Skip to content

アイデンティティガバナンスおよび管理の業務効果

この記事は https://docs.evolveum.com/iam/iga/business-benefits/ の翻訳です。

あらゆる corporation、小規模エンタープライズ、agency、university、またはほぼすべての種類の組織は、効率的に 運用するために何らかの 秩序とセキュリティ を必要とします。 また、あらゆる組織の主な懸念は を扱うことです。従業員、請負業者、パートナー、顧客などです。 アイデンティティガバナンスおよび管理 (IGA)、別名 アイデンティティ管理 (IDM) は、この2つの重要な懸念が組み合わさる情報技術の分野です。IGA は の管理に関する 秩序とセキュリティ です。 IGA 技術は、HR プロセス、入社者/異動者/退職者、組織構造変更、サプライチェーン管理、顧客データ管理、プライバシーなど、幅広いプロセスを扱います。 IGA 技術はパスワード管理からセキュリティレビュー、監査、リスク管理評価 の自動化まで、これらプロセスの多くの側面を自動化 しようとします。

単純な始まり

会社が big エンタープライズになる前は、通常 small と 単純に始まります。 数十人から数百人の従業員、数社のパートナー、そしてほんの少しの情報システムがあります。 このような small 会社でも、何らかの order と セキュリティは必要です。 したがって アイデンティティ を管理するプロセスが必要です。 しかし会社が small なとき、そのプロセスは非常に単純です。 実際、単一 spreadsheet がこの職務に適したツールであることがよくあります。

spreadsheet-1.png

原則は簡単です。セキュリティ personnel やシステム管理者が、各個々の従業員が持つべきアクセス権限を define する spreadsheet を維持します。 これは small 組織でアイデンティティを管理する単純かつ非常に効率的な方法です。 また、容易に理解可能 です。 実際にはあまりに単純なので、多くの small 会社はこの spreadsheet さえ維持せず、各個々の情報システムからの 実際の 情報だけに依存します。 情報システムが単純で数が少ないなら、これは非常に easy、効率的、cost-effective な方法です。

最初の障害

しかし組織には自然に grow する傾向があります。 組織が grow すると、アイデンティティの数も高めます。 しかしさらに重要なのは、情報システムの数も増え、それらが 非常に 複雑になることです。 数か月しか経っていなくても、spreadsheet は少し scary に見え始めます。

spreadsheet-2.png

この unexpected complication には多くの reason があります。

  • 情報システムの複雑性。 "フルアクセス" と "アクセスなし" という単純 二値的な考え方 では不十分です。 個々の従業員のアクセス権限は、この2つの 両極端の間に多くの中間状態 を持ちます。 多くのインターネット対応アプリケーションとクラウドアプリケーションのアクセス権限構造は、多次元でさえあります。 これを spreadsheet で効率的に represent する方法はありません。
  • セキュリティ practices。 組織が準拠する必要のあるセキュリティガイドライン、規制、標準、ベストプラクティスは多数あります。 それらはセキュリティ担当者 の 観点 からはほぼ常に非常に理にかなっています。 しかし downside は、それらを実装するのが非常に難しいことです。 たとえば least privilege という 一般に受け入れられている 実務は、各人物が職務に必要な minimum アクセス権限だけを持つべきだと述べています。 それ以上は何も持たない、ということです。 これは言うほど簡単ではありません。 セキュリティベストプラクティスはシステムを非常に複雑化する傾向があり、支援なしの人間の頭脳による理解をほぼ常に超えます。 これは単純 spreadsheet の力を明らかに超えています。
  • HR practices。 Maternal 退職、sabbatical、temporary transfer、fixed 解雇日付を持つ contract、複数 contract を同時に持つ従業員などがあります。 これを handle するのが easy 作業ではないことは明らかです。
  • 組織上の practices。 ツリーのように見える組織構造の時代は永遠に過ぎ去りました。 新しい動的組織の組織構造は、tree より labyrinth に近いものです。 節 A の assistant は節 B の part-time assistant でもあり、プロジェクト X にも取り組みます。 Bank teller の一部は re-assignable pool に属し、規則的スタッフの day off や sick 退職を補うために職務上の位置付けが daily に変わります。 Re-organization は exception ではなく、むしろ規則的実務です。
  • Consumerization. 新しい "コンシューマー化された" market は、可能性の Pandora's Box を開きました。 従業員は顧客やパートナーでもあり得ます。 パートナーは請負業者でもあり、場合によっては temporary 従業員になることさえあります。 そしてそれは続きます。 彼らはそれぞれ、自分のデバイス (BYOD) とソフトウェアを流れに持ち込むため、単一アイデンティティを期待します。 これは情報セキュリティ 観点 から challenge かもしれません。 しかし手作業アイデンティティ管理にとっては "mission 困難" です。

