2020年12月21日

この章では

  • 企業がクラウドに移行する際に、安全性を高める上でアイデンティティ・ガバナンスがどのように役立つかを確認します
  • クラウドにアイデンティティ・ガバナンスソリューションを導入することの利点を探ります

クラウドファーストの企業

第1章では、2020年までに、コンピューターを使った作業の92%が、クラウドデータセンターで処理されるようになるという予測に言及しました。 実際、多くの企業が「クラウドファースト」のポリシーを採用しており、クラウドベースのソリューションが利用可能な場合には、優先的にクラウドベースのソリューションを利用するようになっています(ただし、ほぼすべての企業が、予見可能な将来にわたって、少なくとも一部のインフラストラクチャを施設内に維持することを計画しています) 。

大規模な組織では、数千人にものぼる従業員や請負業者、ビジネスパートナー、そして顧客が、常に何百、何千ものアプリケーションにアクセスしています。 数千人にのぼるこれらユーザーの各アクセスポイントは、リスクにさらされる潜在的なポイントでもあります。

本章では、私たちの働き方の変化や新しいテクノロジーと共に、組織がアイデンティティ・ガバナンスソリューションに求めるものを、この傾向がどのように変えたかを考察します。 また、アイデンティティ・ガバナンスソリューションをクラウドサービスとして展開するオプションについても検討していきます。

新しい課題

モバイルコンピューティング、SaaSアプリケーション、およびクラウドストレージサービスは、サイバーセキュリティに、以下のような多くの新しい課題をもたらします:

  • 従業員、請負業者、ビジネスパートナー、顧客など、より多くの種類のユーザーを管理する
  • 複数のデバイスを各ユーザーに関連付ける
  • 従業員が組織に新しく加わったり、新しい職務を引き受けた際に、モバイルアプリをプロビジョニングする
  • 組織による管理の枠外におけるクラウドベースのアプリケーションとプラットフォームへの可視性を提供する
  • Microsoft Office 365、Google G Suite、Box、Dropboxなどのコラボレーションアプリやストレージサービスの非構造化データに関する情報を提供する

単一のビューを提供する

アイデンティティ・ガバナンスソリューションは、企業データセンターのHR、財務、その他のレガシーアプリケーションだけでなく、クラウドのSaaSやコラボレーションアプリケーションなど、あらゆるアプリケーションや環境におけるアイデンティティおよびアクセス関連データに対し単一のビューを提供できます。 統一されたビューとは、各ユーザーのアクセス許可の全体像と、それらの許可がいつどのように付与されたかを把握することを意味します。

また、データを見て、アプリケーションごと、場合によってはドキュメントごとに、誰がどのレベルのアクセス権を有しているかや、それらの権限がどのように付与されたかを判断することもできます。 最後に、特定のアプリケーションを使用しているユーザーの数を検出し、その数をライセンスと比較することで、ソフトウェアのコストを削減できる可能性があります。

統一されたプロセスを作成する

アイデンティティ・ガバナンスソリューションは、データセンターとクラウドベースのアプリケーション両方へのアクセスを要求・承認するために、1つのプロセスを使用できるようにします。この場合、直感的なオンラインポータルを介することが理想的です。 適切なコネクタとインターフェースを使用すれば、クラウドアプリケーションとサービス、さらにはスマートフォンのモバイルアプリへのアクセスのプロビジョニングを、そのプロセスで管理できます。 統一されたアプローチは、オンプレミスとクラウドアプリケーションへのアクセスを管理する個別のプロセスよりも、はるかに効率的で信頼性があります。

ポリシーの実施

アイデンティティ・ガバナンスにより、レガシーアプリケーションとクラウドアプリケーションにまたがる単一のポリシーセットを作成し、これを実施できます。 このような統合のおかげで、ポリシーを一元的に定義し、企業全体にこれを適用することが可能になります。

アイデンティティ・ガバナンスソリューションは、MDM製品およびクラウドアプリケーションと連携してポリシーを適用する場合に、特に価値を発揮します。 これらのツールを連携させることで、モバイルデバイスでの多要素認証の使用を義務付け、ユーザーが組織外の人物にファイルへのアクセスを許可しないようにし、ユーザーがポリシーに違反した場合には、ユーザーアカウントを一時停止することもできます。

セキュリティ分析をサポートする

クラウドベースおよびオンプレミスのアプリケーションとデータストアのアイデンティティ・データを組み合わせることで、アイデンティティ・ガバナンスソリューションは、クラウドアプリの孤立アカウントや、過度のアクセス権を持つ従業員、ドキュメントを広範囲に共有し過ぎる従業員、SoDポリシーの違反などのリスク要因を検出する上で、はるかに優れた性能を発揮できます。 また、Google Driveに文書を保存しているjamesjonesが、クラウドベースのメールサーバーでイベントを生成しているjim.jonesや、データセンターにあるメインの財務システムでアラートを生成しているjjsalesmgrと同一人物であることを確立するなどして、SIEMやセキュリティ分析製品の作業を高速化することもできます。

クラウドベースのアイデンティティガバナンス

長所

いくつかのクラウドベースのアイデンティティ・ガバナンス製品(identity-as-a-service solutionsとも呼ばれます)が販売されています。 これらのサービスに登録することには多くの利点があります。

以下はこうした利点の例です:

  • ハードウェアとソフトウェアをインストール、構成、テストする必要がないため、導入から実際に価値が生み出されるまでの時間が短縮される
  • サーバーやデータセンターの運用に投資する必要がないため、設備投資が削減される
  • ハードウェアとソフトウェアを管理およびアップグレードする必要がないため、管理が簡素化される

このモデルのおかげで、企業は、サーバーやアイデンティティ・ガバナンスソフトウェアのインストールや管理ではなく、戦略的なタスクに技術スタッフを専念させることができます。

カスタマイズと構成

ほとんどのSaaS製品と同様に、IDaaS製品は、個々の顧客が大幅にカスタマイズできるようには設計されていません。 これは、特殊なプロセスを持つ組織にとって問題になる可能性があります。

一方、クラウドベースのソリューションは、業界のベストプラクティスを反映した、使いやすいインターフェースとワークフローを備えています。 また、その大部分はパラメータベースの設定を提供しており、ソフトウェアコードの記述やメンテナンスの負担を必要とせずにプロセスをカスタマイズすることができます。

OrrstownBankが2か月で結果を出す

資産額約13億ドルのOrrstown Bankは、ペンシルベニア州にある22の支店を通じて事業を行っています。 同バンクは、規制遵守を向上させ、リスクを軽減するために、あるプロジェクトを迅速に進めたいと考えていました。

クラウドベースのアイデンティティ・ガバナンスソリューションを活用することで、ほとんどの主要アプリケーションにおいて、アクセス認証、パスワード管理、シングルサインオンを2ヶ月足らずで自動化することができました。

その後、ソリューションは100以上のアプリケーションにまで拡大されました。 コンプライアンスとセキュリティが向上しただけでなく、アクセスの認証に必要な時間が、年間2千時間短縮されました。 さらに、ユーザーは、モバイルデバイスから、セルフサービスモードでパスワードを変更したり、アカウントのロックを解除できるようになりました。

続きを読む

アイデンティティ・ガバナンスの実践

戦略的ロードマップの作成

SailPointがどのようにあなたの組織に役立てるかをご覧ください。

*必須フィールド