Webサイトを快適にご利用いただくためには、IE11以降、Chrome、Firefox、またはSafariをご使用ください。
お問い合わせはこちら 無料評価版
OneLoginとOne Identityが協力してIAMを提供。詳細はこちら
Home / Identity and Access Management 101 / IDライフサイクル管理

IDライフサイクル管理

誰が、何を、いつ行うことができるかを制御する

デジタルIDとそれに関連付けられたアクセス許可は、時間と共に変化することがよくあります。ユーザが昇進したら権限を昇格させる必要があります。ベンダーがパートナーになったら、別のプロファイルを割り当てる必要があります。従業員が退職したら、そのアクセス権をただちに無効にする必要があります。高レベルの生産性とセキュリティを確保するためには、デジタルIDのライフサイクルを効率的に管理する方法が不可欠です。

IDライフサイクル管理(ILM)とは?

デジタルIDは、エンティティの組織との関係を表します。エンティティは、従業員、パートナー、顧客、アプリケーションなどの可能性があります。これらの関係の変化に従って、デジタルIDを適応させる必要があります。ここに、IDライフサイクル管理(ILM)が登場します。

ILMは、必要に応じて、デジタルIDを作成、調整、および削除するプロセスを定義し��す。例えば、従業員が入社すると、ILMはその従業員のデジタルIDを作成します。従業員の役���が変更されると、ILMはそれに従って権限を調整します。従業員が退職すると、ILMはその従業員のデジタルIDを削除して、会社のリソースにアクセスできないようにします。

ILMには何が含まれるか?

適切に構築されたILMシステムは、さまざまなエコシステムにわたって、組織のネットワークにアクセスしたい全エンティティのデジタルIDを管理します。これには、従業員、パートナー、請負業者、顧客、クラウドアプリケーション、オンサイトアプリケーションが含まれます。

  • 従業員: アプリケーションXのソフトウェアエンジニアは、アプリケーションXが展開されているサーバにのみアクセスできます。しかし、アーキテクトロールに昇進すると、すべてのアプリケーションサーバへのアクセスが必要になるかもしれません。ILMを使用すると、管理者は、エンジニア、アーキテクト、マネージャなどに個別のロールを作成して、必要に応じて割り当てることができます。従業員が退職した場合、管理者はすべてのシステムにアクセスしてその従業員のすべてのアカウントを削除する必要はなく、ILMシステムからその人のIDを削除するだけで済みます。
  • 外部エンティティ: 顧客、パートナー、請負業者、およびサードパーティのサービスプロバイダが限られた期間のみアクセスできる、資産の包括的なリストを定義することができます。
  • アプリケーション: オンサイトのWebアプリケーションは、クラウド内に存在する1つのデータベースにアクセスするだけで済みます。アプリケーションは、サブスクリプション期間が1年間の顧客をサポートします。ILMソリューションは、アプリケーションが1つのデータベースだけに、1年間のみアクセスできるようにするカスタムロールを作成できます。

自動化されたILMのメリット

  • 高速のプロビジョニングとプロビジョニング解除: 新入社員は、手動のプロビジョニングと承認のために数日待つことなく、必要なすべてのアクセス許可を瞬時に取得できます。これにより、生産性が向上するだけでなく、人的ミスの可能性も削減されます。IDを削除すると、必要なアクセス権がすべて自動的に無効になるため、プロビジョニング解除プロセスも高速化します。
  • IDガバナンスの自動化: ロールの更新、アクセス許可の調整、権限の取り消しがリアルタイムで行われます。
  • パスワード管理: 最上級のILMソリューションは、アプリケーション間でパスワードを同期し、ユーザが自分のパスワードをリセット/変更できるようにする方法を提供します。
  • エンド・ツー・エンドの可視性: ILMソリューションでは、システム内に存在するすべてのデジタルエンティティと、対応するアクセス許可を総合的に把握できます。
  • セキュリティの向上: 適切に定義されたロールを作成することで、すべての人が自分の職務を遂行するために必要とする以上の権限を付与されないようにできます。自動化されたプロビジョニング解除も、ゾンビアカウントの可能性を排除します。ゾンビアカウントとは、アクセス権が完全には無効になっていない、退職者のアカウントです。

ILMと特権アクセス管理(PAM)

特権アクセス管理(PAM)は、昇格された特権を持つIDの保護方法を定義します。例えば、ユーザの追加や削除、仮想マシンの生成や廃止、アプリケーションの停止/再起動ができる管理者などです。昇格された特権を悪用することは、システム全体の侵害につながる可能性があります。したがって、これらの特権アカウントは追加の保護を必要とします。

ILMとPAMは密接に関連しています。ほとんどのILMソリューションは、機密性の高いリソース/操作を保持するエンティティや、そうしたリソース/操作へのアクセスをリクエストできるエンティティの数を、最小限に抑える方法を提供しています。また、限られた期間にのみ特権アクセス権を付与する方法も提供します。

IDライフサイクル管理は、組織の生産性とセキュリティを向上させることができます。誰が何にどれくらいの期間アクセスできるかを制御することで、最小特権、つまりすべての人が、職務を遂行するために必要とする以上の権限を持たないという原則を実装できます。