2020年12月21日

この章では

  • アイデンティティ・ガバナンスが、複雑な脅威、多様な労働力、クラウドコンピューティング、および非構造化データに関する課題にどのように対処しているかを理解します

前の章では、働き方の変化がアイデンティティ・ガバナンスに引き起こした、大きな新しい課題を見てきました。 本章では、アイデンティティ・ガバナンスの技術とプロセスが、これらの課題にどう対応しているかを見ていきます。

ユーザー中心のセキュリティの採用

ほとんどの組織は、サイバーセキュリティに対して、ネットワーク中心またはアプリケーション中心のアプローチを採用しています。 つまり、「各ネットワークセグメントをどのように防御できるか」、または「各アプリケーションをどのように防御できるか」という質問から始めます。 次に、個々のネットワークセグメントやアプリケーションへの攻撃を検出しブロックするために、ファイアウォール、侵入防止システム(IPS)、セキュリティ情報およびイベント管理(SIEM)システムなどのツールに依存します。

残念ながら、これらの組織の多くは、アイデンティティ管理を単なる補足と見なしています。 以下の重要なタスクに十分な時間と労力を費やしていません:

  • 各ネットワークセグメントやアプリケーションへのアクセスを実際に必要としているのは誰か、必要のない権限を持っているのは誰かを分析すること
  • 孤立アカウントとSoD違反の特定
  • jamesjonesjjonesjim.jones、および jjsalesmgrは4人の異なる人物なのか、4つのリソースにアクセスできる1人の人物なのか、またはそのどちらでもない中間なのかを判断するために、ビジネスコンテキストを提供すること
  • リスクの高い身元情報はどれか判断すること(規制やコンプライアンス基準の対象となっている機密情報やアプリケーションにアクセスできる身元情報)

孤立アカウントとは、組織を離れた人物に関連付けられたアカウントです。 SoDポリシーは、詐欺の目的で、1人の人物が複数のアクションを実行することを防止します(例:偽のベンダーアカウントを作成し、それに小切手を発行することなど)。

一方、セキュリティに対してユーザー中心のアプローチを採用するためにアイデンティティ・ガバナンスを使用している組織は、以下の事項が可能になります:

  • サイバー犯罪者やハッカーに悪用される前に、不要な権限やアカウントを削除する
  • SoDおよびその他のID関連の管理を整備し、実際に実践する
  • 身元情報を身元情報への攻撃と相互に関連付ける(例:jjonesjim.jones、および jjsalesmgrが、3つの異なる場所から、異なるアプリケーションに同時にログオンしようとしたことに気が付くことなど)
  • リスクの高い身元情報に対し追加の監視と制御を行う

サイバーセキュリティに対してユーザー中心のアプローチを採用している組織も、ファイアウォール、IPS、SIEM、およびその他の実績あるセキュリティツールを無視しているわけではありません。 ですが、このような組織は、正確な身元情報をどのように取得・使用するか、そして、この情報がセキュリティのあらゆる側面をどのように強化するかを考えることから始めます。

セキュリティに対してユーザー中心のアプローチを採用することは、次の3つの質問に答えることから始まります: (1)今日アクセスできるのは誰か? (既存のユーザーとリソースをカタログ化し、業務を行うために、現在誰が何を使用しているかを判断する)、 (2)アクセスするべきなのは誰か? (必要性と組織のポリシーに基づいて、誰がリソースとデータにアクセスするべきかをモデル化する)、(3)そのアクセスはどのように使用されているか? (疑わしいアクティビティを特定し、アクセスモデルを継続的に改善するために、監視と監査を行う)。

すべてに接続する

身元関連の情報には、コンピューターシステムのユーザー、アカウント、グループ、権限、および資格に関するデータが含まれます。 また、アプリケーション、ネットワークセグメント、データベース、場合によってはドキュメントやファイルなどの、コンピューティングリソースに関する詳細も含まれています。

