アイデンティティ・アクセス管理(IAM)システムには、プロセスを合理化するための多くのコンポーネントが標準装備されていますが、脆弱性から組織を保護するために推奨される追加コンポーネントがいくつかあります。このチェックリストにより、効率的なワークフローを構築し、チームメンバーを編成し、重要な資産を安全に保護するための最善の準備を整えることができます。  

IAMポリシーの策定

最初にIAMポリシーが策定・更新されているか確認します。このポリシーには従業員の業務効率化をサポートする一連のアクションとルールが定義されています。記録として残すことで、チームメンバーの意思決定が容易になるとともに、必要に応じて参考資料として使うこともできます。

ロールベースアクセス制御(RBAC)の構築

アクセスのロール権限定義により、管理者はユーザーに対し詳細な権限に応じてパーミッションを割り当てることが可能になります。このプロセスは、ユーザーが所定のアプリケーションにアクセスできるかではなく、ユーザーがそのアプリケーション内でできることを決定します。ロールは、多くの場合、役職に関係なくそのロールを持つすべてのユーザーに同じ一連の権限を付与します。例えば、管理者は部門を問わずアクティビティと分析を見ることができますが、タスクを編集または実行する権限や能力はありません。ユーザーは変更できますが、そのロールに割り当てられた役割と権限は変更されません。また、必要に応じて、ロールを大規模に定義、変更、削除することができます。

アクセスライフサイクルの自動化

テクノロジーのイノベーションが進む今、自動化は効率化とほぼ同義語となっています。プロビジョニングおよびデプロビジョニングプロセス(パーミッションの割り当てと削除)によるアクセスライフサイクルの自動化は、時間を要するアクセス認可の手動プロセスをなくし、人為的ミスを大幅に減らすことができます。ライフサイクル管理に対するこうしたアプローチにより、入社に伴う作業が効率化され、それぞれの職責を果たすために必要なツールへのアクセス権がユーザーに即座に付与できます。また、アクセスが不要になったユーザーの認証情報を削除することで、退社と異動に伴う作業をサポートします。このように、自動化は効率性を高めるだけでなく、セキュリティを確保することができます。

アプリケーションに対するアクセスのセキュリティ確保

アプリケーションへのユーザーアクセスのセキュリティを確保することは、効率的なIAMシステムと組織全体にとって不可欠です。これを実現する最も一般的な方法には、二要素認証(2FA)、シングルサインオン(SSO)、多要素認証(MFA)が挙げられます。

これらの認証方法はセキュリティを高めるだけではなく、使い勝手が良いため、認証のベストプラクティスと考えられています。2FAとMFAの場合、ユーザーはアクセスするために二つ以上の認証要素(パスワード、認証アプリケーション、指紋スキャンなど)を提供しなければなりません。SSOの場合、ユーザーは一組の認証情報を入力するだけで、ドメイン接続された複数のアプリケーションにアクセスできます。これらの認証方法は機能と実装が異なるため、どの方法が運用上最適であるかは組織のニーズや優先順位によって決まります。

職務分掌(職務の分離)

IAMソリューションの基盤である職務分掌/職務の分離(SoD)により、ユーザーが特定プロセスにおいて二つ以上の業務を制御できないようにします。SoDはロールベースアクセスで動作し、複数のデジタル資産の制御が特定のユーザーまたはアカウント(会計、管理者など)のみにより実施されることを防止するため、コンプライアンスを確保できます。権限と説明責任が組み込まれているため、組織はユーザーが取り返しのつかない損害を与えるリスクを軽減できます。

アカウントとユーザーの監査

コンプライアンスを高めるために、システムのアカウントとユーザーの定期監査を実施します。監査はアクセス権の棚卸から始まり、特権アカウントと特権ユーザーを特定し、不要または未使用アカウントを削除し、アクティブユーザーに対する権限を検証・追跡します。監査にはその他にも、現在のアクティビティの監視、過去の使用履歴とレポートの分析、リスクの高いユーザー行動の管理者への警告が含まれます。監査に適切なワークフローを確立することで、容易にコンプライアンスを維持し、一貫したセキュリティを確保することができます。

すべてのユーザーアクティビティの文書化

文書化はコンプライアンス業務において不可欠です。すべてのユーザーアクティビティを監視、記録、整理することで、企業は問題解決に役立つデータを手に入れ、問題に真っ先に取り組むことができます。文書化することで、過去と同じ状況に直面した場合にも円滑に対応することができます。検索可能で正確な記録を活用することで、同じプロセスを繰り返したり修正したりして最大限の成果を上げることができます。

仕上げ

すべてのチェック項目を確認すれば、最高水準のIAMセキュリティを実現できます。IAMポリシーの策定、ロールベースアクセス制御の確立、アクセスライフサイクルの自動化、アプリケーションアクセスのセキュリティ確保、職務分掌(職務の分離)、アカウントとユーザーの監査、文書化を確認しましょう。

IAMに関するご質問は、SailPointにご相談ください

クラウドプラットフォームを適切に制御

SailPointとIAMの詳細を知る

今すぐ問い合わせる