IT統制の要!「アイデンティティ管理」

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎をきちんと理解! IT製品解体新書

IT統制の要!「アイデンティティ管理」

2011/03/14


 J-SOX対策や内部統制対策という観点から、操作監視や操作制御、検疫ネットワークなど 情報漏洩対策に必要な機能を備えた統合セキュリティシステムへのニーズが高まっている。また、内部統制の不備をなくす上で、IT統制への取り組みは非常に重要なポイントとなる。アクセス制御を漏れなく統制するためにはアイデンティティ管理そのものを厳しく見直す必要がある。つまり、アイデンティティ管理は、IT統制の要だといえる。そこで本特集では、アイデンティティ管理の必要性を再認識してもらうため、その目的から、基礎知識、構成要素、基本的な機能などを解説し、さらに製品の最新動向についても紹介する。

アイデンティティ管理

※「アイデンティティ管理/IT統制の要!「アイデンティティ管理」」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「アイデンティティ管理/IT統制の要!「アイデンティティ管理」」の記事全文がお読みいただけます。

会員登録はこちら(無料)

アイデンティティ管理の選び方ガイドへ


1

アイデンティティ管理を解体しよう!

1-1

「アイデンティティ管理」とは?

■本特集での「アイデンティティ管理」の定義

 「アイデンティティ管理」は、企業におけるセキュリティ対策の一部であり、特に情報を適切に守るために「個人を判別し、アクセス制御をおこなう仕組み」として効果的である。また、アイデンティティ管理は、広義的な意味と狭義的な意味の2つの技術要素から構成されている。狭義的な意味でのアイデンティティ管理は「統合ID管理」を意味し、個々の社員に対してIDを振り出し、異動があれば適切に変更し、退職すれば適切に無効化するなど、ライフサイクル管理、プロビジョニング、ワークフローなど、IDの運用に対する管理を指す。一方、広義的な意味では、統合ID管理に認証、シングルサインオン(SSO)、認可(アクセス制御)などの「アクセス管理」が含まれる。本特集では、上記2つの要素を併せもつようなツールのことを「アイデンティティ管理ツール」と呼び、以降は、基礎情報として「統合ID管理」を中心に解説していく。

図1 データベース・セキュリティ対策の領域
図1 データベース・セキュリティ対策の領域
資料提供:日本オラクル株式会社
■アイデンティティ管理の基礎知識

 アイデンティティ管理における「統合ID管理」とは、組織または企業全体にわたり、すべてのユーザ、アプリケーション、及び装置が、企業活動に参加し、離脱するまでのデジタルIDのライフサイクルを管理する機能を指す。このデジタルIDの作成、保守、停止を実行するプロセスを「アイデンティティライフサイクル」と呼ぶ。そして、管理者が多数のデジタルIDを迅速かつ簡単に管理できるようこれを支援するのが「アイデンティティ管理ツール」だ。
 とくに、システム上に存在するユーザ個人のIDにおいて、アイデンティティライフサイクルは、「人」と「イベント」のライフサイクルとなる。社員のライフサイクルは、人事システムなどにより一元的に管理されている。したがって、IDも入社や退社などの業務イベントに連動して、発行や削除、IDの有効化や無効化、および属性情報の変更などに対応し、適切にそのライフサイクルが管理される必要がある。
 また、ITリソースへのアクセスを安全かつ正確に制御するには、すべてのユーザ、アプリケーション、及び装置のアイデンティティを「継続的に識別」できなければならない。しかも、アイデンティティには個人情報が含まれることが多く、その取り扱いには注意する必要がある。そのためアイデンティティ管理ツールは、プライバシーの保護やコンプライアンスの要請に対応する基盤として位置づけられている。