エンタープライズ仕様のアイデンティティ・ガバナンスソリューションは、オンプレミスのデータセンターにあるものも、クラウドでホストされているものも含めて、IT環境内のすべてのアプリケーションやシステムに接続します。

ディレクトリ、アプリケーション、およびその他の身元情報のリポジトリ

ほとんどの組織において、HRシステムやMicrosoft Active Directoryのようなエンタープライズディレクトリは、名前、連絡先情報、役職、職務、指揮系統、組織単位、主要なシステムアカウントなどの、従業員の身元情報の記録システムです。

ですが、HRシステムやディレクトリには、組織内の身元情報のサブセットしか含まれていません。 大部分の人々は、複数のアプリケーションやデバイスのアカウント、権限、および認証情報を持っています。 これらには、電子メールおよびコラボレーションツール、財務およびその他のエンタープライズアプリケーション、プロフェッショナルおよび基幹業務アプリケーション、そして企業および個人が所有するコンピューターやその他のデバイスが含まれる場合があります。

各個人が利用できる権限について、完全かつきめの細かい実態を把握できるように、アイデンティティ・ガバナンスソリューションは、身元情報に関するあらゆるディレクトリ、アプリケーショ ン、およびその他のリポジトリに接続できなければなりません。

クラウドアプリケーションとプラットフォーム

より多くの企業アプリケーションやコラボレーションアプリケーションがクラウドに移行する中、アイデンティティ・ガバナンスソリューションは、これまでオンプレミスアプリケーションに接続していたのと同様に、クラウドベースのアプリケーションに接続できる機能を追加しています。 主なクラウドアプリケーションは次のとおりです:

  • SaaSベンダーが提供するビジネスアプリケーション(例:Salesforce、Workday、Atlassian JIRAなど)
  • 電子メールおよびコラボレーションソリューション(例:Microsoft Office 365、Google G Suite、Slack、HipChatなど)
  • アマゾンウェブサービス(AWS)やGoogle Cloud Platformなどのクラウドプラットフォームで実行される、商用および「自社開発」アプリケーション。

非構造化データ

一部の高度なアイデンティティ・ガバナンスソリューションは、次のような非構造化データを保持するアプリケーションやリポジトリに接続できるようになりました:

  • ローカルファイルサーバーやネットワークアタッチドストレージ(NAS)システム
  • Microsoft ExchangeやSharePointなどのオンプレミスの電子メールおよびコラボレーションアプリケーション
  • Microsoft OneDrive、Box、Dropbox、Google Driveなどのオンラインファイルストレージアプリケーション。
図1: ユーザー中心のアイデンティティ・ガバナンスソリューションは、ユーザーがアクセスするオンプレミスアプリケーションおよびクラウドベースのアプリケーションとデータリポジトリすべてに接続します。

身元情報管理の分野には、相互運用性をサポートするいくつかの重要な基準があります。 これらには、ディレクトリにアクセスして接続するためのライトウェイト ディレクトリ アクセス プロトコル(LDAP)、認証および承認データを交換するためのセキュリティ アサーション マークアップ ランゲージ(SAML)、およびユーザー属性、グループメンバーシップ、およびプロビジョニングアクションに関する情報を共有するためのクロスドメインID管理システム(SCIM)が含まれます。

すべてを見る

アイデンティティ・ガバナンスソリューションは、IT環境におけるあらゆるID関連情報に対する単一のビューを組織に提供することができます。

ユーザーとリソースに関する情報

アイデンティティ・ガバナンスソリューションは、ユーザー、ユーザーのデバイス、ユーザーが使用するアカウント、ユーザーがアクセスするリソース、およびユーザーに付与されたアクセス許可に関する情報を包括的に可視化することができます。

「誰が何にアクセスできるのか」という質問に包括的な方法で答えることができれば、以下のタスクを実行できます:

  • めったに使用されない権限や、まったく使用されない権限を取り消す
  • アプリケーションやリソース管理者または「所有者」に、実際にアクセスが必要なユーザーを指定するように依頼することで、不要な権限を排除する
  • 過度の権限を有するユーザーを特定するために、似たような職務と責任を持つ複数のユーザーを比較する

