ブログ記事
デプロビジョニングとは
デプロビジョニングとは、ライフサイクル管理の一環として、ネットワーク内のアプリケーション、システム、データへのユーザーのアクセスを削除する行為を意味します。これは、システム内でユーザーに対しサービスを付与・展開・アクティベートするプロビジョニングとは正反対の行為です。
プロビジョニングとデプロビジョニングは、両者共にライフサイクル管理の一部であり、ユーザーの入社、異動、退社など、組織内でのロールの変更の際に行われます。
デプロビジョニングは、機密情報を組織内で確実に保護するためのセキュリティ上の重要なプロトコルです。
デプロビジョニングの仕組み
ユーザーの退社や部署異動によるロール変更の際、デプロビジョニングによってユーザーに関連するアクセス権とアカウントを削除します。以前は人事部がIT部門に情報を伝え、システム管理者がアクセス権を剥奪する手動プロセスが必要でしたが、現在はこのプロセスを簡単に自動化できるようになりました。デプロビジョニングの自動化は、アイデンティティ・アクセス管理(IAM)ツールを使って行うことができます。
IAMツールは企業ディレクトリと連携しているため、社員が他の部門に異動したり退社したりすると、ユーザーは削除され(退社の場合)、そのユーザーに関連するすべてのアカウントは自動的に修正または削除されます。
デプロビジョニング技術のメリット
企業内部は常に変化しています。 社員、契約社員、ベンダー、パートナーが絶えず組織に出入りし、その過程で数千もの様々なツールやアプリケーションに対するアクセス権が付与されます。しかし、他の部門に異動したり、退社したりする場合、常に適切なオフボーディングとデプロビジョニングを行う必要があります。デプロビジョニングには多くのメリットがありますが、最も顕著なのはセキュリティで、望ましくないデータの流出や侵害を防ぐことができます。
1. データ流出の防止
デプロビジョニングが適切に行われない場合、元社員が大きなセキュリティリスクをもたらすため、退職後直ちにアクセス権をデプロビジョニングすることが重要です。
社員に重要な企業情報に対する特別なアクセス権限が与えられ、好ましくない理由で退職した場合、アカウントを適切にデプロビジョニングしていないとその社員は機密情報へのアクセス権を保有し続けることになり、企業は危険にさらされます。
2. 孤立アカウントの削除
ユーザーアカウントを退職後に確実に削除することは、企業のセキュリティにとって重要です。オフボーディングとデプロビジョニングがうまくいかない場合、孤立アカウントが生まれる可能性があります。
孤立したユーザーアカウントには元社員のすべての情報が含まれていますが、誰にも割り当てられていない状況です。アカウント削除プロセスを自動化できる堅牢なアイデンティティ管理ソリューションがなければ、これらのアカウントは休眠状態のままとなり、ハッカーやサイバー犯罪者の温床となって簡単に企業情報を入手され、ネットワークに侵入され、情報侵害につながる可能性があります。
デプロビジョニングとプロビジョニングの連動
デプロビジョニングの仕組みとその効果については、十分理解できたかと思います。次に、デプロビジョニングを最も効果的に実践する方法を紹介します。それは、アカウントのライフサイクル管理全体の一環として、プロビジョニング とデプロビジョニングの両方に依存する強力なアイデンティティ・アクセス管理ソリューションと組み合わせることです。
以下に、アカウント管理の主な要素としてプロビジョニングとデプロビジョニングを検討する場合に参考すべき、ベストプラクティスを何点か挙げます。
プロビジョニングとデプロビジョニングのベストプラクティス
最小権限の原則(PoLP)の実践
最小権限の原則は、職務遂行に必要なアクセス権のみを付与されるべきであるという考え方です。この考え方により、組織内の貴重なリソースにアクセス権をもつユーザーを減らします。
この考え方は、プロビジョニングとデプロビジョニングの両方に適用します。プロビジョニングは、社員が入社し、ツールやアプリケーションにアクセスする際に適用すべきです。デプロビジョニングは、社員がチーム異動し、重要なデータへアクセスする必要がなくなった場合に適用します。さらに、社員が退職し、もっていたアカウントを監査する際にも適用できます。アカウントが使用されていない場合、今後どのツールに誰がアクセスすべきか、システム管理者が特定するのに役立ちます。
入社と退社の自動化
プロビジョニングとデプロビジョニングは、手動で実施するには面倒で時間のかかる作業です。従来、システム管理者は手動で権限とパーミッションの評価を行い、それに応じてユーザーのロールを割り当てていました。また、ユーザーに関連付けられているすべてのアクセス権を剥奪し、アカウントを削除する必要がありました。
自動化されたソリューションがあれば、時間やコストを節約し、間違える可能性を減らすことができます。プロセスの自動化により、ユーザーの入社、ロールの割り当て、退職時のアカウントのデプロビジョニングを迅速に行うことができます。
アイデンティティ・アクセス管理(IAM)ソリューションの採用
大企業では、IAMソリューションなしにユーザーのアカウントのライフサイクルを管理することは困難です。適切なIAMツールにより、ユーザーの入社を自動化し、会社のディレクトリのユーザーを管理し、退職手続きの一環としてユーザーを変更・削除することができます。
IAMは、ユーザーアクセスポリシーの迅速化、アカウントのアクティビティの社内監査の実現、リスクの軽減、セキュリティ強化に貢献します。
まとめ
SailPointのアイデンティティ・セキュリティソリューションは、生産性と効率性の向上、ヒューマンエラーの削減、セキュリティ強化、監査機能の向上をはじめとする、様々な面でお客様をサポートします。
ユーザーのプロビジョニングとデプロビジョニングを自動化し、最終的にはアイデンティ・セキュリティを強化します。