目次
アイデンティティ ガバナンス管理(IGA)とは?基本概念と定義
アイデンティティ ガバナンス管理(IGA)とは、アイデンティティ セキュリティとも呼ばれ、セキュリティ チームが組織全体のユーザーIDとアクセス権を管理および制御できるようにするものです。
すべてのユーザーIDと特権アクセス権限を包括的に把握できるIGAでは、制御とポリシーを効果的に作成および適用するために必要な可視化を実現できます。IGAソリューションによって、デジタル資産が不正アクセスから保護され、ユーザーが自身の職務を遂行するために必要なアクセス権限を持ち、組織がルールとコンプライアンス要件を遵守することができます。

IGAは、ITおよびセキュリティ運用の中核と位置づけられています。すべてのユーザー、アプリケーション、データのデジタルIDを有効にし、保護します。
組織内のID管理は、新入社員のオンボーディングという単純なタスクから始まりました。デジタル環境が拡大し、従業員、パートナー、アプリケーション、さらにはデバイスがより多くのアプリケーションにアクセスする必要が生じるにつれて、IDと特権アクセス権限の管理は複雑化し、コストも増大しました。これが、アイデンティティ ガバナンス管理の台頭につながりました。
今、IGAソリューションが不可欠な理由
アイデンティティ ガバナンスとID管理により、企業はセキュリティとコンプライアンスの潜在的なリスクを管理しながら、増え続けるデジタル資産へのアクセス権限付与を自動化できます。
株式会社セブン銀行は、持続的成長に向けた社内システムDXの主要施策として、グループ会社を含む全従業員1,700名を対象にアイデンティティガバナンスの実現に乗り出しました。
アイデンティティ ガバナンス管理が対処する多くのビジネス セキュリティ問題の中には、次の5つの重要な目標があります。
目標 | 要点 |
---|---|
運用コストの削減 | アクセス管理の自動化により、IT負荷と人的コストを削減。ユーザーによるセルフサービス化と分析ツールの活用で内部統制を強化。 |
リスクの軽減とセキュリティの強化 | アクセス権限の可視化により、不適切なアクセスや脆弱性を早期発見。リスクの高い行動や従業員を特定し、是正可能。 |
コンプライアンスと監査パフォーマンスの向上 | SOX法、GDPRなどに対応。共通ポリシーとロールモデルに基づく審査と管理プロセスの整備で監査性と一貫性を確保。 |
企業への迅速かつ効率的なアクセス権限の提供 | 業務に必要なリソースへのタイムリーなアクセスを実現。ユーザーの生産性向上とIT作業負荷の軽減に貢献。 |
アイデンティティ ライフサイクル管理の自動化 | オンボーディングから離職までのアクセス権限管理をリアルタイムに実行し、全体最適なポリシー適用を実現。 |
運用コストの削減
IGAは、アクセス権限審査(ID棚卸)、アクセス権限付与、パスワード管理、プロビジョニングなどの労働力に依存するプロセスを自動化し、運用コストを大幅に削減します。
企業が使いやすいユーザー インターフェイスを採用することで、ITスタッフの管理タスクに費やす時間を大幅に削減し、アクセス権限の申請、パスワードの管理、個々のアクセス権限のレビューをユーザー自身ができるようになります。また、ダッシュボードや分析ツールにアクセスすることで、組織は内部統制を強化し、リスクを軽減するために必要な情報と指標を入手できます。
リスクの軽減とセキュリティの強化
脆弱なユーザー クレデンシャルや窃取されたユーザー クレデンシャル、デフォルトのユーザー クレデンシャルによって引き起こされるアイデンティティ漏洩は、企業にとってますます脅威になっています。一元的に可視化することで、「誰が何にアクセスできるか」に関する単一の信頼できるビューを作成でき、承認済みのユーザーは、組織をリスクにさらす不適切なアクセス、ポリシー違反、または脆弱な制御を迅速に検出できます。IGAソリューションにより、企業とITユーザーは、リスクの高い従業員の割合、ポリシー違反、不適切な特権アクセス権限を特定し、これらのリスク要因を修正できます。
コンプライアンスと監査パフォーマンスの向上
アイデンティティ ガバナンス管理により、組織は、サーベンス・オクスリー法(SOX法)、米国における医療保険の相互運用性と説明責任に関する法令(HIPAA法)、EU一般データ保護規則(GDPR)などの規制のセキュリティとプライバシーの要件を満たす適切な管理策が実施されていることを確認できます。
IGAが提供するパスワード管理、アクセス権限のレビュー、申請、承認のための一貫したビジネス プロセスはすべて、共通のポリシー、ロール、リスク モデルによって支えられています。ロールベースのアクセス制御により、企業はコンプライアンスのコストを大幅に削減すると同時に、リスクを管理し、より一貫性があり監査可能で管理しやすいアクセス権限審査(ID棚卸)のための反復可能なプラクティスを確立できます。
企業への迅速かつ効率的なアクセス権限の提供
アイデンティティ ガバナンス管理により、ユーザーが業務に必要なリソースにタイムリーにアクセスできるようにすることで、役割や責任の変化の度合いや頻度に関係なく、従業員の生産性をより迅速に向上させ、維持することができます。また、ビジネス ユーザーがアクセス権限を申請したり、パスワードを管理できるようにすることで、ヘルプデスクやIT運用チームの作業負荷を軽減します。さらに、ポリシー適用の自動化により、セキュリティやコンプライアンスを損なうことなくサービスレベル要件を満たすことができます。
