IDガバナンス&管理(IGA)を実現するOSS「midPoint」とは:midPointで学ぶIDガバナンス&管理(IGA)の基礎(1)
「IDガバナンス&管理」(IGA)についてOSS「midPoint」を利用したハンズオンで学ぶ連載。初回は、「IGAとは何か」から始め、その必要性について考えます。
皆さんは「IDガバナンス&管理」(Identity Governance and Administration:IGA)という言葉をご存じでしょうか。ユーザーのIDやパスワード、所属する組織や保持するアクセス権限などを管理する従来の「ID管理」(Identity Management:IDM)の概念を包含する、より統制(ガバナンス)を意識した概念です。企業の内部統制対応やゼロトラストネットワークへの対応を受けて近年非常に注目されており、主要なIDM製品がIGAへの対応を次々に表明しています。
本連載『midPointで学ぶ「IDガバナンス&管理」(IGA)の基礎』では、オープンソースソフトウェア(OSS)でありながらIGA機能を備えた「midPoint」を使って、ハンズオン的にIGAについて学びます。第1回となる今回は、「IGAとは何か」から始め、その必要性について考えてみます。
IDガバナンス&管理(IGA)とは
IGAの説明に入る前に、その前身であるIDMについて少し触れておきます。
「IDMの登場は2000年代前半」といわれています。多くのサービスやシステムが巨大化、複雑化の一途をたどり、一方で、複数のアプリケーション、データストアによってサービスやシステムが構成されることが多くなりました。すると、単一の巨大なデータストアでシステム全体のID管理を完結させるようなアーキテクチャは非現実的であり、複数のシステム間で整合性を保った形でID連携する必要性が高まります。
そのような背景から、「Access360」「Business Layers」「Waveset」など、「今日のIDM製品の草分け」といえる簡易的なIDプロビジョニング機能を持つ製品が登場しました。
その後、IT市場のプレイヤーの変遷や技術スタックの変化、企業買収などによって、IBMやCA Technologies、Oracleといった大手ベンダーからIDM製品が相次いでリリースされるようになります。日本においても、ベンダー製品を用いて自社の従業員のID管理を実装するケースが増えました。
2010年代に入ると、企業の社会的責任がこれまで以上に重要視されるようになります。企業の中で多様な雇用形態の人々がシステムを使うようになり、システムのID管理、アクセス制御への対応はますます重要視されました。また、幾つかの事件や事例、法制度改正などよって、「内部統制」「IT統制」という概念が強く意識されるようになりました。
これらの時代背景の中で、従来のID管理の考え方にガバナンス(統制、統治)の要素を加え新たに体系立てて再定義したものがIGAです。
経営幹部およびそのチームに対し、実行可能かつ客観的な知見を提供している企業Gartnerによる定義では、IGAは次の8要素で構成されます(出典:Gartner「IAM Leaders’ Guide to Identity Governance and Administration」Henrique Teixeira, Kevin Kampman, David Collinson, Published 5 April 2021)。
- IDライフサイクル管理(Identity Life Cycle Management)
- エンタイトルメント管理(Entitlement Management)
- ポリシー/ロール管理(Policy and Role Management)
- ワークフロー(Workflow)
- アクセス要求/アクセス認定(Access Requests Management and Access Certification)
- フルフィルメント(Fulfillment(also called “provisioning”)via automated connectors and service tickets)
- 監査(Auditing(including segregation of duties [SOD] auditing))
- 分析/レポーティング(Identity analytics and reporting)
ここからは、IGAの各要素について簡単に解説します。
| 要素 | 説明 |
|---|---|
