIAM管理業務は、新しいメンバーへのIDとアクセス権付与に始まり、異動や職掌変更に伴うそれらの見直しと更新、セキュリティーポリシーやコンプライアンス準拠のための継続的な妥当性チェックと対応、離職時の確実な削除、監査証跡管理など多岐にわたります。ソリューションの活用によって自動化が可能な部分は増えてきてはいますが、管理業務全般の可視性は確保されている必要があります。
運用の可視性ダッシュボード - Operational Visibility Dashboardでは、次のような観点で状況を把握できるようなビューを提供し、IAM管理業務への活用を図っています。
実施状況:
-
- IDプロビジョニング要求の内訳数 (成功、失敗、保留)
- アカウント同期-リコンシリエーション*1要求の内訳数 (成功・失敗・保留)
- 認証要求-Certification Request*2内訳数 (成功・失敗・保留)
- アクセス要求の内訳数 (成功・失敗・保留)
*1 IBM VIGが保持している情報と様々な外部システムとの間で、ユーザーアカウント情報や関連データ(グループ、役割など)を同期させる処理
*2 割り当てられたレビュー担当者(例:マネージャー、アプリケーションオーナー、コンプライアンス担当者など)が、ユーザーのアクセス権限や認可が引き続き必要かつ適切であるかを定期的にレビューし承認するための指示
統計情報:
-
- 全サービスの内訳数 (接続、非接続)
- 全ユーザー内訳数 (アクティブ、非アクティブ)
- 全アカウント内訳数 (準拠、非準拠、孤立)
- 全ユーザー資格リスク内訳数 (高、中、低)
- IDプロビジョニング要求内訳数の傾向グラフ (成功、失敗)
- IDプロビジョニング要求サービストップ10の内訳数の傾向グラフ (成功、失敗)
- アカウント同期-リコンシリエーション要求内訳数の日別傾向グラフ (成功・失敗)
- アカウント同期-リコンシリエーション要求トップ10サービスの内訳数 (成功・失敗)
2.ガバナンス・リスク・ダッシュボード
ガバナンスリスクダッシュボードは、管理者がアカウント、アクセス権、管理タスクなどに関するすべての違反や、リスクのあるユーザーおよびアプリケーションの数を表示するための対話型ツールです。管理者はダッシュボードから直接ワンクリックで迅速な修正措置を実行することもできます。
ダッシュボードで発見された違反とその原因、推奨される是正措置についてはこちらのページに情報がまとめられています。
3.役割の管理
"役割の管理"機能では、役割の作成を始めとする"役割のライフサイクル管理"機能が提供されます。作成可能な役割には、アプリケーション役割と組織の役割の二種類があります。
アプリケーション役割は、特定のアプリケーション内で定義される役割とアクセス権限の組み合わせです。
まず、メンバーシップ・タプでは静的または動的のいずれかが選択できます。動的タイプでは、メンバーシップ選択の条件セットを作成すると条件に一致する属性を持つユーザーが動的に追加されます。LDAP検索フィルターを指定することも可能です。
次に、ドロップダウンメニューからビジネスユニットを選択し、このロールの範囲を、選択したビジネスユニットとそのサブユニット、または選択したビジネスユニットのみに制限するかどうかを選択します。次にツリービューから必要なアクセスタイプを選択します。
"役割の合成"では、作成するアプリケーション役割を構成する1つまたは複数のアプリケーション役割を選択します。アクセスタブでは、作成するアプリケーション役割を構成する1つまたは複数のアクセス権を選択します。アプリケーション役割の場合、"サービスの選択"で選択したアプリケーションで使用可能なアプリケーション役割とアクセスのみが表示されます。
ロールに指定された条件を満たすすべてのユーザーがロールに追加されます。アカウント・リクエストが承認されると、そのユーザーは関連するすべてのアプリケーションにアクセスできるようになります。 これにより、プロビジョニングのプロセスが大幅に簡素化されます。
組織の役割は、他の組織の役割とアプリケーション役割、アクセス権の組み合わせです。組織の役割は組織全体に及ぶことがあります。
アプリケーション役割の作成時と同様な手順を踏んだ後、"役割の合成"では、作成する組織の役割を構成する1つまたは複数の組織の役割、またはアプリケーション役割を選択します。アクセスタブでは、作成する組織の役割を構成する1つまたは複数のアクセス権を選択します。
役割のメンバーシップとスコープの基準を満たしているユーザーがIBM VIGにログインすると、すでにプロビジョニングされた新しいロールを確認できます。 ビジネス上の正当性を示すことでアカウント・リクエストを申請できるようになります。
4.アクセス・リスクの管理
"アクセス・リスクの管理"機能は、きめ細かな権限にわたって職務分掌(Separation of Duties = SoD)リスクと機密アクセス・リスクを簡単に定義できるようにします。
この機能では、"ビジネスアクティビティー(事業活動)の管理"レイヤーと、"役割ベースのアクセス制御"レイヤーの間に確立された関係に基づき、職務分掌チェックを行います。職務分掌チェック作業を難しくしている要因の一つにプロセス、アクティビティー、権限のような"ビジネスアクティビティー(事業活動)"として定義されたエンティティーと、ロールユーザーや職務分掌のようなモデルで使用されるエンティティーのマッピングが出来ていないことが挙げられます。"アクセス・リスクの管理"機能では、"ビジネスアクティビティー"の定義の中で必要なアクセス権限との紐づけを行います。SoDタイプの"リスク"定義では、職務分掌違反となるリスクをビジネスアクティビティーとともに定義します。例えば、人事システムに関わるビジネスアクティビティーとDevOpsに関わるビジネスアクティビティーが職務分掌の対象となる場合、これら2つのビジネスアクティビティーと紐づくリスクを定義します。リスク定義では職務分掌違反となるアクセス要求が挙がったタイミングで取るべき対応を緩和策として定め、緩和策を適用した場合は記録を残します。
今回のブログではIBM Verify Identity Governanceの管理者ユーザー用ダッシュボードの機能とユースケースをいくつかご紹介させていただきましたがいかがでしたでしょうか?
次回はマネージャーやエンドユーザー向けの画面とユースケースについてご紹介させて頂く予定です。
ここまで読んでいただきありがとうございました。
#IBMVerify