アイデンティティ ライフサイクル管理の自動化
IGAは、オンボーディングやアクセスのプロビジョニング からデプロビジョニングまで、アイデンティティ ライフサイクル全体を自動化し、役割の変更やユーザーの離職時にアクセス権限をリアルタイムで更新します。これにより、ITチームとセキュリティ チームは、承認済みアクセスを簡素化し、ライフサイクル全体にわたってポリシーを適用できます。
ID管理にガバナンスを効かせるIGAの構成要素
IGAソリューションは、アイデンティティ ガバナンスとID管理という2つの主要なアイデンティティ セキュリティ機能を組み合わせることで、アイデンティティ関連のセキュリティ運用を簡素化します。
ID管理 – 運用と実行
ID管理は、日常的なアイデンティティ ライフサイクル タスクと、ユーザー ライフサイクル全体にわたるポリシーの適用に重点を置いています。アイデンティティ管理の主な機能には次のものがあります。
- ユーザーのプロビジョニングとデプロビジョニングの自動化
- パスワード管理
- セルフサービスによるアクセス権限の申請
- ユーザー アクセス権限管理(ロール、グループ、エンタイトルメントなど)
アイデンティティ ガバナンス – 監視と制御
アイデンティティ ガバナンスには、ユーザー アクセスが適切であり、規制に準拠し、セキュリティとリスク管理のベスト プラクティスに準拠していることを保証するためのポリシー、プロセス、および制御が含まれます。アイデンティティ ガバナンスの主な要素には次のものがあります。
IGAはどのようにして既存のセキュリティと連携するのか
IGAソリューションは、アイデンティティ セキュリティのツールとプロセスを一元化します。認証、アクセス制御、監視、管理ツールとシームレスに統合することで、統合性が高く、安全でコンプライアンスに準拠したエコシステムを構築します。アイデンティティ ガバナンス管理に関連する基本的なインテグレーションには、以下のものがあります。
アプリケーションおよびクラウド サービス
アイデンティティ ガバナンス管理プラットフォームは、API、SCIMコネクタなどのプロトコルを介してオンプレミスおよびクラウド アプリケーションを接続し、SaaS、IaaS、およびレガシー システム全体のアクセスを管理します。アクセス認証連携モデルに対応したIGAソリューションによって、ユーザーはシングル サイン オン(SSO)で一度認証するだけで、複数のクラウド アプリに安全にアクセスできるようになります。
認証システム
IGAは、シングル サイン オン(SSO)、多要素認証(MFA)、IDプロバイダー(IdP)と連携し、安全な認証ポリシーを適用し、ID検証プロセスを管理します。この統合連携により、ユーザーは認証と認可の間のギャップを埋めながら、必要なリソースにアクセスできるようになります。
ディレクトリ サービス
IGAソリューションは、LDAP(Lightweight Directory Access Protocol)ディレクトリ(Active DirectoryやAzure Adなど)に接続し、ユーザー アカウント、グループ、およびエンタイトルメントを管理します。これにより、システム間でIDデータとアクセス権をシームレスに同期できます。
ITサービス管理(ITSM)
アイデンティティ ガバナンス管理はITSMプラットフォームと統合連携することで、統合ワークフローを通じてアクセス権限の申請、承認、インシデント管理を簡素化します。この統合連携によって有効となる主な機能には次のものがあります。
- アクセス権限に関連するすべての申請を管理し、ステータス更新を追跡することで、ユーザー エクスペリエンスを向上させます。
- インシデント管理と変更管理をサポートし、修正アクションの自動化、迅速な解決、ポリシー コンプライアンスを実現します。
- ワークフロー管理を統合することで、アイデンティティ プロセス(新入社員のオンボーディング、役割変更、オフボーディングなど)をより広範なITサービス ワークフローの一部とします。
モバイル端末管理(MDM)とエンドポイント セキュリティ
アイデンティティ ガバナンス管理をMDMおよびエンドポイント セキュリティ ソリューションと統合連携することで、機密リソースへのアクセスを許可する前に端末のコンプライアンス チェックを確実に実行できます。IGAはこれらのツールを補完し、ユーザーIDと端末のセキュリティ状態の両方に基づいてアプリケーションとデータへのアクセスを管理します。
特権アクセス管理(PAM)
IGAとPAMを統合連携することで、通常のアクセスと特権アクセス(重要なシステムや機密情報にアクセスできる昇格されたアクセス権限)の両方に対する強力なガバナンスと制御が実現します。IGAソリューションは、PAMツールと連携して特権アカウントを管理・統制し、リスクの高いアクセスを厳密に制御、監視、定期的にレビューできるようにします。
セキュリティ情報およびイベント管理(SIEM)
