デジタルIDアクセス管理

> アドバイザリー

IDおよびアクセスの管理(Identity and Access Managemet、以下「IAM」)は情報セキュリティ・プログラムの基本要素であり、ユーザーとのインタラクションが最も多い分野です。

EYができること

IDおよびアクセスの管理(IAM)は、企業リソースへのアクセスを管理するための分野です。

過去において、IAMはアクセス管理をサポートするケイパビリティーの確立とアクセス関連のコンプライアンスの必要性に焦点を合わせたものでした。ソリューションはプロビジョニング技術に特化することが多く、ほとんど導入されませんでした。

また、結果的にコスト高となり、限定的な価値しか実現できなかったのです。当時、組織はしばしばコンプライアンスの要求を満たすことに苦心し、展開されたソリューションはごく少数のアプリケーションやシステムに対応するだけでした。

依然として把握が難しい業務上の効率を改善しつつ、リスクとコストを低減するために集中化、標準化、自動化されたID管理サービスが考案されました。今では多くの組織がコンプライアンスニーズについて理解している、あるいはコンプライアンスニーズを満たしています。

コンプライアンスはなおもIAMの取り組みにおける重要な推進要因ですが、IAMは権利管理とロジカルアクセス制御ができるリスクベースのプログラムへと進化しています。

IAMのライフサイクル

IDおよびアクセス許可の管理は、3段階として捉えることができます。

  • 1. ユーザーのアクセス要求と承認

    目的

    生産性向上に必要なアプリケーション、システム、データへのアクセス権取得

    よくある課題
    • プロセスがロケーション、事業単位、リソースによって異なる。
    • ユーザーのアクセス要求に関する承認者の状況把握が不十分。個人データや機密データにアクセスする必要が本当にあるのか?
    • ユーザーは必要なアクセスの要求が難しいと感じている。
  • 2. 調整

    目的

    承認されたアクセスレベルに応じてシステム内でアクセスを実行する。

    よくある課題
    • システム上の実際の権利が当初承認あるいは組み込まれたアクセスレベルを超えている。
    • 従業員・非従業員向けの、正当な権限を有する単一のアイデンティティーレポジトリが存在しない。
  • 3. レビューと認証

    目的

    ユーザーアクセスを定期的にレビューし、職務権限や役割を再調整する。

    よくある課題
    • プロセスが手動で、ロケーション、事業単位、リソースによって異なる。
    • レビュアーは、複数の過剰で精度の低いアクセスレビューを完全に行わなければならない。
    • ユーザーのアクセス要求に関するレビュアーの状況把握が不十分。
次世代のIAMリファレンスアーキテクチャー

次世代のIAMリファレンスアーキテクチャー(NextGen IAM Reference Architecture)は、IAMのエコシステムとライフサイクル(すなわち、ID統制、統制管理、アクセス管理、特権アクセス、顧客ID管理)全体をまとめ上げることを目的としています。

EYの次世代のIAMリファレンスアーキテクチャーに対するアプローチは、IAM実施に関わる複雑性を軽減し、過去および新たなIAMの利用事例について取り上げ、大幅な組織変更(デジタルトランスフォーメーション、テクノロジーリフレッシュ、M&A、マネージドサービスへの移行など)を行うにあたってアジリティーを実現しようとしています。

主なIAMケイパビリティー

IAMトランスフォーメーション計画の策定にあたって、以下に推奨したケイパビリティーが含まれていることを確認しましょう。

  • ルール抽出ツールを用いた、職務上の役割またはアプリケーション・アクセス・マトリックス
  • 職務上の役割またはアプリケーションアクセス・マトリックスおよび職務の分掌チェックを用いた、自動ワークフローベースのアクセス要求と承認プロセス
  • エンタイトルメント・ウェアハウス・ソリューション
  • アクセス・プロキシー・ソリューション、一元的認証(アプリケーション、ホスト、データベースの各層)
  • リスクベースの認証ソリューション
  • 情報漏えい防止(DLP)、セキュリティ情報、イベント管理と一体化したID分析と行動分析サービス
  • 人事部門、アプリケーションオーナー、情報セキュリティおよびIAMのステークホルダーを含むデータおよびアクセス管理プロセスの制御プログラム
  • フェデレーションソリューション
  • 論理的セキュリティと物理的セキュリティを組み合わせた新しいソリューション
  • 将来の拡張性に関する要件を念頭にデザインされたソリューション

大半の組織にとって、サイバーセキュリティ対応に必要なスキルと人材は極端に少ないのが現状です。私たちは、貴社が長期的に自らを守ることができるよう、豊富な経験に基づいてそれら人材のトレーニング、開発、配置を行います。

お問い合わせ

より詳しい情報をご希望の方はご連絡ください。