厳しい事実として、これは本当には変えられません。 少なくとも substantial な形では変えられません。 人々を管理するこの動的で流動的な方法は業務実務によって与えられています。 組織は新しい製品を迅速に market に出し、費用を下げ、competitive であり続けるためにこれを行う必要があります。 Business first です。 アイデンティティ管理プロセスは業務現実に適応しなければなりません。 これを逆にする方法はありません。 そしてこれは、もはや手作業ではできません。

ポリシー対現実

"アイデンティティ管理スプレッドシート" を維持する方法が仮にあったとしても、それだけでは十分ではありません。 Spreadsheet はポリシーを 表現します。 理論上、そのポリシーは現実に完全に reflected されるべきです。 しかし実務はまったく異なります。 ポリシーは現実に常に perfect に reflected されるわけではありません。 ポリシーに同期済み back されない untracked 手作業変更もあります。 これは、ポリシーと現実が常に 乖離 することを意味します。

policy-reality.png

これが監査が必要な理由です。 特にセキュリティ監査です。 そしてそれには十分な reason があります。 問題は、監査が高額であることです。 非常に高額です。 監査はすべての情報システムからデータを取得し、それを一般的形式にプロセスし、アイデンティティを相関付けし、アイデンティティがポリシーと一致しているか評価する必要があります。 これを手作業で行うのは極めて高額です。

監査は単なる good 考え方ではありません。 セキュリティ と アイデンティティ監査に関連する活動は、Sarbanes-Oxley Act (SOX)、Basel II、HIPAA など、多数の規制によって mandated されています。 したがって、ほぼすべての 大企業や機関 は定期的 でセキュリティ と アイデンティティ監査を 実施する必要があります。 そのため監査費用は毎年戻ってきます。

手作業プロセスの総費用

手作業アイデンティティ管理の全体的な費用は 巨大な です。 さらに悪いことに、費用を 列挙 しようとしても entire 費用の一部しか明らかになりません。 理由は、遅い と 信頼できないプロセスの費用が多くの 領域 に 分散しており、費用の非常に大きな部分が 隠れた だからです。 次のリスト は費用の 一部のリスト です。