これらのアクティビティは、攻撃者に利用されてしまう恐れのある不要な権限を削除するだけでなく、コンプライアンス監査に合格する上でも役立ちます。

アクセスのリクエストとアカウントの作成に関するデータ

アイデンティティ・ガバナンスはプロセスにも関係します。 効果的なアイデンティティ・ガバナンスソリューションは、アクセス権の要求、承認、取り消し、認証、およびユーザーアカウントの作成に関連するイベントを監視します。

こうしたプロセスによって生成されたイベントに関する詳細なデータがあれば、以下のことが可能になります:

  • 適切な人物が許可が要求、承認、および取り消しを行っているかどうかを分析する
  • ユーザーが生産性を高められるよう、アクセス許可がすばやく付与されているかどうか、そしてリスクを軽減するために、不要なアクセス許可や孤立アカウントがすぐに取り消されているかどうかを判断する
  • 新しい管理者アカウントの作成(ハッカーが好む戦術)や、必要でないシステムへのアクセスを特定のユーザーが要求しているなど、疑わしいアクティビティにフラグを立てる
  • 権限認証がポリシーに従って実行されているかどうか、そして誠実に実行されているか、注意を配らずおざなりに実行されているかどうかを判断する
  • リクエスト、承認、取り消しのプロセスを合理化する方法を探す

承認されたプロセス以外の方法で生成されたイベントを、アイデンティティ・ガバナンスソリューションが可視化できるようにする必要があります。 例えば、通常の要求や承認プロセスを経ることなく、アプリケーションの所有者が新しいユーザーアカウントを作成した場合に、アラートを作成するなどです。 ただし、システムでは例外も管理できなければなりません。 例えば、人事部門のメンバーだけが、給与計算アプリケーションにアクセスできるというポリシーがあるとします。 しかし、現地の管理者がスタッフを管理しているような小規模なオフィスを例外とする必要があるかもしれません。 その場合、アイデンティティ・ガバナンスソリューションは例外にフラグを立て、それが承認された理由を記録し、通常よりも頻繁に審査を行う必要があります。

みんなに力を与える

最高のアイデンティティ・ガバナンスソリューションは、従業員とマネージャーが身元情報関連のアクティビティを、迅速かつ簡単に実行できるようにします。 重要なのは、複雑なスプレッドシートや分かりにくいユーザーインターフェースを、実際のビジネスプロセスにマッチした直感的なインターフェースやワークフローに置き換えることです。

ビジネスユーザー

従業員は、リソースへのアクセスを要求してから、アクセスを受け取るまでの待ち時間を最小限に抑えたいと考えています。 アイデンティティ・ガバナンスツールは、新しい従業員へのアクセスを自動的にプロビジョニングし、既存の従業員の要求や承認のワークフローを合理化し、場合によっては、ユーザーにセルフサービスインターフェイスへのアクセスを許可することで、待機時間を完全に無くすこともできます。

アイデンティティ・ガバナンス製品は、ワークフローを高速化し、ボトルネックを回避する機能を提供します。 複数の承認者に(順次にではなく)並行して連絡できるようにしたり、忙しいときに承認者が職務を委任できるようにしたり、所定の時間内に要求に応答しない承認者にフラグを立てるなどのオプションもあります。 従業員の時間を大幅に節約し、イライラを回避できるため、組織内のスタッフにこれらのオプションを学習させ、構成してもらうと良いでしょう。

アイデンティティ・ガバナンスソリューションが提供するツールとワークフローの使用方法に関するトレーニングなど、従業員に対する教育が重要です。 また、セキュリティ慣行に関する教育も含まれています。 例えば、強力かつ推測されにくいパスワードを作成したり、定期的にパスワードをリセットするなど、パスワードの衛生管理の重要性について、従業員全員がトレーニングを受ける必要があります。 また、アイデンティティ・ガバナンスツールに関する再教育コースを提供し、パスワードポリシーのコンプライアンスを定期的にテストおよび実施することで、教育をどのように強化するかを計画する必要があります。