図2 アイデンティティライフサイクル管理
図2 アイデンティティライフサイクル管理
資料提供:ノベル株式会社
■アイデンティティ管理導入のメリット

 アイデンティティ管理は、IT全般統制の観点では、例えば残存した退職社員アカウントからの情報漏洩などのセキュリティリスクをできるだけ小さくするのに役立つ。あるいは、アイデンティティ情報の操作ログを記録しておくことで、監査の精度を向上させることにもつながる。また、企業の生産性向上にも寄与することが期待される。新入社員が入社したり、社員が異動した際に、直ちに必要なITリソースへ正確にアクセスできれば、業務効率の低下を避けられる。アカウント作成の申請や承認のプロセスがワークフローによって統制されることによって、社員の生産性向上も期待できる。さらに、アイデンティティ管理を実施することによって、情報システム部門における運用管理、ヘルプデスクやサポートなどのコスト低減が期待でき、運用コストの最適化につながることも期待できるだろう。

■アイデンティティ管理の構成要素

 統合ID管理におけるデジタルIDは一般に、識別子データ(例えばユーザID)、認証データ(パスワード、電子証明書など)、個人の属性情報であるプロファイルデータ(氏名、所属コード、職位コード、職務属性情報など)で構成される。識別子データによってそのユーザは誰であるかを判定し、認証データによってユーザIDを使っている人が本物かどうかを判定し、プロファイルデータによってその人物ができること(権限)を決めている。
 特定非営利活動法人「日本ネットワークセキュリティ協会(JNSA)」の標準化部会セキュリティにおけるアイデンティティ管理ワーキンググループが作成した解説書である「内部統制におけるアイデンティティ管理解説書(第2版)」では、アイデンティティ管理を「プロビジョニング」「IDサービス」「概念・データモデルとリポジトリ」の3つの要素で構成されるとしている。

表1 アイデンティティ管理の構成要素
表1 アイデンティティ管理の構成要素
資料提供:日本ネットワークセキュリティ協会

 ロールベース・アクセスコントロール(RBAC)型のアイデンティティ管理におけるロールとは、ユーザあるいはグループに関連付けられた対象システムの権限の集合体である。一般に、ロールは職務に基づいているため、その職務の遂行に必要な権限を関連付ける。ロールを設定することによって、権限の割り当てが適正であるかをチェックする「権限の棚卸」が行いやすくなる。

図3 アイデンティティ管理の構成
図3 アイデンティティ管理の構成
資料提供:日本ネットワークセキュリティ協会
図4 RBAC型のアイデンティティ管理モデル
図4 RBAC型のアイデンティティ管理モデル
資料提供:日本ネットワークセキュリティ協会

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

アイデンティティ管理/IT統制の要!「アイデンティティ管理」」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「アイデンティティ管理」関連情報をランダムに表示しています。

アイデンティティ管理」関連の特集


目くるめく人の出入り。慌しいID管理で深夜作業は当たり前?いいえ、諦めてはいけません!基礎を押さえて…



機能だけの○×評価では見えてこない「アイデンティティ管理ツール」選択の解。頭を悩ませがちな製品選定の…



高価で大手企業向きというイメージが強いアイデンティティ管理ツールに変化が?その基本機能から、最新事情…


「ID管理」関連の製品

特権ユーザ管理ソリューション 【CA Privileged Identity Manager】 【CA Technologies】 ID管理ソリューション 結人・束人 【インテック】 プロビジョニング管理システム「D-PLAMS」 【ディライトテクノロジー】
ID管理 ID管理 ID管理
特権ID管理ソリューション。ゲートウェイ型/サーバー制御型の2つのアプローチにより厳格な管理を実現する。PCI DSSなどの要件に対応し、監査対応にも有効。 システムごとに存在するID情報の一元管理を実現する。異なるシステム間のデータ同期に加え、ID情報のライフサイクルを管理し、煩雑なID管理業務の負担を軽減する。 アカウント管理のニーズに柔軟に応えるID管理パッケージ。データのコード体系を選ばず、ほぼすべてのシステムと連携できる。オンプレミスまたはクラウドサービスで提供。

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

アイデンティティ管理/ IT統制の要!「アイデンティティ管理」」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「アイデンティティ管理/ IT統制の要!「アイデンティティ管理」」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003928


IT・IT製品TOP > エンドポイントセキュリティ > ID管理 > ID管理のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