IGAソリューションは、IDとアクセスのログをSIEMシステムに取り込み、リアルタイム監視、脅威検出、コンプライアンス監査を行うことができます。これにより、ユーザーの行動やアクセス異常を可視化でき、組織はIDデータとセキュリティ イベントを相互に関連付けることができます。
IGAソリューションの主要な機能を徹底解剖
IGAソリューションの重要な特徴と機能のいくつかを以下に示します。
アクセス権限付与と管理の自動化
アイデンティティおよびアクセス ガバナンス ソリューションは、ポリシーに基づくワークフローを備えたセルフサービス ポータルを提供することで、アクセス権限付与を自動化します。このワークフローでは、承認を管理者またはデータ所有者にルーティングします。ユーザーがアクセス権限を申請し、承認されると、IGAソリューションは接続されたシステム全体のプロビジョニングを自動化します。これによりアクセスを迅速化し、セキュリティを強化するだけでなく、完全な監査証跡を維持し、定期的なアクセス権限レビューを実施して、エンタイトルメントがコンプライアンス要件に準拠した状態を維持します。
アイデンティティ ライフサイクルとエンタイトルメント管理
オンボーディングからデプロビジョニングまで、IGAソリューションはアイデンティティ ライフサイクル全体の管理を支援します。IGAソリューションのエンタイトルメント管理では、ユーザーが役割または属性に基づいて適切な権限を取得し、維持できるようにします。レビューの自動化とリアルタイム更新によって、特権クリープを防ぎ、最小権限などのポリシーへのコンプライアンスを維持します。
アクセス権限審査(ID棚卸)と監査プロセス
IGAのアクセス権限審査(ID棚卸)と監査プロセスでは、管理者またはデータ所有者がユーザーのアクセス権を定期的にレビューして確認する必要があります。これらのソリューションは、レビューの自動化、アラートの送信、承認、削除、例外を文書化した監査対応レポートの生成によって、これらのプロセスを簡素化します。これにより、サーベンス・オクスリー法(SOX法)やGDPR(EU一般データ保護規則)などの規制へのコンプライアンスが確保され、不要なアクセスやリスクの高いアクセスを特定して取り消すことができます。
AIを活用したアイデンティティ ガバナンス管理に関するインサイト
AIを活用したアイデンティティ ガバナンス管理は、機械学習(ML)と分析を活用して異常なアクセス権限のパターンを検出し、レビュー対象としてフラグを設定します。また、AIによって提供されるピア グループ分析に基づくアクセス権限付与に対する予測的な推奨事項は、承認プロセスの簡素化とリスクの軽減に役立ちます。さらに、AIはリスク スコアリングとアクセス権限審査(ID棚卸)を強化し、リスクの高いエンタイトルメントを優先してより迅速な対応を可能にし、セキュリティとコンプライアンスの両方を向上させます。
IGA導入で期待できる10個の効果
- プロビジョニングとデプロビジョニングを自動化し、手作業によるエラーとITワークロードを削減します。
- アクセス権限レビューと監査証跡の自動化により、法規制遵守を強化します。
- すべてのシステムとアプリケーションにわたるユーザー アクセスの可視化と監視を向上します。
- セルフサービスによるアクセス権限の申請により、運用効率とユーザー エクスペリエンスを向上します。
- 既存のセキュリティ インフラストラクチャと統合連携し、統合されたセキュリティ体制を実現します。
- プロアクティブなリスク管理のためのリアルタイムのインサイトと分析を提供します。
- 過剰なアクセス権限や使用されていないアクセス権限を特定して取り消すことで、内部脅威のリスクを軽減します。
- 新規雇用時や役割変更時のオンボーディングとアクセス権限付与を迅速化します。
- ポリシーベースの制御と最小権限の適用により、アクセス セキュリティを強化します。
- 職務分掌(SoD)をサポートし、利害の対立を防止します。
IGAとIAMの違い
アイデンティティ ガバナンス管理(IGA) | アイデンティティ アクセス管理(IAM) |
---|---|
IDとアクセス権限のガバナンスとライフサイクル管理をサポートします | デジタルIDとアクセス制御を管理するための幅広いフレームワークを提供します |
適切なアクセス、コンプライアンス、監視を確保します | ユーザー認証とシステムへのアクセスを認証します |
アクセス権限レビュー、プロビジョニング、デプロビジョニング、監査レポートを自動化します | 認証と認可を提供します |
コンプライアンスを実証します | コンプライアンスに必要なアクセス制御を適用します |
まとめ
アイデンティティ ガバナンスのことに関しては、貴社に固有のセキュリティとコンプライアンスの課題を解決するのに最も適した会社はSailPointをおいて他にはありません。機密データが保存されている場所に関わらず、SailPointがどのようにデータを保護できるかについてご覧ください。
免責事項:本書に記載されている情報は情報提供のみを目的としており、本書に記載されている内容はいかなる形式の法的助言を構成することを意図したものではありません。SailPointはそのような助言を提供することはできません。該当する法的問題については、弁護士にご相談されることをお勧めします。