  • アイデンティティを手作業で管理する費用。 ユーザーアカウント、ロール、アクセス権限を作成と維持する IT 担当者の費用を含みます。 これはアイデンティティ管理の主なまたは直接費用と認識されるものです。 しかし通常、全体的な費用の非常に小さな 一部 にすぎません。 実際、他の費用と比較するとほぼ 無視できる です。
  • 作業中断の費用。 Appropriate アクセス権限を持たない worker は効率的に作業できません。 アクセス権限管理の短い 遅延 でさえ、アイデンティティ数が多い場合には 巨大な damage を引き起こす可能性があります。 この費用は re-organization や従業員 transfer のケースで特に harmful です。
  • ヘルプデスクの過負荷。 多くのエンタープライズヘルプデスク利用統計は、アイデンティティ関連課題がヘルプデスク負荷に大きな影響を与えることを示しています。 これにはパスワードリセット 申請、appropriate アクセス権限の申請、認証問題などが含まれます。
  • 市場投入までの時間 影響。 新しい製品やサービスの design と 実装は creative 作業です。 そして迅速に行われる必要があります。 しかし新しいプロジェクトのための共有 folder と discussion グループを作成する申請に2週間かかるなら、十分に効率的にはなりません。 Future は、アドホックチームの power と creative thinking をサポートするプロセスを活用できる動的組織に属します。 しかし、単一アイデンティティ関連の操作の完了に ages がかかる環境では、これは効率的にはできません。
  • Security-related 費用。 もちろんセキュリティインシデント に関連する直接費用があります。 しかし 重大なセキュリティインシデント は比較的まれ です。 それでも軽微なインシデント、疑わしい活動、セキュリティ関連調査に関連する、もう1つの非常に大きなな費用があります。 これら活動は、アイデンティティに関するデータが 信頼できないで incident と相関付けするのが難しいため、非常に costly です。 ユーザーは cumbersome セキュリティ measure を作業 around しがちで、それにより調査はさらに困難になります。 デプロビジョニング問題として知られる課題もあります。作成され、never 削除済みなアカウントです。 これは ongoing セキュリティリスクを作成します。
  • Audits。 セキュリティ監査は規制によって mandated されています。 しかし手作業で行われる場合、非常に高額です。
  • ライセンスの過剰利用。 エンタープライズ従業員の 典型的 behavior は、得られるだけ多くのアクセス権限を ask することです。 必要かどうかに関係ありません。 それは理にかなっています。特にアクセス申請に数週間かかる組織ではそうです。 あらかじめすべてを ask することで、多くの時間を save できます。 しかしこれは、すべての情報システムが 使われないアカウントでいっぱいになることを意味します。 多くのソフトウェア製品はユーザー-based ライセンスを持っているため、これは 莫大な費用の無駄を意味します。 会社は 使われないアカウントのためにライセンスとサポート費用を払っています。

このリスト は本質的に不完全です。 アイデンティティ管理は各組織の fabric の深いところに入り込みます。 したがって費用は広く 分散しています。 全体的な費用を正確に compute することはできないかもしれませんが、この費用が substantial であることは非常に明らかです。 つまり、saving と 改善 の 大きな潜在ながあるということです。

解決策

ソリューションは単純でもあり複雑でもあります。 しかしソリューションの essence は1つの word で describe できます。自動化 です。 この原則は2つの単純図を見ると簡単に説明できます。 次の図は、多くの組織におけるアイデンティティ管理の現在の状態を示します。

identity-management-provisioning-before.png

プロセスは人々によって governed されています。 人々は互いにメールメッセージを送り、会議で対応項目を与え、トラブルチケットを再割り当てする、などを行います。 このプロセスは ほとんど形式化されておらず、どうにか自走しています。 つまり、この手作業アイデンティティ管理の実行 はしばしば行き止まり に陥り、循環し、幸運にも 終点に到達するまで行ったり来たり します。 これは、このプロセスがかなり遅いで、非常に 信頼できないで、ほぼ unpredictable であることを意味します。 これが問題の主な原因です。

興味深い事実は、このプロセスの手順の大多数が単なる処理だということです。 人々は同じことを何度も繰り返します。 これは簡単に自動化されたできます。 コンピューターは人々が遅く混沌とに行うことを迅速かつ確実に行えます。 アイデンティティ管理システムはまさにその目的のために 設計されています。 これは次の図に示されています。

identity-management-provisioning-after.png

アイデンティティ管理システムはプロセスの処理部分を 自動化します。 自動化を効率的に行うために利用できる方法は多数あります。 ロールベースのアクセス制御 (RBAC) と Attribute-Based アクセス制御 (ABAC) は、見たところ chaotic なアクセス権限構造から order を切り出すのに大きく役立つ well-known セキュリティモデルです。 Business Process Model と Notation (BPMN) は業務プロセス自動化の仕様化です。 これらの方法がアイデンティティ管理に 適用され、大量の domain expertise と coupled されれば、結果はかなり sophisticated で非常に useful なシステムになります。 プロセスを 高速化し、単純化し、より管理しやすくするよう設定できるシステムです。

