近年よく耳にする言葉にガバナンス(Governance)があります。日本語の意味は「統制、支配、管理」で、コーポレート・ガバナンス(Corporate Governance)とは健全で公正な企業経営が行えるように統制、監視することを言います。これは管理体制の甘さなどによって起こる企業の経営リスクを未然に防ぐために広まってきた考え方です。
アイデンティティ・ガバナンス(Identity Governance)とは、企業内にある様々なシステムやサービスを利用するためにユーザーが持っているIDなどのログイン情報やアクセス権限を見える化することです。「何に対して、誰が、どんなレベルの権限を持っているのか?」「その権限を持っているのは正しいユーザーか?」ということを明らかにして、権限を統制し、監視をします。
アクセス情報やログイン情報を見える化することで、適切でない権限、リスクの高いアカウントや不要なアカウントが見つけやすくなります。社員を雇用すると、企業ではアプリケーションやシステムのアカウント、権限、メールアドレスなどを発行します。それによって社員は企業の様々なリソースへのアクセスが可能になりますが、退職や異動の場合にはアカウントの削除や権限の取り消しが必要です。しかしほとんどの企業では、一度付与されたIDや権限はそのままになっているいうのが実情です。
企業内でのアクセス権限やログイン情報が正しく付与されているかどうか見直すことを「棚卸」と言い、企業では定期的な「棚卸」の実施が必要とされています。
アイデンティティ・ガバナンスの概念を従来のID管理(アイデンティティ管理)に取り入れたものがアイデンティティ・ガバナンス管理(IGA:Identity Governance and Administration)です。
リモート勤務やサテライトオフィスなど働き方の多様化が加速化している今、企業内にあるシステムやリソースを利用するのはオフィス内の社員だけではありません。またSaaSやクラウドサービスの普及によって、利用するアプリケーションやユーザー数も増え、膨大な数のユーザーアカウントの追加、変更などを手動で行うことは、もはや不可能となっています。
そのため1人のユーザーが複数のアカウントを持つことが多くなり、きめ細かい権限付与も行われなくなるので、元社員が機密情報を持ち出したり、外部からの不正なアクセスやサイバー攻撃によって情報漏えいしたりという事件も起きています。
IGAツールなどを利用したアイデンティティ・ガバナンス管理を導入することで、企業では社員の退職や異動による権限変更の自動化が可能になります。適切なユーザーに適切な権限を与えることが可能です。IDやアクセス権限を効率的に管理できるようになり、セキュリティ上リスクの高いアクセスなども制御しやすくなります。
これまでは、社員の入社時に付与されたIDは異動や退職があっても更新や削除をしていないという企業がほとんどでした。そのためID数が膨大になり、1人の社員が複数のIDや権限を持ったり、権限自体がコンプライアンス違反になったりという問題がありました。また部署別にSaaSを利用するようなケースもあり、適切なID管理ができないだけでなく、企業のセキュリティリスクが高くなるという問題もありました。
アイデンティティ・ガバナンス管理を導入することで、社内におけるアクセス権限付与の適正化ができ、コンプライアンス違反リスクの低減も期待できます。
従来のID管理とアイデンティティ・ガバナンス管理には以下のような違いがあります。
IGA | 全て管理可能 |
---|---|
従来のID管理 | プロビジョニングできるシステムのみ |
IGA | 可能 |
---|---|
従来のID管理 | 不可能 |
IGA | 不要 |
---|---|
従来のID管理 | 要 |
IGA | 可能 |
---|---|
従来のID管理 | 不可能 |
IGA | 可能 |
---|---|
従来のID管理 | 不可能 |
IGA | 短 |
---|---|
従来のID管理 | 長 |
IGA | 常に最新 |
---|---|
従来のID管理 | システム毎に別管理 |
アイデンティティ・ガバナンス管理を取り入れることで様々なメリットが期待できます。
これまでマニュアルで行っていたID管理、パスワード管理、アクセス権限の付与などを自動で行えるようになるので運用コストの削減が期待できます。IGAツールを利用すれば分析やレポート作成も簡単にでき、リスク軽減につながるアクセス情報やログイン情報の見える化も実現できます。
アイデンティティ・ガバナンス管理の導入により業務に必要となるリソースへのアクセス権をスピーディに付与できるようになります。また安全で柔軟なリモートアクセスの実現によって、社員は場所を選ばずにリモートワークが出来るようになり、パフォーマンスと生産性アップにもつながります。
IDを定期的に棚卸することでユーザーに付与されている不要な権限などが明確になります。また、権限の組み合わせやリスクの高い権限などを監視することで、リスクや問題を回避したり、迅速に発見できるようになりセキュリティ対策がアップします。
企業ではJ-SOX法(内部統制報告制度)やGDPR(個人情報保護規則)への対応が必要となっていますが、アイデンティティ・ガバナンス管理を導入することで、監査時に必要となる内部統制やアクセス権を見える化できるようになります。一貫性のある適切なアクセス権限が付与できることから、コンプライアンスの向上も期待できます。
アイデンティティ・ガバナンス管理(IGA)を導入することで社員の移動、昇進、退職時の権限変更やID削除などに対応できるようになり、適切なID管理が可能となります。つまりIGAを導入すれば、いつでも最適なID管理と権限が維持できるのです。
しかしIGAの目的はアイデンティティ・ガバナンスとID管理なので、IGAツールを導入してもMicrosoft AzureAD、Google Cloud Identity、Okta Identity Cloudといったアイデンティティ・プロバイダ(IdP:Identity Provider)のようなSSO機能は搭載されていません。そのため一般にIGAツールは、AzureADのようなIdPと共に利用されることが多いです。
IDおよびアクセス管理(IAM:Access Management)はクラウドサービスや社内アプリケーションなど、企業が利用するシステムに設定されている複数のIDを管理・統合し、アクセス権も適切に管理する仕組みで、IGAはIAMのサブカテゴリにあたります。
システムにログインするユーザーの認証はIAMが担当します。ユーザ名とパスワードによる認証に加え、生体認証などを追加した多要素認証を使用し、より強固な認証を行います。複数のアプリケーションで個々に設定されている認証機能は統合されているので、ユーザーは一度ログインするだけで複数アプリケーションを利用することができます。
IGAはアイデンティティ・ガバナンスとID管理に関与し、IAMによって認証されたアカウントIDがアプリケーションを利用できる権限を持っているかどうか確認します。IGAによって組織ではアクセスを承認するワークフローを自動化することが可能となります。
「ゼロトラスト」時代のID管理においては、IDが持つユーザー情報と権限を正しくコントロールし、かつユーザーに起こりえる人事イベントと正確に連動できることが重要です。このサイトでは、ゼロトラストに対応できるID管理システムを、企業のニーズ別に厳選して紹介しています。
※「ID管理」でGoogle検索上位30社を調査(2021年3月調査時点)。その中から、「IDの一元管理」「ID管理の効率化」「複数拠点のアクセス管理を一気通貫で強化」というニーズのいずれかに応えられる会社を、それぞれ1社ずつ紹介。