| IDライフサイクル管理 | IDの登録から破棄までのライフサイクルを管理する機能 【例】従業員の入社から退職までの一連のイベントや、人事異動、昇進などに伴う役割の変更をトリガーに、ID更新を自動化する。従業員だけでなく、さまざまな雇用形態(派遣社員、アルバイト、パートナー企業)、社外ユーザー(顧客など)ごとに異なるライフサイクルで管理する |
| エンタイトルメント管理 | エンタイトルメント情報(役割や組織に伴う資格)を管理する機能 【例】IGAシステムと連携するシステム(アプリケーション)の利用権限や、そのシステム内で何ができるかの権限(グループやロールなど)を定義する |
| ポリシー/ロール管理 | ロールベースアクセスコントロール(RBAC)、属性ベースアクセスコントロール(ABAC)などの権限制御や、自動的なロールの割り当てを行う機能 |
| ワークフロー | ID登録/変更や前述の「アクセス要求」に対して制御、承認する機能 |
| アクセス要求/アクセス認定 | ユーザーからのロールやグループへの参加要求を可能にする(「ポリシー/ロール管理」による自動制御が難しい、例外的なアクセス権の割り当てを可能にする)機能、および、不要なアクセス権限を適切なタイミングで適切な実施者が見直しすることを支援する棚卸し機能 |
| フルフィルメント | アプリケーションや、LDAP(Lightweight Directory Access Protocol)などの認証基盤にID/グループ情報、グループ所属情報などをプロビジョニングする機能 |
| 監査 | 現在のIDの状態、権限付与の状態を監査し、SoD(Segregation of Duties:職務分掌)違反や不適切なアカウントの存在を検出してアラートを発する機能 |
| 分析/レポーティング | ロールマイニング(ロールの定義を設計し、最適化する分析)や、組織内で使用するアクセス権の実態分析などのレポートを出力する機能 |
IGAという概念が定義される以前から登場している要素も多数ありますが、改めて定義付けされることによって、企業がITシステムを運用する中で実現しなければならないID管理に関する機能要素が明確になったといえるでしょう。
IDガバナンス&管理の具体的なユースケース
IGAの必要性をよりよく理解できるように、IGAの具体的なユースケースを3つ紹介します。IGAは、IDMと比較して、より業務レイヤーとの親和性が高い概念なので、日常のID管理業務を想定すると、その必要性が分かりやすいと思います。
一般的なID管理業務
一般的なID管理業務では、IDM製品を使って、人事システムなどからインポートしたユーザーを、パスワードや所属する組織、保持するアクセス権限とともに管理します。
各社員の入社や退職、異動や昇進といったイベントに合わせて、その都度所属する組織の変更や、アクセス権限の付け替えといった作業もあります。必要に応じて、各種サービスやアプリケーションなどの他システムにアカウントを連携させることもあり、このアカウント連携(フルフィルメント)はIDM製品で可能なケースもあれば、連携用のスクリプトが必要になるケースもあります。
【1】入社時のアカウント連携業務
具体的なユースケースとして、例えば入社時のアカウント連携業務を考えてみましょう。ここではIDM製品を用いた下図のような業務フローを想定します。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
特権アクセス保護/特権ID管理の本質、歴史、ID管理基盤/IDaaS(ID as a Service)との違い
古くて新しい「特権アクセス保護」について技術的内容を分かりやすく解説する連載。今回は、特権アクセス保護(PAM)の歴史と本質、具体的にどのように機能するのか、ID管理基盤/IDaaS(ID as a Service)との違いなどについて解説する。
IDaaS分野のリーダーとされるOktaが日本に本格上陸
「IDaaS」と呼ばれるクラウド統合認証基盤の分野における有力企業であるOktaが日本法人を設立した。「クラウド」「デジタルトランスフォーメーション」「ゼロトラスト」をキーワードに、日本でのビジネス展開を本格化する。
マイクロサービス時代のSSOを実現する「Keycloak」とは
本連載では、近年注目されている認証プロトコル「OpenID Connect」をサポートするオープンソースのシングルサインオン(SSO)ソフトウェア「Keycloak」の活用方法を解説していきます。第1回目は、APIにおける認証/認可の仕組みとKeycloakの概要を紹介します。