ID とアクセスの管理: アクセスは特権です
特権アクセスのライフサイクル管理は、アクセス制御をより効率的かつ効果的に行うためのプロセスとテクノロジのフレームワークです。
John Mutch
金融や医療など、規制の厳しい業界に所属している企業では、ミッション クリティカルなシステムに対するアクセス権限の管理という重要な作業が絶えず発生しています。このような企業には、通常、増加の一途を辿るアプリケーションにアクセスするユーザーが企業の内外に数多く存在します。ユーザーごとに異なるレベルのセキュリティとアクセス制御が必要です。
規制が厳しい業界に所属している企業は、コンプライアンスの問題に関連した ID 管理の問題にも対応する必要があります。米国企業改革法 (SOX) 、医療保険の携行性と責任に関する法律 (HIPAA)、グラム リーチ ブライリー法 (GLBA)、PCI データ セキュリティ スタンダード (PCI DSS) などの法令では、企業が業務において ID とアクセスを管理する方法に関する厳しい指標が定められています。
アカウントの保守、パスワードのリセット、一貫性が保たれていない情報、柔軟性がない IT 環境、合併や買収によるサイロ化、老朽化している IT インフラストラクチャなどによって、過剰な管理コストが往々にしてかかっています。これらの要素は、企業にとって、課題であるだけでなく、ID とアクセスの管理を効果的に行えるようにする要素です。
特権の提供
この複合要素は、あらゆる業界において特権アクセスのライフサイクル管理 (PALM) ソリューションの採用を推進します。PALM は、一元化および自動化されたプラットフォームで実行される次の 4 つのステージで構成されたテクノロジ アーキテクチャ フレームワークです。
- 特権リソースへのアクセス
- 特権リソースの制御
- 特権リソースに対する操作の監視
- 特権 IT リソースの変更を既知の適切な状態に修復
アクセスは、IT 資産に特権的にアクセスするためのロール ベースかつ期限付きの資格情報を一元的に提供するプロセスです。このプロセスには、アクセス要求の自動承認とアクセス ログの監査が含まれます。
制御は、特権 IT リソースへのアクセス要求に対するロール ベースの許可を一元的に管理するプロセスです。また、このプロセスでは、アクセス許可の承認が自動的に行われ、システムの管理操作が監査されます。
監視は、ユーザーのアクティビティをログ、記録、および監督して監査管理するプロセスです。また、このプロセスでは、イベントと I/O ログの確認、効率化された監査のサポート認可とその一元的な監査記録、および強化されたセキュリティの確認を行うワークフローが自動化されています。
修復は、セキュリティやコンプライアンスの目的に合うように、ここまでのステージで割り当てたアクセスと制御に手を加えるプロセスです。必要な場合に、既知の適切な状態にシステムの構成を一元的にロールバックできるようにする必要があります。
PALM を自動化するプロセスでは、イベント確認エンジンを統合した一元的な統合ポリシー プラットフォームを開発します。このプラットフォームにより、ライフサイクルの各ステージに対する制御と可視化を実現できます。
PALM のコスト適正化
PALM システムのコストを検討するときに役立つ業務運用上の要素がいくつかあります。
- セキュリティ: 特権アクセスは IT 管理を円滑に行ううえでとても重要ですが、同時に、企業のセキュリティ リスク (特に内部からの攻撃) にさらす要因でもあります。
- コンプライアンス: 重要なビジネス システムへの特権アクセスが適切に管理されていない場合、大きなコンプライアンス リスクを招くおそれがあります。特権アクセスのライフサイクルの全ステージで、監査記録を提供できることは、コンプライアンスにおいてとても重要です。一般的に、大規模で異機種が混在する複雑な IT 環境において、コンプライアンスを達成するのは難しいものです。
- 緩和された複雑さ: 複数の IT エンジニア、管理者、および監査担当者が存在し、規模が大きく異機種が混在する環境において、PALM を効果的に行うことはとても困難です。
- 異機種対応: Windows、Unix、Linux、AS/400、Active Directory、データベース、ファイアウォール、ルーター、スイッチなどの幅広いプラットフォームをサポートするのが、効果的な PALM ソリューションです。
PALM システムの使用を検討するときの最初のいくつかの手順を紹介します。
セキュリティを企業目標として定めます。全社員がセキュリティ以外の目標を達成するのに忙しいため、企業ではセキュリティの維持に関する問題が生じる可能性があります。社内のセキュリティ維持に問題がある場合は、セキュリティをすべての管理レベルの目標に加えることを検討します。
教育の実施または教育への参加を義務付けます。セキュリティが機能するためには、全社員が基本的な規則を把握している必要があります。規則を理解すれば、規則の遵守を促した場合に悪影響が生じることはありません。
全経営陣がセキュリティを理解するようにします。特に重要なのは、経営チームの全メンバーがセキュリティが確保されていないシステムのリスクを理解することです。さもないと、無意識のうちに企業の評判、機密情報、および業績を危険にさらすおそれがあります。
経営陣と明確な意思疎通を図ります。IT 管理者が、経営陣ではなく部下に不満を言うことがよくあります。しかし、部下にしか言えない不満はほとんどありません。意見をしっかり伝えるようにしましょう。
経営陣は、社員に対して時間を使ったり、耳を傾けたりできるようにします。セキュリティの問題が報告されたときには、きちんと耳を傾けることが大切です。ネットワークを保護するためにまず行うことは、コンピューターの向こう側の社員としっかり意思疎通を図ることです。現場の IT 管理者は、潜在的または特定した特権の誤用に起因する問題を見つけたときに、直属の上司に報告すれば解決されるようにします。直属の上司に報告しても解決されない場合は、組織の上層部に対して対策を講じるよう恐れずに働きかけます。
組織をまたぐセキュリティ サポートの範囲を明確にします。社内にセキュリティ グループとシステム管理グループがある場合、経営陣は、これらグループの役割と責任を明確に定義する必要があります。たとえば、システム管理者がシステムの構成に責任を持つか、セキュリティ グループにはコンプライアンスに関係ない問題について報告する責任があるか、などです。
公式な責任者がいない場合、何も行われず、多くの場合、発生した問題の責任は、問題を起こしていないグループが負うことになります。効果的な PALM フレームワークとは、プロセス、テクノロジ、責任、および意思疎通の組み合わせによって構成されています。
.jpg)
John Mutch は、25 年以上にわたり、テクノロジ業界で重役を務め、投資家として活動しています。2008 年に BeyondTrust の CEO に就任するまでは、MV Advisors LLC の創設者であり、経営パートナーでした。また、HNC Software の社長、CEO、および取締役として働き、マイクロソフトには 7 年間勤めて販売とマーケティングの分野で役員クラスのポストを歴任しました。