ビジネスマネージャーとリソース所有者

ビジネスとは複雑なものです。 仕事も複雑なものです。 組織構造や職務に関するあらゆる詳細や、業務に必要なすべてのリソースと権限の理解を、現実に即して形でITに期待することはできません。 対照的に、ビジネスマネージャーやリソース所有者は、1自分たちの組織や業務がどのように行われるのかを理解する必要があります。

優れた設計のアイデンティティ・ガバナンスソリューションは、ビジネスマネージャーやリソース所有者が、アクセスポリシーの定義と職務のモデル化のプロセスに参加できるようにします。 技術的な用語を使わず、一般的なビジネス概念を使用するインターフェースを提供することにより、そのようなプロセスへの参加が可能になります。

多くの組織において長年の悩みの種であった認証プロセスにも、同様の原則が当てはまります。 難しい技術的な質問をされたマネージャーの多くは、既存の権限すべてを承認してしまいがちです(「フランシスが本当にSharesCorpにアクセスする必要があるかなんて、私が知っているわけがない」)。 優れた設計のアイデンティティ・ガバナンスソリューションは、直感的なインターフェースを提供し、ビジネスマネージャーが積極的に不要な認証を削除できるようにします。


図2: 適切なインターフェースを使用すれば、ポリシーと職務の定義、および権限の認証に、ビジネスマネージャーが積極的に関わることができます。 

アクションを実行する

アイデンティティ・ガバナンスソリューションは、IT統制を自動化し、企業ポリシーが実行されているという自信をIT組織に与えることができます。 例えば、アイデンティティ・ガバナンスソリューションが提供するデータを以下の目的で使用することができます:

  • 時間のかかるプロセスの自動化および迅速化
  • 孤立アカウントと不要な権限の排除
  • SoDポリシー違反の発見と解決
  • 高リスクアカウントとユーザーに対する追加の制御と監視の実行
  • アクセス要求と認証プロセスの合理化

Rockwellが年間100万ドル以上を節約

コンピューティング・リソースへのアクセス要求および認証プロセスの改善を試みたロックウェル・オートメーション社は、深刻な課題に直面しました。 少なくとも25の異なるプロセスにより、要求が怒ってしまう可能性があったのです。 20のコアアプリケーションだけでも、要求可能な権限が8千以上、そして要求可能な職務は千以上もありました。 年間8万2千件もの要求を処理するには、23人のスタッフが必要でした。 新入社員の多くは、自分たちの要求が承認されるまで業務を行うことができませんでした。

高度なアイデンティティ・ガバナンスソリューションのおかげで、ロックウェル・オートメーション社は次の目的を達成することができました:

  • 自動プロビジョニング
  • 規制コンプライアンスの合理化
  • IDに割り当てられたアクセスの可視性の向上

結果として、アクセス要求の75%が自動的に処理され、その多くはセルフサービスで処理できるようになりました。これにより、請負業者の大部分を他のタスクに改めて割り当てることができ、新入社員の迅速なオンボーディングが可能になりました。 節約額は年間100万ドルを超えました。 また、認証プロセスが向上したことや、従業員が会社を辞めた際に、これまでよりもずっと速く権限を取り消せるようになったことなどが、その他のメリットとしてあげられます。

続きを読む

その他のセキュリティ技術を強化する

アイデンティティ・ガバナンスソリューションは、その他のセキュリティ技術の有効性も向上させることができます。 例:

  • 特権アカウント管理(PAM)製品と統合することで、特権ユーザーアカウントの監視能力が向上し、内部関係者による攻撃を防ぐことができます。
  • モバイルデバイス管理(MDM)製品と統合することで、承認されたアプリをモバイルデバイスにプロビジョニングしたり、そこにインストールできるソフトウェアを管理したり、企業のリソースにアクセスする際に従業員に多要素認証の使用を要求することができます。また、デバイスの紛失や盗難時に、デバイスをロックしたりワイプして、データを保護することもできます。
  • SIEMシステムと統合すれば、デバイスやアプリケーション間、そしてクラウド環境とオンプレミス環境間でIDデータを相関させることができます。これにより、アナリストは「点と点を結びつける」ことが可能になり、実際の攻撃と誤報を区別することができます。
  • データ損失防止(DLP)ソフトウェアと統合することで、組織外に発信できる情報や文書の種類を決定したり、パブリック クラウド ストレージ サービスにアップロードできる情報や文書の種類を決定する上で、非常にきめの細かいポリシーを適用することができます。

プロジェクトの成功を保護する

次のようなシナリオを考えてみましょう。

新しいエンジニアリング設計システムを文書化するために、チャーリーはX社で3か月契約で働いています。 彼は、 大きなイノベーションについて記述しているファイルprojectbreakthrough.docxを見つけます。 チャーリーは、このファイルを自宅のサーバーにFTPで転送したいと考えています。

そのファイルがファイアウォールに到達する前に、X社のDLPソフトウェアは、「breakthrough」というテキスト文字列を検出し、ファイルに機密の知的財産が含まれている可能性があることを認識します。 これは、DLPソフトウェアとアイデンティティ・ガバナンスソリューションが統合されており、(a)チャーリーが請負業者であること(b)企業ネットワークの外に機密情報を含むファイルを送信する権限を請負業者が持っていないことを、DLPシステムが認識しているからです。

DLPソフトウェアとアイデンティティ・ガバナンスソリューションは、X社のポリシーに応じて、次のアクションのいずれか、またはすべてを実行する可能性があります:

  • チャーリーに警告メールを送信する
  • セキュリティオペレーションセンター(SOC)に警告メールを送信する
  • ファイル転送をブロックする
  • チャーリーのアカウントを一時停止する

アイデンティティ分析

アイデンティティ・ガバナンスの世界では、アイデンティティ・ガバナンスソリューションにアイデンティティ分析機能を追加することが大きな動きとなっています。 これは、IDデータを色々な切り口から分析するためのツールをアナリストや管理者に提供し、次のような質問に答えられるようになるという意味です:

  • 従業員と臨時内部関係者の中で、最も多くのアクセス権と特権的権限を持っているのは誰か?
  • 同じ職務と責任があるにも関わらず、他の人よりも大幅なアカウントと権限を持っているのは誰か?
  • SoDポリシーに違反する許可があるのは誰か?
  • 自分のアクセス要求を承認したり、承認されたプロビジョニングプロセスを回避している人物はいるか(例:アプリケーションで直接新しいアカウントを作成する管理者など)?
  • 特権アカウントおよび孤立アカウントが最も多いのはどの事業ユニットか?
  • 従業員や請負業者が組織を離れた際に、権限を取り消すのにどのくらいの時間がかかるか、そしてそのプロセスは、どの程度の範囲を対象にしているか(例:モバイルデバイスやクラウドアプリケーションも対象にしているか)?

この種の分析は、いつか本人自身が悪用したり、認証情報を盗んだハッカーによって悪用される可能性がある権限を有する個人などのリスクを浮き彫りにします。 また、アイデンティティ管理プロセスの改善点や改善方法を示唆することもできます。

  1. リソース所有者は、特定のアプリケーションの構成と管理、および電子メール、ファイル共有、ネットワークなどのコンピューティングサービスを担当する管理者とアナリストです。

アイデンティティ・ガバナンスの力

アイデンティティ・ガバナンスの実践

SailPointがどのようにあなたの組織に役立てるかをご覧ください。

*必須フィールド

このフォームを送信することにより、お客さまは、SailPointのWebサイトの使用に、 SailPoint Technologies のプライバシーステートメントが適用されることを理解し、これに同意したことになります。