【編集長】内野の視点――アクセス権限管理は「仕組み化」が大切
2月1日〜3月18日のサイバーセキュリティ月間に際し、内閣サイバーセキュリティセンターが発表した「サイバーセキュリティ〜“費用”から“投資”へ〜」というコメントは印象深いものでした。自社の信頼、ブランドを守るセキュリティ対策は決して“コスト”ではありません。数々のセキュリティ事件の社会的波紋を思い返せば、セキュリティ対策のためのツールを検討する観点も変わってくるのではないでしょうか。
中でも2014年の某教育関連企業における情報漏えい事件は記憶に新しいところ。その真因は、システムではなく、システムに対するアクセス権限管理の甘さにありました。しかし、多くの業種で業務プロセスやそれを支えるITインフラが複雑化している昨今、退職、異動、昇進といった組織変更に伴うID管理ミスは、どの企業にも起こり得るリスクといえるでしょう。
特に組織変更があった際、「IT部門が業務部門の責任者に変更内容を聞いて回る」といった作業があると、そこが落とし穴になりやすいもの。できるだけ属人的な要素を排したID管理プロセスの「仕組み化」が、リスク低減の一つのポイントとなります。
本リリースの場合、「アクセス権限情報を自動収集」、業務部門の責任者にメールなどで変更内容を確認させる「アクセス権限のレビュープロセス自動化」といった辺りが注目されるところ。特に職責に対する適切な権限付与は、先の事件でも問題になったポイント。権限を与え過ぎていないかなど、業務部門側が直接レビューできることは、権限付与の在り方を見直すことにもつながるのではないでしょうか。
ビジネスワークフローを中心としたIDライフサイクル管理製品「RSA Identity Management & Governance」を販売開始
東京発, 2015年2月9日 -EMCジャパン株式会社(略称:EMCジャパン、本社:東京都渋谷区、代表取締役社長:大塚 俊彦、URL:http://japan.emc.com/)は、本日、ビジネスワークフローに基づき、複数のアプリケーションとITシステムに適用する役割と権限を管理するID&アクセスガバナンス管理ソリューション「RSA Identity Management & Governance(以下、RSA IMG)」の提供を開始しました。
今日の企業では、社員の認証や権限付与に代表されるID管理が複雑化しています。その理由として、クラウドサービスの業務活用やアプリケーション利用が進んでいること、業務の複雑化や組織横断的なプロジェクトにより、同じ部門やグループでも付与するアクセス権限が多様化していることが挙げられます。そのため社員の異動、昇進や退職時のID管理が煩雑になり、退職者のアカウントの消し忘れや、設定ミスによる過剰な権限付与が発生したりする可能性が高まります。
これらは、顧客情報の持ち出しや架空取引等の不正行為の原因となり、経営リスクを増大させます。IT内部統制の側面では、アクセス権の定義とアクセス権の正しい制御が保証できない場合、財務諸表の正確性や信頼性を保証できなくなります。
「RSA IMG」は、複雑化、多様化するITインフラで運用されるID管理を効率的に管理し、ビジネスの現場で求められるタイムリーなアクセス権要求に応えると共に、コンプライアンスを確保してID管理とアクセス権管理のガバナンスを支援するツールです。
「RSA IMG」は、組織が利用しているクラウド上の様々なアプリケーションやITシステムに対するユーザーのアクセス権限情報を、スケジュールに基づいて自動収集します。収集内容とユーザーの所属部署や役職、業務および権限を横断的に照合し、確認依頼を責任者へ自動的に送信してアクセス権のレビュープロセスを自動化します。アクセス権限ポリシーに適合していないアクセス権はアプリケーション管理者へ通知し、すみやかな改善を促し対応策を施します。
IT部門だけでは解決が困難なIDのライフサイクル管理をビジネスワークフローに沿って効率良く行い、アクセス権限ポリシーを順守した状態を維持します。
「RSA IMG」の主な特長
- ビジネスコンテキスト(*1)を適用したIDのライフサイクル管理と可視化
アプリケーションおよびITシステムに適用する役割と権限は、ビジネスマネージャーがビジネスワークフローに基づいて管理します。ビジネスマネージャーは、管理下のユーザーが必要とする情報、使用するアプリケーション、利用資格を把握しているため正確に判断できます。レビュープロセスによりID管理とアクセス管理の不整合によるコンプライアンス違反を削減でき、ビジネスマネージャーはアクセス権限に関する判断責任を持つことができます。
- 新規アカウント作成やアクセス権付与までの時間を削減し、業務効率を向上
新規アカウントの申請から発行までの承認プロセスや、アクセス権付与のレビュープロセスは自動化され、承認にかかる時間を可能な限り短縮します。ある金融機関の例では、アクセス要求のレビューが完了するまでの時間を70%削減できました。
- 導入が容易
本製品はソフトウェアアプライアンス(*2)製品のため、インストールが容易に完了します。組織のビジネス要件に合わせるコンフィグレーションも、Web GUIベースで効率良く行えます。また、RSAプロフェッショナルサービスの豊富な経験を反映した導入テンプレートを利用することも可能です。米国の例では、8種類前後のアプリケーションを有する企業の70%が、わずか4カ月以内に導入を完了しました。
「RSA IMG」は、2004年に創業しEMCコーポレーションが2013年に買収したAveksa,Inc.の製品で、当時から米大手金融機関をはじめ、製薬、小売、エネルギー/ライフライン、通信、運輸、製造の分野で導入されています。現在は、RSAの認証、アクセス管理、フェデレーション製品を補完してID&アクセス管理ソリューションを形成しています。
EMCジャパンでは、RSA IMGを官公省庁、金融業、製造業、通信業をはじめとする企業へ提案し、今後2年間で100万人のユーザーに活用されることを目指します。
本プレスリリースについての連絡先
EMCジャパン株式会社 RSA事業本部 マーケティング部
PRマネージャ 嶋宮 知子 Tel:03-6830-3234(直通)
お問い合わせフォーム
提供:EMCジャパン株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2015年2月25日
Copyright © ITmedia, Inc. All Rights Reserved.