-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
アイデンティティ管理は、アイデンティティを中心にパスワードなどの本人確認要素であるクレデンシャル、属性値、アプリケーションへのプロビジョニングを行います。「管理」に加え、IDを適切に「統制」するガバナンスと管理の考え方も必要です。この「アイデンティティのガバナンスと管理」を行う製品を「Identity Governance & Administration(以下、IGA)」と呼びます。
今回はIGAの概要に加え、導入の大変さ、最近出てきたキーワード「"Light(軽い)" IGA」についてお話ししていきます。
なぜIGAが必要なのか?
「アイデンティティ」としては、1人(1つ)です。しかし、アプリケーションが4つあれば、実際には4つ、各アプリケーションで権限情報が存在します。ユーザーが1,000人いて、アプリケーションが10個あれば、10,000のアカウント情報となり、アクセス権も機能により増加していきます。最近では、情報システム部門が管理するシステム以外にも、事業部門や部門で利用するSaaSも増えてきています。アプリケーションの数も10では済まないケースがほとんどです。
企業におけるID管理
もう少し具体的に考えてみます。私のアイデンティティとしては1つですが、アプリケーションごとにアカウントを持ちます。例えば下記の場合、私には5つのアプリケーションが割り当てられており、さらにBoxには6つのグループが割り当てられています。これが、各アプリケーションにあります。アプリケーションが増え、ユーザーアカウントが増え......、そのまま権限の数は増えていきます。
これまでのアカウント管理としては、ITヘルプデスクなどでアカウントを作成し、アプリケーションへのアクセス設定をすることで、アプリごとに権限設定を行っていることが多いと思われます。しかし、組織部門管理のSaaSが増え続ける状態で、人を介したチェックというのは現実的と言えるでしょうか?
例えば、下記のような質問をされて、回答できますか?
- 誰が、いくつ、どのIDを持っていますか?
- このアクセス権限が適切と言い切れますか?
- 削除漏れのあるアカウントはありませんか?
この課題を解決するために登場したのが、アイデンティティのガバナンスと管理を行うIGAです。
IGAとは?
Gartnerによると、IGAの機能は下記と定義されています。
Capabilities: Mandatory capabilities for a complete IGA suite to meet a typical organization's needs are:
- Identity life cycle management
- Entitlement management
- Support for access requests
- Workflow orchestration
- Access certification (also called "attestation")
- Provisioning via automated connectors and service tickets Analytics and reporting
※ Gartner「Market Guide for Identity Governance and Administration (Published 4 July 2022 - ID G00741319)」
日本語訳はこちら。
機能:典型的な組織のニーズを満たす完全なIGAスイートの必須機能は以下のとおりである。
- アイデンティティ・ライフサイクル管理
- エンタイトルメント管理
- アクセス要求のサポート
- ワークフロー・オーケストレーション
- アクセス認証(「認証」とも呼ばれる)
- 自動化されたコネクターとサービスチケットによるプロビジョニング アナリティクスとレポート
この機能一覧では、エンタイトルメント管理という聞き慣れない単語があり、社内から「どれも自動化に見える」と意見がでたので、アイデンティティ管理製品のカテゴリー、IGA、IAM、PAMの関係性を図示してみました。
IGAは「アイデンティティ」に関して見える化しつつ、アクセス権を要求に応じて設定し、レビューをしていくものとイメージしてもらえたら幸いです。
IGA製品の導入&運用はとても大変
IGA製品はIGA "Suite"と呼ばれますが、非常に機能が多く複雑です。IGA Suite内での設定だけでなく、アプリケーションやデータベース側にも手を入れる必要があり、導入に長い時間がかかります。大規模なカスタマイズには専門的なスキルが必要で、かつ維持にも膨大なリソースが必要です。そのため、Gartner社のレポート※によると利用可能な機能の90%も使用しておらず、実際30%程度しか使っていない企業も珍しくないといわれています。
※ Gartner Market Guide for Identity Governance and Administration (Published 4 July 2022 - ID G00741319)
"Light(軽い)" IGA
ここで出てきたのが"Light(軽い)" IGAです。
Light IGAはよくあるニーズを実現する、4~6程度の機能だけをサポートするものです。
OktaやMicrosoft EntraのIGAに対するアプローチは、このLight IGAにあたります。
さいごに
Light IGAはあるべき姿とは言いにくいところもあります。しかし、全体最適視点でリスクを低減し、運用を最適化されるという視点では非常に有効と思われます。事業会社側の情報システム部門で、Active DirectoryやERPを担当していた私からすると、「IGA Suiteなんて無理......。でもLight IGAならいけるのではないか?!」という感覚値を持っています。ラックでもOktaの導入サポートをしているので、うちの会社でももしかしたらいけるのでは?とご興味ありましたら、ぜひお問い合わせください。
近日、IDaaSのリーダーであるOktaのより具体的なアプローチについて、実際の画面をお見せしながら説明する記事を公開予定ですので、こちらもお楽しみに。
この記事をシェアする
関連記事
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR