アイデンティティ・ガバナンスに関する究極ガイド： 適切なパートナーの選択

本ガイド全体を通して、アイデンティティ・ガバナンスが、各従業員と組織のあらゆる部分にどのように影響するかを強調してきました。 これらは、セキュリティ、運用コスト、および従業員の生産性に大きな影響を及ぼします。 これらはまた、今日のモバイルアプリケーション、クラウドコンピューティング、非構造化データ、そして間もなく始まるモノのインターネットと高度分析、 そしてこれから始まるであろう未知のプロジェクトなどの新規事業や技術の取り組みをサポートするためにも進化する必要があります。

これらの課題に対処するには、今日の要件を満たすだけでなく、長期的に提携関係を結ぶことができる、戦略および技術パートナーと協力する必要があります。 本章では、これらのパートナーを選択するためのいくつかの基準について概説します。

関連性のある経験

戦略パートナー

戦略パートナーが支援できること：

• 現在の機能と弱点を評価する
• 戦略計画とロードマップを作成する
• マネージャー以下のレベルで、アイデンティティ・ガバナンスプロジェクトの支持を構築する
• 新しい機会と課題が発生した際に、ロードマップを更新する

理想的な戦略パートナーは、あなたの組織と同じ規模で事業を展開し、同じ課題に直面している同業他社を支援した経験がある業者です。 また、アイデンティティ・ガバナンスの戦略的ビジョンと、個々のプロジェクトの実施を主導するスキルの両方を、既に実証している企業を探す必要があります。

技術パートナー

ソフトウェアベンダーなどの技術パートナーを評価する際には、機能に関する当面の要件を満たせるソリューションを見つけたいと考えるのが当然です。 ただし、次の事項にも留意してください：

• そのベンダーには、あなたの組織と同じ規模で事業を展開している同業他社を支援した経験があるか？
• 1つのベンダーで、アイデンティティ・ガバナンスに関する複数の要素を単一ソース化できるか（複数の関係者のソリューションを統合する必要がないように）？
• そのベンダーには、技術をアップグレードし、アイデンティティ・ガバナンスを新しい分野に拡張する上で優れた実績があるか？
• そのベンダーは、支援や短期的なリソースが必要な際に頼れる強力なサポートとプロフェッショナルサービスを提供しているか？

そのベンダーに、アクティブなユーザーグループがあるかどうかを確認しましょう。 活気に満ちた顧客コミュニティは、長期的な実行力の証であり、新規顧客にとって情報と支援の源でもあります。

オープンアイデンティティ・プラットフォーム

第2章と第4章では、ユーザーと権限の包括的なビューを作成するために、アイデンティティ・ガバナンスソリューションは、組織のあらゆるディレクトリ、アプリケーション、および非構造化データのリポジトリ、そしてクラウドプラットフォームからデータを取得する必要があることについて説明しました。

統合は非常に多くの価値を提供できるため、アイデンティティ・ガバナンスソリューションは「オープンアイデンティティ・プラットフォーム」上に構築されなければなりません。これは、ID情報を含むシステムへの接続と、サイバーセキュリティ技術とのインターフェースを容易にする構造のことです。 以下はその特性です：

• ディレクトリやアプリケーションにすぐに使えるコネクタ
• ファイル共有、オンプレミスストレージネットワーク、クラウドベースのファイルストレージサービス、およびその他の非構造化データのリポジトリへのインターフェース
• 認証、シングルサインオン、PAM、GRC製品などの、その他のID管理ツールとの統合
• 現在組織で使用しているか、将来使用する可能性のあるMDM、DLP、SIEM、およびセキュリティ分析ツールとの統合
• アクセス要求や問題を処理するために使用しているサービス管理およびテクニカルサポートチケットシステムとの統合

また、新しいアプリケーションとセキュリティ技術が毎年登場するため、オープンアイデンティティ・プラットフォームには、新しいコネクタを作成するためのフレームワークとツールを含める必要があります。 プラットフォームは、APIと、LDAP、SAML、SCIMなどのID関連の基準を活用する機能を提供する必要があります。 また、新しいデータソースに対して迅速に設定できるエージェントや、新しいコネクタの導入を容易にするエージェントレス技術を提供することも可能です。

環境全体の一貫性

以下のことを感じたことがありますか：

• アプリケーションがどこで実行されているかに関わらず、従業員は、同じコンピューティングリソースへのアクセスを期待している。
• 監査役は、データがどこに保存されているかにかかわらず、すべてのデータアクセスが企業ポリシーに適合することを要求している。
• マネージャーは、アクセスを要求および承認するための単一のシステムを望んでいる。
• 管理者は、データセンター、クラウド、およびモバイルアプリケーションへのアクセスをプロビジョニングできる1つのツールを好む。
• アナリストは、企業内のすべてのディレクトリ、アプリケーション、およびシステムからのIDデータとイベントデータを相互に関連付ける必要がある。

これらの人々全員を満足させるには、データセンター、クラウド、およびモバイル環境全体で、1セットのインターフェース、プロセス、施行メカニズム、および分析ツールを使用するアイデンティティ・ガバナンスソリューションを探す必要があります。

非構造化データのカバレッジ

今日、多くのサイバー犯罪者や不正を犯す内部関係者は、ドキュメント、スプレッドシート、スライドプレゼンテーション、ソフトウェアと製品の設計ファイル、電子メールやテキストメッセージ、ソーシャルメディアの投稿などの、非構造化データを標的としています。 これらには、クレジットカード番号や社会保障番号、企業秘密や知的財産、および機密性の高い個人情報が含まれている可能性があります。

非構造化データのリポジトリに、監視とポリシーの適用を拡張できるアイデンティティ・ガバナンスソリューションを探しましょう。以下はその例です：

• クラウドストレージサービス
• 電子メールサーバーとオンラインコラボレーションポータル
• ファイル共有とストレージネットワーク

コネクタとAPIを介して、システムは以下を追跡する可能性があります：

• ファイルとフォルダを作成・所有しているユーザー
• 各ファイルとフォルダにアクセスする権限を持っているユーザー
• それぞれに対して有効になっている共有（例：「プライベート」、「招待した人と共有する」、「リンクを知っている人は誰でも表示できる」、「リンクを持っている人は誰でも編集できる」など）
• 各ファイルとフォルダにアクセスしたユーザー

このデータは、リスクとポリシー違反を警告し、特別な監視が必要なファイルとフォルダーを特定し、非構造化データを保存したり、非構造化データにアクセスするためのポリシーとプロセスを改善する上で役立ちます。

ビジネスフレンドリーなインターフェース

私たちは、技術者以外のユーザーが、アイデンティティガバナンス活動に積極的に携わることがいかに重要であるかについて何度も言及してきました。 アクセス要件とアクセス関連のリスクの両方を完全に理解できるのは、ビジネスユーザーとアプリケーション所有者だけです。 アクセス権を認証し、不必要な権限を徹底的に減らすには、ビジネスマネージャーに頼らざるを得ません。

実際に業務に携わっている人たちの関与を促すには、以下のようなアイデンティティ・ガバナンスソリューションを見つける必要があります：

• 技術者以外のユーザーに適した、直感的で使いやすいインターフェースを備えている
• 専門用語や難しいシステム名やネットワーク名を使用せずに、ビジネスフレンドリーな用語と概念を使用している
• 実際の状況に対処できる機能を提供している（例：マネージャーが忙しい場合は承認権限を委任できるようにしたり、指定された期間内にマネージャーが応答しなかった場合に電子メールによるリマインダーを送信できるようにするなど）

分析とリスク管理

セキュリティ分析とリスク管理は、インシデント対応を改善し、組織がセキュリティインフラストラクチャとプラクティスの弱点を検出できるようにします。 包括的なID関連データを、企業全体から取得できるアイデンティティ・ガバナンスソリューションを探す必要があります。次に、データを相互に関連付けてポリシー違反を特定し、持っている権限が多すぎる従業員や、許可されたプロセス以外で作成されたアクセス権などの脆弱性を明らかにする必要があります。

一部のベンダーは、イベントデータ（ログオン試行、ファイルダウンロード）をキャプチャして相互に関連付け、これらのイベントのベースラインレベルを計算し、ベースラインから逸脱している場合にフラグを立てるアイデンティティ・ガバナンスソリューションに取り組んでいます。 また、ユーザーとトランザクションのリスクスコアを、リスク管理や不正検出プラットフォームに提供することもできます。

クラウド戦略

第4章で説明したように、アイデンティティ・ガバナンスソリューションは、アプリケーションをクラウドに安全に移行する上で役立つはずです。 技術パートナーは、さまざまなクラウドベースのアプリケーションやサービスと統合するための戦略を立てる必要があります。 また、ID管理の一部またはすべてのコンポーネントをクラウドベースのサービス（IDaaS）として提供するベンダーを優先しても良いですし、一部の要素をオンプレミスに展開し、他の要素をクラウドに展開するハイブリッドソリューションのオプションを提供するベンダーを優先しても良いでしょう。

最終的な考え

本ガイドの開始にあたり、データ侵害や権限を持たない内部関係者のアクティビティのほとんどが、ユーザーの認証情報の悪用に関係していることを指摘しました。 アイデンティティ・ガバナンスソリューションは、コンピューティングリソースにアクセスするためのアクセス許可が、明確な組織ポリシーに基づいて割り当てられ、制御されるようにすることで、こうした悪用を最小限に抑えるように設計されています。

これらの目標を達成するには、高度な技術だけでなく、ビジネスマネージャーや従業員、および技術者の積極的な関与が必要です。 私たちは、アイデンティティ戦略とロードマップの開発の重要性を強調してきました。このアイデンティティ戦略とロードマップは、早期に価値を生み出し、勢いをつけ、ビジネスの多くの部分からリソースを引き出すと同時に、変化するビジネスおよび技術的ニーズを満たすために進化する必要があります。 また、成功を支援する戦略および技術パートナーの選択で使用できる基準についても提案しました。

これらのアイデア（および本ガイド）を同僚のみなさんと共有してください。そして、アイデンティティ・ガバナンスの原則と実践を自分たちの環境にどう適用できるかについて話し合うための基礎としてください。 戦略の実施を開始したら、次にその結果を同業者同士で共有し、お互いから学ぶことができるようにしましょう。