これは次のように機能します。

  1. 新しい従業員が hired されます。 人事(HR)スタッフは新しい従業員のデータを HR システムに入力します。 これは従業員名、surname、職務上の位置付け、hiring 日付などの基本データです。

  2. アイデンティティ管理システムは HR システムから記録を 取り込みます。 IDM システムは新しいアイデンティティについて何をすべきか判断 するためにルール集合を run します。 たとえば HR 価値の職務上の位置付けを使って、新しい従業員が junior assistant であると 判断 するかもしれません。 したがって IDM システムは新しい従業員に Junior Assistant ロールを割り当てます。

  3. Junior Assistant ロールの定義は、このロールの holder が AD、ERP、DMS、MIS システムへのアクセス権を持つべきだと述べています。 IDM システムはこれらシステムがどのように見えるべきかを compute します。

  4. IDM システムはコネクターを使って、個々のシステムのそれぞれにアカウントを自動的に作成します。

  5. 従業員はプロビジョニングされました。 すべてのアカウントが prepared され、必要なアクセス権限はすべて割り当てられました。 作業の準備はすべて整っています。

実務上、プロビジョニング手順の大半は自動化できます。 しかし通常、人間の判断を必要とする手順があります。 IDM システムはそのようなプロセスを handle する準備ができています。 承認手順は必要に応じて設定できます。 人々をプロセスから完全に取り除くことはできません。 しかし their 作業をより効率的にできます。 はるかに効率的にです。

IDM コネクターは通常 双方向 です。 Write できるだけでなく情報を read できます。 これは IDM システム内のデータが常に最新であり得ることを意味します。 IDM システムは、はるかに効率的な自動化された監査のためのデータを提供できます。 IDM システムはアイデンティティデータのさまざまな 側面 に関する効率的レポートも produce できます。

IDM システムは通常ユーザーにセルフサービスも提供します。 ユーザーはパスワードをリセット し、アクセス権限を見直し、新しい権限を申請する、などができます。

既存プロセスの自動化以上の効果もあります。 IDM システムは非常に fast と 効率的であるため、多くの新しい可能性を enable します。 IDM システムはアドホックグループや他の動的組織構造を効率的に管理できます。 チームやワークグループはほぼオーバーヘッドなしで作成・削除できます。 IDM システムは creativity と progress への多くの barrier を tear down し、新しい業務 opportunity を許可できます。

効果

アイデンティティ管理には多くの効果があります。 明白で measurable なものもあれば、より subtle なものもあります。 測定可能な主な効果は2つあります。費用削減 とセキュリティです。 そして less 明らかだが非常に重要なな効果が多数あります。

IDM システムは多くの 領域 で費用を削減します。

  • 手作業プロビジョニング作業は dramatic に削減されます。
  • 作業 interruption は minimized されます。 人々は必要なアクセス権限をほぼ直ちにに得ます。
  • Helpdesk 負荷は大きなly 削減されます。 IDM システムが提供するセルフサービスインターフェイスは faster で better サービスであるため、ユーザーは自然にそれを prefer します。 また費用対効果が高いでもあります。
  • 作業プロセスの障害を 削除することで 市場投入までの時間 は大きく改善されます。
  • プロビジョニング自動化は自然にセキュリティを改善するため、セキュリティ関連費用は削減されます。
  • 監査費用は大きなly 削減されます。 IDM システムは監査に必要なデータの大多数を提供します。
  • Licence 利用は効率的に managed できるため、licencing 費用を under 制御に保てます。

次のデータは複数の IDM 導入に基づいています。 データは IDM システムが提供する saving の 中身 を示しています。

Metric Before After
従業員が新しいアクセスを得るまでの時間 3 weeks 1 day
パスワードをリセットするまでの時間 4 hours 10 minutes
Call centre 負荷 reduction - 10-50%

適切な製品が使われ、properly 導入されるなら、IDM システム導入は非常に良い投資回収 (ROI) を提供します。

関連項目