アイデンティティ・ガバナンスに関する究極ガイド: 戦略的ロードマップの作成

2020年12月21日

この章では

  • 戦略的ロードマップを持つことがなぜ重要なのかを学びます
  • 運営グループを編成し、ロードマップを作成する方法に関する提案を検討します
  • トレーニング、コミュニケーション、実装、測定のアイデアを探ります

目次

PDF全体を読む

戦略的ロードマップは、アイデンティティ・ガバナンスのビジョンと目標を組織に示す上で役立ちます。 ニーズを特定し、プロジェクトに優先順位を付けるための手段を提供します。 これは、初期実装をガイドし、新しい機会や課題が発生したときに計画の調整を行うための基礎を提供します。

本章では、戦略的ロードマップの作成に関するアドバイスを提供します。 また、トレーニング、コミュニケーション、測定などの活動を長期にわたって継続する必要がある理由についても説明します。

チームを編成する

運営グループ

アイデンティティ・ガバナンスは、企業内のあらゆる職務と事業ユニットにまたがっています。 また、新規事業の取り組みを支援し、新たなサイバーセキュリティの脅威に対応するために、常に進化を続けています。 これらの理由から、ほとんどの組織は運営委員会として長期的に機能するコアグループを必要としています。運営委員会は、アイデンティティ・ガバナンスにとってのビジネスニーズの評価、優先順位の設定、ロードマップの作成、組織全体での支援の構築、進捗状況の測定、ロードマップの定期的な更新を行います。

運営グループには、以下の代表者が含まれていなくてはなりません:

  • トップ・マネジメント(エグゼクティブスポンサー)
  • IT管理(理想的にはCIOまたはCISO)
  • セキュリティおよびIT運用チーム
  • 法務および監査またはコンプライアンススタッフ
  • 主要な事業部門(上級管理者)

運営グループには、優先順位を設定してプログラムの根拠を示すためのビジネス知識だけでなく、アイデンティティ・ガバナンスがさまざまな事業の取り組みやセキュリティのニーズをどのようにサポートできるかを理解する技術的専門知識が必要です。

信頼性と影響力のあるエグゼクティブスポンサーおよび上級管理者を運営グループに含む必要があります。 アイデンティティ管理プロセスへの積極的な関与が、セキュリティと生産性にとって非常に重要である理由を、マネージャー、スーパーバイザー、そして従業員に説明する上で、これらのビジネスリーダーの役割は欠かせません。

2018年発効の欧州連合の一般データ保護規則(GDPR)では、データ保護責任者(DPO)を指名するよう企業に求めています。 DPOは、プライバシーおよび個人情報へのアクセス制限に関する規則の遵守に責任を負います。 組織にすでにDPOがいる場合、その人物をアイデンティティ・ガバナンス運営グループに参加させるか、場合によっては運営グループを主導させなければなりません。

プロジェクトチーム

個々のアイデンティティ・ガバナンスプロジェクトには、独自のプロジェクトチームが必要です。 運営グループのために選択されたメンバーに加え、以下の人物をチームに含めるべきです:

  • 直接プロジェクトの影響を受けるグループのビジネスマネージャー
  • IT管理者とアプリケーション所有者
  • 人事マネージャー
  • ヘルプデスクのスタッフ

これらの職務に携わる人々は、従業員の働き方、業務に必要なコンピューティングリソース、アイデンティティ・プロセスで苦労している点、およびセキュリティと生産性に対するプログラムの潜在的な影響を理解しています。

一度に1つのアイデンティティ・ガバナンスプロジェクトのみを実行する場合は、個別のプロジェクトチームを作成する代わりに、各プロジェクトが進行している間、適切な臨時メンバーを加えて運営グループを拡張できます。

ビジネスの説明責任

運営グループやプロジェクトチームで、ビジネスマネージャーに主要な役割を果たさせるもう1つの理由は、ビジネスの説明責任を促進するためです。

ほとんどのマネージャーは、ITスタッフがID管理に「責任がある」と思い込んでいます。 アイデンティティ・ガバナンスチームに携わることで、従業員の業務に必要なアクセスや、リスクを最小限に抑えるために必要なポリシーと管理を完全に理解できているのは、ビジネスユーザーとアプリケーション所有者だけであるという事実を彼ら自身に示すことができます。 ビジネス担当者がユーザー権限を管理し、自分たちの分野で効果的なアクセス制御を確保するという責任を負うことで初めて、アイデンティティ・ガバナンスが成功することを彼らに理解させましょう。

機能を評価し、ギャップ分析を実行する

戦略的ロードマップの作成を開始するには、現在のアイデンティティ・ガバナンスソリューションとプロセスを評価し、必要な機能に対してそれらを比較する必要があります。

アイデンティティ・ガバナンスプロセスの弱点

現在のアイデンティティ・ガバナンスプロセスの弱点を特定しましょう。 以下はその鍵です:

  • 手動式でエラーが発生しやすく、管理にコストがかかるプロセス
  • 従業員と請負業者のプロビジョニングおよびプロビジョニング解除に長い待機時間が必要
  • リソースへのアクセス提供とパスワードリセットに関するサービス要求が、テクニカルサポートに大量に届く
  • 監査の準備に高いコストがかかり、監査に失敗する
  • 大量の孤立アカウント、過剰な権限を持つユーザーの痕跡、認可されたプロセス以外で作成されたアカウント
  • 実際のアクセス要件を十分に考慮せずに、アクセスおよび認証要求を承認してしまうマネージャー
  • ツールの不十分、またはトレーニング不足を示す、事業ユニットと地域全体における一貫性のなさ

事業の取り組み

今後の事業の取り組みが、アイデンティティ・ガバナンスソリューションを必要とするかを判断しましょう。 企業は自社のサプライチェーンを統合しているか? 請負業者と仮想チームを積極的に活用しているか? 新製品の市場や地域に拡大しているか? 買収を行い、買収した企業を既存のプロセスに統合しているか? 既存のアイデンティティ・ガバナンスツールとプロセスは、これらのいずれかの取り組みの遅延を招くか?適切なセキュリティを確保できるか?

ITプロジェクト

モバイルアプリケーションの展開やSaaSアプリケーションの活用の増加など、どのような要件が、ITプロジェクトが計画中のアイデンティティ・ガバナンスソリューションに必要か? 新しいセキュリティ分析またはインシデント対応ツールには、ID情報が必要か?必要な場合は、現在のシステムは完全で正確なデータを提供できるか?

ビジネスケースを作成する

現在のアイデンティティ・ガバナンスソリューションの弱点を評価し、今後の事業の取り組みとITプロジェクトの要件を決定したら、個々のプロジェクトのビジネスケースを構築できるようになります。 これは要するに、ソリューションの実装と管理のコストを差し引いた、各プロジェクトの価値を見積もるという意味になります。

アイデンティティ・ガバナンスを採用する理由のほとんどは、4つの分野に存在しています。

運用コストの削減

以下の改善の価値を見積もりましょう:

  • アクセス権の要求、承認、およびプロビジョニングのプロセスの自動化
  • アクセスの問題やパスワードのリセットに関するテクニカルサポートへの問い合わせの削減
  • 認証プロセスの迅速化と簡素化
  • 監査の迅速化と簡素化

従業員の生産性の向上

以下に関する従業員の節約時間を計算しましょう:

  • オンボーディングとプロビジョニングの合理化
  • 新しいアクセス要求に対する承認の加速化
  • 従業員がセルフサービスポータルを使用して変更を要求し、問題を自分で解決できるようにすること

セキュリティリスクの軽減

以下に起因するデータ侵害による年率損失期待値(ALE)1の減少の可能性を予測しましょう:

  • 孤立アカウント、過剰な権限を持つユーザー、認可されたプロセス以外で作成されたアカウント
  • 解雇された従業員と請負業者のより迅速なプロビジョニング解除
  • より強力でより強固に保護されたパスワード
  • MDM、DLP、およびその他のセキュリティツールによる、正確できめの細かいセキュリティポリシーの実施
  • SIEMやセキュリティ分析製品を使った、攻撃の検出の高速化およびより正確な分析
  • 事業ユニットおよび地域全体でのアイデンティティ・ガバナンスプロセスの一貫した運用

事業の取り組みによる価値の迅速な実現

堅実なアイデンティティ・ガバナンスソリューションは、事業の取り組みとITプロジェクトの展開を加速することができます。 例えば、ビジネスパートナーや仮想チームメンバーを企業プロセスに統合しても安全であるという自信を経営陣の間に高め、従業員がクラウドベースのサービスをより多く使用できるようにします。 遅延コスト方法論を使用して、この利点を概算できます。

SailPoint白書は、アイデンティティ・ガバナンスプロジェクトを採用する理由に関して詳細なアドバイスを提供しています。 こちらからコピーを入手できます: アイデンティティおよびアクセス管理のためのビジネスケースの構築。 業界アナリストであるGartner社のこのメモは若干古いものですが、トップビジネスや技術の優先事項にID管理を関連付ける方法について、役に立つ提案を行っています。

ロードマップを作成する

ビジョンを伝える

ロードマップは、18〜24か月先を見据え、主要なアイデンティティ・ガバナンスプロジェクトの開始時期と完了時期を示すべきです。 ロードマップは、ID管理のビジョンとビジネスの方向性を伝え、新しい機能がいつ利用できるようになるかを、組織に知らせる必要があります。

早期に頻繁な価値の提供を計画する

構築したプロジェクトのビジネスケースは、どのプロジェクトが最大の利点をもたらす可能性があるかを示すため、ロードマップにとって重要な情報になります。 ただし、シーケンシングプロジェクトに関しては、アジャイルの原則の適用を検討する必要があります。 特に以下が必要です:

  • プロジェクトを段階的に分割することで、早期に価値を生み出し、最初の成功を実証し、勢いをつける(以下のビッグバンプロジェクトを回避する方法を参照してください)。
  • 定期的に点検と適応を行い、 フィードバックを求め、進捗状況を評価し、学んだ教訓やビジネスニーズの変化に基づいてロードマップを調整する

「ビッグバン」プロジェクトを回避する方法

組織が「ビッグバン」アプローチを採用し、企業全体で包括的かつ機能豊富なソリューションを1つの長いプロセスで展開しようとすると、多くのITプロジェクトは失敗に終わります。 機能の追加、ワークフローの構成、アカウントの設定、そして数百人にのぼるユーザーのトレーニングには、数か月から数年かかることがあります。 その間、組織はそのプロジェクトから価値をほとんど得られません。それどころか、全く得られない場合もあります。つまり、結果が出ないため、当該プロジェクトがキャンセルされるリスクが高まります。

早期に価値を生み出せるようにし、組織が初期のイテレーションから学び、そのイテレーションの上に構築できるようにメガプロジェクトを分割する、いくつかの方法があります:

  • 1つの事業ユニットまたは地理的領域でプロジェクトを立ち上げ、徐々に他の場所に展開する
  • 基本の機能セットから始めて、ユーザーが必要とする機能を徐々に追加する(ただし、過去には利用できたが、実際の価値を生み出さない不必要なオプション機能は追加しない)
  • 最初は限られた数のデータソースとアプリケーションと統合し、次に新しいコネクタを徐々に追加する

トレーニングとコミュニケーション

アイデンティティ・ガバナンスソリューションは、定期的にマネージャーに影響を与えると同時に、ほぼすべての従業員にも影響を与えます。 ですが、ほとんどの組織において、IT以外の人間で、アイデンティティ・ガバナンスの重要性を認識している人間はごくわずかです。 また、彼らは当然ながら、適切な方法でアイデンティティ・ガバナンスツールを使用できるほど忍耐強くありません。 こうした理由のため、トレーニングとコミュニケーションが、組織のアイデンティティ・ガバナンス戦略の中心的な部分でなければなりません。

トレーニング

次の3つのレベルでトレーニングの提供を検討しましょう:

  • 組織内の全員が、アイデンティティ・ガバナンスに関するポリシーや承認された手順に従う責任、そしてルールを無視したり回避した場合に起こり得る結果を理解する必要があります。
  • マネージャーとスーパーバイザーは、アクセスの要求および承認、そして権限の確認および認証に使用される組織のツールの使用方法についてトレーニングを受ける必要があります。
  • セキュリティスタッフとIT運用スタッフは、アイデンティティ・ガバナンスツールに関するトレーニング、およびポリシーや手順が確実に遵守されるようマネージャーや従業員と協力する方法についてトレーニングを受ける必要があります。

方法」だけに、アイデンティティ・ガバナンスのトレーニングの焦点を当ててはいけません。 「理由」も同様に重視しなければなりません。 従業員、マネージャー、さらにはITスタッフ全員が、強力なパスワードを使用することが重要である理由を理解し、「いつか必要になる場合に備えて念のため」アクセス権を承認したい気持ちを抑える必要があります。また、認証には細心の注意を払い、標準プロセスを回避したり、不要なスーパーユーザーアカウントを作成することを控える必要があります。

トレーニングは、アイデンティティ・ガバナンスソリューションのベンダーやコンサルタントが提供します。 セキュリティの専門家が、Certified Identity and Access Manager(CIAM)®になれるコースを提供する組織もあります。 ただし、従業員のトレーニングについては、独自のインストラクターを育成するか、カスタムオンラインコースの作成を検討するべきです。

コミュニケーション

コミュニケーション計画をロードマップに組み込みましょう。 コミュニケーションの役割は以下の通りです:

  • 何を期待するべきかを人々に知らせる
  • トレーニングを強化する
  • 組織内および同業他社でのアイデンティティ・ガバナンスの成功を促進することで、支持と興味を高める

コミュニケーションを、アイデンティティ・ガバナンス戦略を発表する1回限りのタスクとして考えないでください。 それは、長期にわたって認識と積極的な関与を構築するための、継続的なプログラムでなければなりません。

広い意味でのコミュニケーションを検討してください。 公式発表や会社のニュースレターの記事から始めても構いません。 内部ポータルにメッセージフォーラムを作成して、常に最新情報を提供するのも良いでしょう。 または、電子はがきを送信するか、アドバイスを提供したり、進捗状況を伝えるためにブログを始めていいかもしれません。 従業員やマネージャーが自ら学び、成功事例を見つけることができるような、資料を投稿できるファイル共有またはwikiはありませんか? 創造性を発揮して、データセキュリティやアイデンティティ・ガバナンスの必要性をドラマ仕立てで説明するビデオを制作してはどうでしょう?

実装と測定

上記では、早期に価値を生み出し、最初の成功を実証し、勢いをつけて、初期の取り組みから学んだ教訓に基づいてロードマップを調整できるようにするために、プロジェクトをセグメントに分割することについて言及しました。 これを成功させるには、進捗状況を測定し、フィードバックを求める必要があります。

測定は、戦略的ロードマップの一部として作成したビジネスケースに関連付ける必要があります。 例:

  • 運用コストの削減をプロジェクトの根拠にした場合、プロセスの自動化、テクニカル・サポートコールの削減、認証の迅速化、監査の簡素化による節約金額を測定します。
  • 従業員の生産性をプロジェクトの根拠にした場合、新入社員のオンボーディングとアクセス要求の承認に必要な時間を測定し、セルフサービスで処理された要求の割合を追跡します。
  • セキュリティをプロジェクトの根拠にした場合、孤立アカウントの削減、プロビジョニング解除の速度と完全性、および検出されたセキュリティイベントの削減を測定します。

アイデンティティ関連のプロセスに対する従業員とマネージャーの満足度を追跡することもできます。 この行為は、ユーザーによる混乱や無関心がプログラムの成功を脅かしている際に、早期警告シグナルを提供してくれます。 また、アイデンティティ・ガバナンスソリューションとプロセスの向上や改善方法に関する貴重な情報も提供します。

ユーザーによるフィードバックの価値を最適化するには、大勢を対象にできる高速で安価な方法であるオンライン調査と、詳細な調査を可能にする選択的な1対1のインタビューを組み合わせます。 もう1つの手法は、プロジェクト全体で従業員のフィードバックを取得できるような、「ユーザー評議会」を立ち上げることです。

勢いを維持する

アイデンティティ・ガバナンスの戦略的ロードマップは、以下にリソースを割り当てることによより、長期的かつ明示的に計画する必要があります:

  • 継続的な計画、トレーニング、コミュニケーション、および測定
  • ソフトウェアツールへのアップグレードと新しいアプリケーションとの統合
  • 現在進行中、あるいはまだ不明である新規事業への取り組みやITプロジェクトへの支援
  1. ALEは、1年間の違反の確率に、違反の可能性の高いコストを掛けたものです。

アイデンティティ・ガバナンスとクラウド

適切なパートナーの選択

You might also be interested in:

Datasheet

アイデンティティ データを実用的なインサイトに活用する

Special Report

アイデンティティ セキュリティ調査レポート2023

White Paper

AIと機械学習を利用してアイデンティティ セキュリティを向上

SailPointがどのようにあなたの組織に役立てるかをご覧ください。

*必須フィールド